Ruim 80 procent van de grote ondernemingen wil voorlopig niet investeren in cloud computing of cloud-storage. Dat blijkt uit een onderzoek van Forrester onder 2204 ict-managers in Amerika, Canada, Engeland, Frankrijk en Duitsland. De belangrijkste reden daarvoor is, dat ondernemingen zich zorgen maken over de beveiliging van hun applicaties en gegevens. Is dat een valide reden?
Staan grote ondernemingen in hun gelijk door niet te investeren in cloud computing en – storage en is de beveiliging bij cloud computing en -storage een risicofactor? Dat is nog maar de vraag, hoewel we de zorgen die bij de groep ondervraagde managers leven, uiteraard serieus moeten nemen. Toch zijn er enkele kanttekeningen te plaatsen bij de beveiligingsaspecten van cloud-concepten. Er is namelijk een verschil tussen beleving en perceptie enerzijds en de realiteit van alledag anderzijds.
Thema’s
Bij cloud-beveiliging spelen drie thema's een rol: technologie, services en de leverancier. Voor wat betreft technologie gaat de bekende race tussen ‘goed en kwaad' 24 uur per dag door. De praktijk wijst uit dat cloud-leveranciers door hun schaalgrootte steeds meer mensen en middelen tot hun beschikking hebben om de beveiliging 24 uur per dag te monitoren en kwaadwillenden buiten de deur te houden. Zij kunnen blijven investeren in beveiliging doordat het onderdeel is van hun corebusiness. De kosten zijn vervolgens te verdelen over klanten, waardoor zij tegen een relatief lage prijs goed beschermd zijn.
Bij services draait het om de vraag hoe een cloud-dienstverlener de diensten heeft ingericht. Welke procedures zijn er op dit gebied, hoe zijn ze vastgelegd, vinden er audits plaats en is elke activiteit te traceren?
Dan de leverancier. Het is bij cloud-diensten raadzaam in zee te gaan met partijen met voldoende capaciteit en ervaring. Die zijn in staat voldoende te investeren in beveiliging en beschikken over de nodige kennis om een verantwoord dienstenpakket samen te stellen. Bij dit alles heeft een leverancier met een low profile ook nog het voordeel dat hij voor de hackergemeenschap minder interessant is dan de grote, bekende namen.
Bij discussies over het wel of niet kiezen voor het cloud-concept is privacy vaak een reden voor bedrijven om toch maar te kiezen voor eigen systemen. Dit argument gaat maar ten dele op. Immers, de praktijk wijst uit dat het risico van een data-inbreuk van binnenuit groter is dan van buitenaf. Daarnaast is data tegenwoordig uitstekend te versleutelen en houdt de opdrachtgever de sleutel bij zich. Zelf data beheren biedt daarom beslist geen betere garantie op data-integriteit dan uitbesteding ervan.
Cloud als dienst
Cloud computing was in 2009 een veelbesproken onderwerp. Door de hype rond het model is er ook de nodige verwarring over wat het echt is. Niettemin is duidelijk dat de basisgedachte van cloud – ict leveren als dienst – optimaal aansluit bij wat bedrijven nu willen: weinig complexiteit, lage kosten, minder milieubelasting en tijd en middelen. Zodat ze zich volledig kunnen richten op hun kernactiviteiten. Daarom is cloud computing ‘here to stay'.
Stephan Haux, Senior Product Manager EMEA Iron Mountain Digital
Jazeker is dit een valide reden!
Op het moment dat je je zaken “letterlijk” in de cloud, dus in de handen geeft van anderen – ben je de controle over je EIGEN data en applicaties TOTAAL KWIJT!
De vraag is dus ook:
A – Wil je dat als bedrijf? Dat anderen mensen buiten het personeel BINNEN je bedrijf de MOGELIJKHEID en de TOEGANG krijgt tot jouw corporate data?
B – Dat andere mensen IN STAAT ZIJN om met hun tengels aan jou gegevens KUNNEN komen?
Binnen je eigen bedrijf en middelen heb je hier (grotendeels) zelf de regie over. Op het moment dat je deze diensten BUITEN DE DEUR besteed komt het neer op het vertrouwen van de andere businesspartner en het totaal kwijtraken van de controle over JOUW vitale bedrijfsprocessen, applicaties en data?.
Voorbeeldje waar het verkeerd ging (en dat was niet eens aan cloud-diensten-aanbieder!!)
– Buitenlandse spaarders wiens gegevens werden VERKOCHT door aan de Duitse (en binnenkort ook nederlandse belastingdienst) een employee van de Zwitserse UBS bank?
Links:
1. http://technorati.com/business/finance/article/germany-to-purchase-stolen-swiss-bank/
2. http://online.wsj.com/article/SB10001424052748703762504575037463469612220.html
Stay focussed on the real issues:
Terwijl in dit “cloudservices security” artikel heel mooi de aandacht afgeleid word naar TECHNISCHE en ORGANISATORISCH ZAKEN zoals (quote)
– hoe de diensten zijn ingericht,
– welke procedures zijn er
– zijn er audits ja/nee
– is activiteit te traceren
– capaciteiten
– redundancy
(endquote)
geeft het bovengenoemde UBS voorbeeld haarfijn aan, dat bij security altijd en eeuwig zal blijven draaien om de VERTROUWENSWAARDIGHEID VAN DE MENSEN die deze services aan je bedrijf leveren. Dat is de basis waarop je wel, niet kunt bouwen, de rest is allemaal BS en “marketing hype ge-oh” als aan deze eerste vertrouwensvoorwaarden niet kan worden voldaan!
Who do you/ can you trust?
Deze vertrouwensvoorwaarde breuk geld helaas ook voor de mensen die BINNEN je eigen bedrijf werken! in geval van data-diefstal en inbraak van binnenuit!
Wat cryptografie betreft als oplossing voor data – veiligheid.. das ook een TIJDELIJKE drempel tegen het blootleggend van je corporate gegevens.
Als een criminele organisatie achter jouw gegevens aanzit (van je eigen of andermans overheid zelf) speelt budget, tijd en geld geen rol om je cryptografi_sleutel te breken! Denk daarbij aan zeer geavanceerde supercomputer en serverframes, gewapend met duizenden processoren, die in 1 uurje de crypto-sleutel kunnen kraken waar je laptop zijn gehele werkzamen leven over staat te zweten met zijn pentium vijfje
“Cloud services will fade away” into thin air:
Cloud als dienst is “here to stay” voor een aantal niet zo serieuze (ict)diensten waarbij geheimhouding geen rol speelt zoals een aantal webdiensten.
Voor de rest voorzie ik een ontwikkeling naar grids. Zelfstandig samenwerkende units waarbij iedereen BAAS blijft over eigen APPLICATIES en DATA en waarbij alleen het noodzakelijk, razendsnel, zwaar gecryptografeerd uitgewisseld word. Zodat jouw data ook daadwerkelijk jouw data blijft!
Lust u nog een paar praktijkvoorbeeldjes over dataveiligheid? Lees dan hier verder:
1. Echolon – VS Big brother survailance system
http://en.wikipedia.org/wiki/Echelon_(signals_intelligence)
http://echelononline.free.fr/documents/dc/inside_echelon.htm
http://www.historycommons.org/entity.jsp?entity=echelon
2. INDECT – EU big brother system
http://www.indect-project.eu/
“Beveiliging is geen issue bij cloud-storage” en ‘Daarnaast is data tegenwoordig uitstekend te versleutelen en houdt de opdrachtgever de sleutel bij zich. Zelf data beheren biedt daarom beslist geen betere garantie op data-integriteit dan uitbesteding ervan.” zijn interessante stellingen.
Maar is niet een van de randvoorwaarden om cloud-storage te optimaliseren en kosten te besparen voor de afnemende partij het gebruik dedupliciatie. Ik heb onlangs van twee grote storage leveranciers begrepen dat deduplicatie voordelen minimaal realiseerbaar zijn met versleutelde data (ongeacht of op disk of file niveau is versleuteld) of zelfs deduplicatie uberhaüpt niet mogelijk is.
@ Nuchtere ict-er
U hebt gelijk: het is een kwestie van vertrouwen.
Dit geldt net zo goed voor de relatie met een externe leverancier als voor de relatie met de eigen medewerkers. Vertrouwen is geen black box. Het is gebaseerd op:
• ervaringen uit het verleden;
• begrip van wat vertrouwen inhoudt en van de risico’s wanneer het geschonden wordt;
• voldoende controlepunten;
• bewust omgaan met vertrouwen.
Dit geldt ook wanneer een bedrijf een cloud-serviceprovider inschakelt.
• Een betrouwbare cloud-serviceprovider heeft zich bewezen als dienstenleverancier, zowel technisch als voor wat betreft continuïteit. Dit gaat verder dan technische statistieken. Het gaat ook om de geboden ‘service op de services’. Denk aan de helpdesk of de manier waarop een leverancier op onverwachte situaties reageert.
• Het vaststellen van de rollen en verantwoordelijkheden is cruciaal voor een succesvolle relatie. Het omgaan met informatie en het verwerken ervan zijn in contracten met externe leveranciers meestal beter geregeld dan in interne richtlijnen. Die laatste gaan meestal niet verder dan dat een medewerker bepaalde informatie niet mag verspreiden. In contracten met externe leveranciers staat meestal precies omschreven welke medewerkers toegang hebben tot welke informatie. Ook is in de regel duidelijk welke boetes er gelden als een afspraak geschonden wordt. Een betrouwbare leverancier is vooral praktisch en hanteert een stevige set van SLA’s en boeteclausules.
• Controlepunten zijn cruciaal voor een goede servicerelatie. Beide partijen blijven zo eerlijk op basis van vastgestelde verantwoordelijkheden. Het is de kunst om controlepunten te vinden, die makkelijk uit te voeren zijn, geen stof voor discussie opleveren en al in een vroeg stadium aangeven dat er risico’s dreigen. Dat is beter dan dat ze alleen achteraf aangeven wat er mis ging.
• De beslissing om iemand te vertrouwen, betekent ook dat je de controle laat voor wat het is. Een echte leider is iemand die zijn of haar medewerker vertrouwt en vertrouwen geeft. Geldt dat eigenlijk ook niet voor IT-managers in hun relatie met serviceproviders?
@ Roy Samson
Elke encryptiesleutel is te kraken. Dat geldt ook voor elk slot. Bij encryptie gaat het dan ook niet om de vraag of encryptie te kraken is, maar om a. hoe moeilijk het voor criminelen is om een sleutel te kraken, en b. hoe goed de sleutels beschermd zijn.
De meeste discussie gaat op dit moment over de sterkte van de sleutel. Op het gebied van archiefdiensten is er in dat verband een makkelijke manier om de beveiliging te waarborgen en dat is her-encryptie. Serviceproviders die beveiliging in hun DNA hebben, doen dat op een geautomatiseerde manier met zeer krachtige encryptietechnieken. Dat is onderdeel van hun dienstverlening.
In de tussentijd gaan de echte criminelen achter degenen aan, die de sleutels beheren. Social engineering is hier het eufemisme voor bedrijfsspionage, corruptie en handelsoorlogen. De recente berichten over Chinese hackers die op grote schaal bankgegevens stalen, zijn slechts het topje van de ijsberg.
@ Stephan Haux
Ik stel de beveiliging van encryptie niet ter discussie.
Het punt is dat encryptie een voorwaarde is voor organisaties om gebruiken te maken van cloud-storage van een derde partij. Echter willen organisaties ook graag gebruik maken van deduplicatie in cloud-storage oplossingen zodat men minder opslag nodig heeft en daardoor minder betaald.
Echter wat ik begrijp van de huidige (cloud-)storage leveranciers is dat bij het gebruik van encryptie er nauwelijks voordelen uit deduplicatie gehaald kunnen worden of zelfs deduplicatie helemaal niet werkt.
Met andere woorden je hebt twee conflicterende eisen deduplicatie versus encryptie. En laat het gewicht van die laatste nou net toenemen als je over uitbesteding van storage praat, waar cloud-storage een variant van is.