Je hoort er de laatste tijd steeds meer over, cloud breaches, oftewel inbraken in systemen die in de cloud draaien. Een van de meest recente is die van Diginotar, de bekendste die van het Sony entertainment systeem (via Amazon). Afgezien van of je als leverancier hier wat aan kunt doen, worden veel cloud breaches over het algemeen pas gemeld als ze, soms toevallig, ontdekt worden door de buitenwereld. Dit is een zorgwekkende situatie als we steeds meer gevoelige data aan de cloud toevertrouwen. Hoe gaat de wetgever hiermee om en wat kan de industrie zelf doen?
De Nederlandse Wet Computer-criminaliteit is ondubbelzinnig: Het opzettelijk en wederrechtelijk binnendringen in een computersysteem of een netwerk is een misdrijf. De straffen hiervoor zijn maximaal 1 jaar in de bak of 16.750 euro boete (art. 138ab lid 1). Hierbij wordt uitgegaan van een hacker die doelbewust inbreekt in een computersysteem of -netwerk.
Aan de andere kant is een leverancier echter niet wettelijk verplicht om een computerinbraak te melden. Logischerwijs loopt een leverancier niet te koop met het feit dat er in zijn netwerksysteem is ingebroken; het zou het vertrouwen in die leverancier over het algemeen geen goed doen. De schade die men aan de eigen klanten kan berokkenen kan echter vele malen groter zijn. Denk aan het uitlekken van creditcardgegevens of passwords die toegang verschaffen tot gevoelige data. Wat is dan belangrijker? Mogelijke imagoschade als gevolg van een inbraakmelding of klanten benadelen omdat de leverancier zelf besloot niets over de inbraak te zeggen en deze ook niet te melden (aangifte te doen)?
Verantwoordelijkheid
De imagoschade zal vele malen hoger zijn als het bedrijf besluit niets te communiceren. Ik denk dat bedrijven hier meer verantwoordelijkheid moeten tonen en dat de wetgever melding van computer- en netwerkinbraken als plicht in de wet moet opnemen voor bedrijven, vooral waar het persoonlijke of financiële data betreft. Daarnaast zouden, in het kader van transparantie, de cloud breaches openbaar gemaakt moeten worden, zodat andere bedrijven hier ook weer van kunnen leren. Ook de eindgebruikers zijn hierbij gebaat, omdat ze op basis van deze openbare gegevens direct kunnen zien welke bedrijven serieuze problemen hebben met hun beveiliging. Als gevolg hiervan zullen meer bedrijven de plicht voelen om meer aan hun beveiliging te doen.
De industrie staat over het algemeen niet te springen om wetgeving te krijgen op dit vlak. Dat zou inhouden dat ze zelf aan meer regels moeten voldoen, terwijl we juist minder regels willen. Daarbij lopen we ook het risico dat innovatie geremd wordt als gevolg van striktere controlemethodieken. Aan de andere kant zou het de industrie ook sieren als ze zelf initiatieven zouden ontwikkelen om te communiceren over (cloud) breaches in hun systemen. Uiteindelijk worden we daar allemaal beter van en kunnen we van elkaar leren hoe we hackers buitenspel, en buiten de deur, kunnen houden.
Er zijn verschillende ontwikkelingen op het gebied van meldplicht op dit moment:
1) De Telecom wet (nu in behandeling in de Eerste Kamer) bevat meldplicht voor die sector;
2) Een algemene meldplicht gaat komen in een update van de Wet bescherming Persoonsgegevens. Dit staat in het kabinetsakkoord en gaat er tevens vanuit Europa komen;
3) Tijdens het debat over DigiNotar is er gesproken over ook meldplicht voor belangrijke incidenten in de vitale sector.
Er wordt hier twee dingen door elkaar gehaald: op zich heeft een meldingsplicht niets te maken met het al dan niet onderbrengen van een applicatie in de “cloud”. Het gaat om het (mogelijke) lekken van gegevens, niet om waar die gegevens stonden. De systemen van Diginotar waren ook geen cloud-systemen: die stonden op gewone servers bij het bedrijf zelf.
Het zal je maar gebeuren. Je zit al ruim twee jaar lekker in een Cloud te zitten en blijkt dat de partij die het voor je regelt net zo lek is als Diginotar.
Die toko maakt dan een duikvlucht als een met lood verzwaarde dodo en bij navraag over een backup om te gebruiken om bij een andere toko weer verder te kunnen krijg je een email met een geattachte zipfile van 56kb.
En dat was het dan.
Een probleem met de cloud is security, op welke manier krijg je de juiste verbinding met dat onderdeel van de cloud waartoe je geautoriseerd bent.Daarnaast is het belangrijk dat de informatie welke je vanuit de cloud ontvangt of naar de cloud verstuurd niet in verkeerde handen terecht komt.De beste oplossing is dat de toegang tot de cloud geregeld wordt met een SSL PKI-overheid certificaat, het SSL PKI-overheid certificaat in de cloud communiceert alleen met het SSL PKI-overheid certificaat van een cloud gebruiker, wanneer deze officieel is geregistreerd bij het SSL PKI-overheid certificaat in de cloud. De verbinding kan dan tevens encrypted worden uitgevoerd, zodat alleen degene waarvoor het bericht bedoeld is de data kan decrypten
Het probleem dat hier aangesneden wordt is in mijn ogen een probleem dat bij alle klant-leverancier relaties speelt: hoe bepaal je als klant of je leverancier kwalitatief goed werk aflevert? Ik vrees dat je als individuele klant vaak domweg niet de middelen en mogelijkheden hebt om dit goed te toetsen. Ik zie dan ook zeker toegevoegde waarde in duidelijke kwaliteitsnormen die periodiek worden getoetst door een onafhankelijke instantie. Voorwaarde is daarbij wel dat die toetsing zelf goed is! Gelet op het Diginotar drama zou ik nu vooral extra aandacht schenken aan de manier waarop de toetsing van belangrijke leveranciers plaats vindt. Als die niet deugt leveren extra afspraken of regels vrees ik weinig op.
Als je verbonden bent aan het internet, dan kunnen er pogingen worden ondernomen om bij je in te breken.
Als je dit leest lijkt het erop dat cloud computing zelf niet veilig is (dit artikel is geplaatst in de categorie cloud computing, niet security), maar als je goed leest gaat het overigens om dat reguliere netwerken zijn gehackt; diginotar en Sony, beide zijn “reguliere” netwerken en niet uitbesteed aan bedrijven die Cloud Computing diensten aanbieden.
Dat er servers zijn ingehuurd bij Amazon om in te breken bij Sony staat dus los van het ter discussie stellen van de veiligheid van cloud computing.
Netwerken aangesloten op het internet kunnen dus aangevallen worden, hierbij is geen onderscheid tussen cloud computing en niet cloud computing.
In dat kader vind ik “cloud breaches” erg verwarrend. Als ik kijk naar grote aanbieders van cloud oplossingen heb ik nu juist het idee dat daar de veiligheid beter geborgd is.
Regelgeving rondom de verplichting om digitale inbraken te melden lijkt me zelf geen slechte. Daarbij vind ik niet per se dat dit meteen aan de media gemeld dient te worden. Het benaderen van mogelijke benadeelde klanten vind ik wel weer een verplichting.
Overigens denk ik dat er echt wel een zaak van te maken is als een leverancier mij schade berokkend door een inbraak niet te melden.
In dit kader is het wellicht interessant eens te kijken naar de werkwijze van de Food & Drug Administration (FDA) in Amerika.
Een arts die jou apparaat niet veilig acht, kan daarover melding maken bij de FDA. Als deze melding terecht is, kun je in bijv. een warning letter krijgen van deze instantie, die in het ergste geval kan leiden tot een verkoopverbod van jou apparatuur in Amerika. Deze warning letters staan gewoon op internet, en zijn voor iedereen in te zien, ook voor de concurrent.
Ook kan de FDA bij jou bedrijf komen kijken of je alles wel volgens de regels maakt of om te kijken of je klachten uit het veld adequaat afhandelt. Indien je dat niet doet kun je ook een warning letter krijgen.
De FDA heeft daarmee natuurlijk een grote macht, maar van de andere kant wordt er wel een bepaalde mate van kwaliteit en betrouwbaarheid mee afgedwongen (wat ook wel wenselijk is in de medische sector uiteraard)
Deze aanpak is misschien wat rigoureus voor cloud-aanbieders, maar het kaf wordt zo wel van het koren gescheiden