Hoe vind je een evenwicht tussen externe auditors en hackers in loondienst? De een is druk bezig gaten in de interne procedures van ISAE 3402 te vinden en de ander probeert ze juist te maken. En allebei zijn ze nodig om de cloud-leverancier optimaal te laten functioneren. En wie moet dan het meeste verdienen?
Er komt voorlopig geen einde aan de berichtgeving over de cloud en cloud security. Ook al bestaan het internet en de toepassingen die op basis van internet in de webbrowser worden ontsloten al jaren, de SaaS, IaaS en PaaS en al die andere cloud-leveranciers zitten niet stil.
Ook de hackers en cybercriminelen blijven daardoor een constante bedreiging voor de gebruikers en daarmee ook voor de leveranciers. In de keten van signaleringen van computervredebreuk zit in principe de eindgebruiker vooraan. In de praktijk komt het voor dat hij niet de eerste is die merkt dat zijn computer is geënterd door onbevoegden. Die signalen bereiken hem pas veel later in de vorm van vastgelopen pc, overgenomen pc, banktegoeden die zijn verdwenen enzovoort.
De cloud-leveranciers hebben de verantwoordelijkheid om de klantendata te beveiligen, nu doen zij dat in de vorm van beveiliging van hun eigen omgevingen, met toegangsbeveiliging (naam en wachtwoord), hopelijk encryptie van de dataverbindingen en de beveiliging die de gebruiker van de desbetreffende software gebruikt. Google kwam in dat kader met de tweeweg factor authenticatie zoals vele banken deze ook gebruiken bij internetbankieren En eind februari volgde Office 365 ook met tweeweg authenticatie met een RSA-token. Hiervan ben ik als gebruiker nog niet op de hoogte gebracht, maar dat terzijde.
Normen en controles
Aan de kant van de cloud provider dient echter ook het nodige te gebeuren, zoals ik al eerder in artikelen over transparantie en cloud security schreef. Op 20 maart geeft EuroCloud Nederland een Public briefing over certificering. Hierin zullen zij vermoedelijk informatie geven omtrent de stand van de cloud-normen zoals die nu worden uitgerold en worden ontwikkeld.
Ik ben oprecht voorstander van deze normen, maar dan wel in combinatie van maatregelen zoals certificering van cloud-leveranciers door onafhankelijke auditors, die ook begrijpen wat er in deze wereld omgaat. De tweede actie die daarbij hoort, is dat de auditing (controles op de juiste en volledige uitvoering van de ISAE3402 en ISO 27001 normen) met een frequentie van drie maanden wordt uitgevoerd. De rapportage over juiste en correcte uitvoering moet dan door de auditor binnen vier weken worden gerapporteerd aan de klant en de resultaten moeten ook via de website van auditor, overheidsinstantie en cloud-leverancier worden gepubliceerd.
De balans tussen de auditor en hacker
Omdat telkens blijkt dat criminelen een stap voor lopen verdient het ook aanbeveling, dat de cloud providers ook mensen in dienst neemt die denken als hackers. Deze mensen moet je dan niet persé willen integreren in je organisatie omdat het juist van belang is dat hun kwaliteiten de ruimte krijgen. Ze zullen zich echter wel aan enige regels moeten houden, maar dat is een kwestie van het vinden van balans.
Over de salarishoogte doe ik geen uitspraak, voor mij lijkt het belang van beide voor een cloud provider heel groot.
Het zal best kunnen voorkomen dat auditors en huishackers zich in dezelfde ruimte kunnen bevinden. Ik laat aan u om te beoordelen waar dat zal zijn…..
Terecht artikel.
Helaas is dit nog maar 1 kant de problematiek. Zolang de VS nog steeds de trias politica (ook wel de driemachtenleer genoemd) geen eer aandoet met hun Patriot Act is security niet de enige zorg die de adoptie van cloud computing vertraagd.
Ook op het gebied van wetten moeten nog wat slagen gemaakt worden. Maar dat security (en de communicatie daarover) en voorwaarden over privacy een obstakel vormen is evident.
Andre,
Degene die de fouten in DigID aan het licht bracht was onbetaald in tegenstelling tot de auditors en Diginotar was gecertificeerd, waarmee ik wil zeggen dat een certificaat niet zoveel zegt. En vervelende van de cloud is dat deze niet grensgebonden is, net als internet waarmee controleren nog weleens moeilijk kan worden. En je zegt zelf al dat Internet al heel lang bestaat, waarmee enige volwassenheid verwacht mag worden maar horen we toch steeds vaker over beveiligingsproblemen.
Oke, met multifactor authenticatie kunnen we wat aan de zwakke wachtwoorden doen maar dat kost wel geld. En als verschillende diensten bij verschillende aanbieders afgenomen worden krijgen we misschien wel een sleutelbos aan tokens. Of we moeten een gedeelde authenticatie dienst hebben welke, net als DigiNotar interessant wordt om aan te vallen omdat je dan vele deuren tegelijk opent. Black hat hackers hebben tenslotte vaak meer tijd omdat ze het niet alleen voor de winst doen maar, niet zelden gezamelijk ook steeds vaak in communities als protest.
Maar goed je stelt in artikel de verplichting dat auditors moeten weten wat er speelt waarmee je impliceert dat deze rol min of meer door de white hat hacker gedaan zou moeten worden. En uiteindelijk kan het misschien wel op orde zijn aan de kant van de cloud provider maar nog niet bij gebruiker of de weg hiertussen waardoor er een soort van schijnveiligheid ontstaat. Feit is namelijk dat ict sneller veranderd dan procedures door mobiele applicaties, eigen apparaten en nieuwe diensten.
Als tussenoplossing hebben we nu dan ook iets als de ‘private cloud’ wat eigenlijk een ’trapdoor’ cloud is omdat je hiermee eigenlijk direct vastzit aan één aanbieder. Als de concurrent goedkoper is of je vertrouwen schaadt kun je vaak toch niet zo eenvoudig overstappen doordat er nog te weinig standarisatie is. Goed vastleggen van de spelregels is een begin om tot standarisatie te komen maar gaat het hier niet net als met Video2000 en Betamax welke misschien beide beter waren dan VHS maar het verloren hebben door moraal?
@Edekkinga, dat zijn interesante toevoegingen op mijn betoog. Die kosten zijn op zich niet zo belangrijke als de klant in staat is die kosten te zien als een soort verzekeringspremie.
Met mijn artikelen beoog ik o.a. de auditors en providers bewuster te maken van de 1e stap in het beveiligings proces.Daarna zal er nog veel gedaaan worden om klanten bewuster te maken.
Criminelen zitten ook niet stil, getuige de aanhef van hun spam berichten.
Deze week las ik dat het internetbankieren door de ABNAmro was geblokkeerd omdat er niet op een eerder spam bericht met de aanhef”uw internet bankieren wordt geblokkeerd” was gereageerd.
Was dat ff schrikken voor de geaddresseerde…;)
Er wordt in het artikel vanuit gegaan dat een cloud moet, dat is te kort door de bocht!
Er zijn meer mogelijkheden: BYOC: Be Your Own Cloud…
@Maarten, ik bedoel meer “als cloud dan toch moet, doe het dan safe” en weet waar je op moeten letten als auditor en gebruiker.
Uiteraard niet helemaal on-topic , maar hopelijk wel de moeite waard is het volgende;
Er komt een conferentie over de beveiliging van cloud-computing die welliswaar vooral de midden-oosten regio betreft, maar wellicht kan men daar nieuwe kintakten leggen met medegeintresseerden en/of bedrijven,ecperts , etc.
Men zoekt nog sponsors (bedrijven of particulier mag ook uiteraard)
Er zijn verschillende sponsorpakketten beschikbaar.
Misschien zijn er onder de lezers van dit forum ook nog wel potentiele sprekers die intresse hebben ??
Wil u meer weten ? kan via mij of neem rechtstreeks kontakt op met forward networking , u vind het vast wel op ons mooie internet.
En dat het maar een fijne en veilige plek blijven.