De FFIEC (Federal Financial Examination Council) heeft recent richtlijnen en waarschuwingen uitgegeven voor banken over het gebruik van cloud computing, met name het outsourced aspect daarvan. In hoeverre lijkt dit van toepassing op Nederlandse banken, en waar moet men rekening mee houden als het gaat over corporate security?
Voorafgegaan door een publicatie van het NIST 'Guidelines on Security and Privacy in Public Cloud Computing' heeft het FFIEC hier een sausje overheen gegoten voor de bancaire sector. Dit komt niet zomaar uit de lucht vallen: niet alleen hebben banken te maken met risico’s rondom het omgaan met klant data, ook is de hele sector kwetsbaar voor (al dan niet frauduleuze) verstoringen in operationele systemen zoals bijvoorbeeld Internet bankieren – tegenwoordig het belangrijkste bancaire kanaal.
Het is duidelijk dat een bank niet zomaar over een nacht ijs zal gaan alvorens een 'outsourced cloud strategy' te omarmen, immers het risico op bovengenoemde zaken wordt alleen maar groter. Maar toch is het een aantrekkelijke overweging om de kosten in de hand te houden.
Wat beveelt het FFIEC aan om te doen?
1. Due Diligence van de cloud provider, ga eerst eens grondig onderzoeken of het bedrijfprofiel van de aanbieder overeenkomt met de doelstellingen van de bank. En dan met name ook, hoe er met data wordt omgegaan. Komt het niet overeen? Ga dan op zoek naar een ander.
2. Vendor Management. Controleer de aanbieder zoveel mogelijk en op allerlei terreinen, met name ook op de bekendheid met financiële processen en wettelijke aansprakelijkheden.
3. Audit de procesbesturing, en ook hoe de service provider de controls heeft geïmplementeerd. Doe dit regelmatig en zie er op toe dat de auditstaf hier goed op getraind is.
4. Informatiebeveiliging, en dan wel completer dan compleet. Versleutel alles. Houd een goede boekhouding bij van alle data sources. Wees er zelfs zeker van dat als data wordt weggegooid, dat het dan ook echt “weg” is.
5. Wettelijk kader. Idealiter zou er een soort “dashboard” moeten zijn om te zien hoe compliant een outsourced cloud is. Overigens zijn hier diverse tools voor op de markt, waar het FFIEC geen uitspraak over doet.
6. Continuïteits planning. Ook dit moet gezien worden als een (security) risico. Zorg ervoor dat er hiervoor plannen zijn en test deze ook regelmatig.
Oud en/of nieuw
Is dit nieuw? Ja en nee. De meeste documenten van het FFIEC dateren van begin 2000. Het zou goed zijn om ook eens naar andere ontwikkelingen te kijken zoals bijvoorbeeld het (card) betalingsdomein – PCI/DSS. De meeste elementen hierboven genoemd vind je er in terug (voor wat betreft card data), hoe beveilig je deze data ook in een gevirtualiseerde omgeving. Wat nieuw is, is het outsourcings aspect. Eigenlijk het overdragen van verantwoordelijkheden aan een derde partij zoals bijvoorbeeld een Datacenter (aan den lijve ondervonden in een project voor groep Zweedse banken waar de aansprakelijkheid een belangrijk gesprekspunt was).
Dit lijkt ook van toepassing voor de Nederlandse bankensector. Naar mijn mening zijn de meeste technische kaders al geschapen voor een veilige operatie in de outsourced cloud, maar ik vraag me af of de organisatorische kaders ook zijn toegerust voor deze stap. In ieder geval zouden de huidige security policies herbezien moeten worden in het licht van de cloud. Een goede analyse helpt hierbij en geeft inzicht in de dingen die nog moeten gebeuren.
Op de verwijzing naar het FFIEC na is dit toch de routine matige werkwijze (Business as Usual)van een bank? Zo niet dan raak je je vergunning kwijt. Je gaat als bank niet over een nacht ijs als je gaat outsourcen en dat doe je ook als je de cloud gaat toepassen. Ik zou nog een aantal items toevoegen als ik bank zou zijn en ik zou kritisch zijn bij “alles” versleutelen. Ik zou eerder kiezen voor meerdere lage van authenticatie en autorisatie en alleen de dat die ertoe doet versleutelen. En ik zou nog kritischer zijn op de data classificatie van dat die naar de cloud zou worden verplaatst.
Het motto zou dan ook moeten zijn, verplaats alleen niet kritische dat naar de cloud en ga geen client gegevens e.d. in de cloud hosten, die blijft in de private cloud.