De discussie over de veiligheid van data in de cloud en de betrouwbaarheid van cloud-leveranciers duurt nog altijd voort. In mijn vorige blog gaf ik aan hoezeer ik het belang van certificering van cloud computing daarom onderstreep. We zijn inmiddels een paar maanden verder en hoewel we er op dat gebied nog niet zijn, zijn al wel de eerste stappen gezet om nog meer transparantie en vertrouwen te creëren.
Het zal in onze branche altijd draaien om vertrouwen, transparantie en heldere service level agreements (sla’s). Ik ben me ervan bewust dat ook certificering daar niet direct grote verandering in brengt. Vertrouwen krijgen in cloud-diensten heeft namelijk voor een groot deel te maken met een verandering in het menselijk denken. De strijd tussen wat technisch mogelijk is en wat het menselijk brein accepteert, zal altijd voortduren. Dat is logisch. Wellicht ligt hier daarom juist de grootste uitdaging voor ons; de scepsis van het menselijk denken wegnemen.
Gelukkig zijn er ontwikkelingen die het vertrouwen in cloud-diensten een flinke boost geven. Nog niet zo lang geleden werden bijvoorbeeld de cijfers van de Nationale EuroCloud Monitor gepresenteerd. Daaruit bleek dat de cloud inmiddels is doorgedrongen tot de mainstream van it. Tevens is er onlangs een belangrijke, juridische mijlpaal voor cloud-adoptie bereikt. Microsoft heeft immers een onderzoeksrecht voor DNB opgenomen in overeenkomsten met betrekking tot Office 365 cloud-diensten bij de Nederlandse financiële instellingen. Een interessante doorbraak.
Deze grootschalige cloud-adoptie geeft ook aan de tot nu toe terughoudende publieke sector een positief signaal af. Ondanks deze positieve ontwikkelingen waarmee cloud computing nog verder professionaliseert en volwassener wordt, moeten we niet vergeten dat de manier waarop wij inzicht geven in de complexiteit die cloud met zich meebrengt het ook belangrijk is om de gebruiker te overtuigen.
Ik besef dat certificering niet dé oplossing is, maar ik ben er zeker van dat het wezenlijk bijdraagt aan het vergroten van vertrouwen. Een certificaat geldt als onafhankelijk bewijs van service, kwaliteit en beveiliging. Willen we echt het vertrouwen van het menselijk denken winnen, dan moeten we transparantie bieden. En dat hebben we weer grotendeels zelf in de hand. Aanbieders moeten uitleggen hoe ze te werk gaan, en aangeven welke (back-up) scenario’s toegepast worden indien het mogelijk misgaat.
Cloud computing is nog altijd een vrij abstract begrip, dus het is aan de sector om het tastbaar te maken voor gebruikers. Daar hebben zij recht op. Want we mogen nooit vergeten dat zij hun data uit handen geven aan een externe partij en ‘hun kindje’ aan ons toevertrouwen Oftewel: we moeten de vraagstukken rondom veiligheid en betrouwbaarheid van de cloud door de bril van onze eigen bedrijfsvoering bekijken. Dan zijn wij waarschijnlijk net zo kritisch. Met die gedachte in ons achterhoofd en met dezelfde zorg moeten we de discussie blijven voeren. Want hoe zou u zich erbij voelen uw ‘kindje’ aan een ander over te dragen?
Alexandra,
Certificering is vertrouwen/kennis op papier. En ja, dat draagt zeker bij aan het vergroten van het vertrouwen. Echter zal het niet de adoptie van de Cloud versnellen. In sommige gevallen vertraagt het juist. Want weet de klant wel waar een leverancier aan moet voldoen? En hoe maak je dit inzichtelijk.
Je kan wel op de certificering van je leverancier af gaan. Maar kan je ze ook ( in het )echt vertrouwen? Volgen ze alle regeltjes en procedures wel netjes op. Referenties en het delen van ervaring speelt hier ook zeker een grote rol in. Dit zal de komende tijd nog veel discussie opleveren. Iets waar op ik mij nu al verheug.
Prachtig verhaal, maar het woord privacy komt er niet eenmaal in voor.
Vertrouwen is onmogelijk in de publieke sector als privacy niet kan worden gewaarborgd. Gaat certificering dit oplossen?
Ik denk het niet. Daar hebben we overheden voor nodig, die onderling een juridische structuur afspreken, waar de burger van op aan kan.
Gesprekken tussen Europa en de VS zijn nog steeds niet op dat punt aanbeland.
Alexandra,
Een spreekwoord luidt: “Vertrouwen komt te voet en vertrekt te paard” en hiervan zijn dus vele voorbeelden te vinden, niet enkel in de ICT sector.
Ik zie dus liever dat ‘Verander het denken’ veranderd zou worden in ‘Verander het zicht’ zodat gebruikers weten met wie ze zaken doen. En afnemers een brilletje opzetten dat geblindeerd is met certificaten geeft dus ongeveer net zoveel zicht als een lasmasker.
Laatste zin is wel leuk maar er zijn ook veel narren aan het hof om te goed van vertrouwen te zijn. Vertrouwen is goed maar controle is dus nog altijd beter.
Certificering is slechts een momentopname. Met een beetje goede wil kun je de de certificering zelfs zo sturen dat het instituut dat de certificering verzorgt alleen ziet wat jij wil dat ze zien.
Daarnaast krijg je veel certificeringen voor langere tijd, dus de huidige manier van werken hoeft helemaal niet in lijn te zijn met de stand van zaken op het moment van certificering.
Wat dat betreft ben ik persoonlijk meer gecharmeerd van de aanpak van de Amerikaanse FDA (binnen haar eigen landsgrenzen). Die mogen te pas en te onpas aanbellen bij bedrijven in de medische sector en een inspectie uitvoeren.
Neem daarbij de publieke schandpaal (ook leesbaar voor de concurrenten) in geval van geconstateerde problemen, en de mogelijkheid om een bedrijf plat te leggen (indien de problemen echt serieus zijn), dan wil je als bedrijf wel zorgen dat je spullen op orde zijn. Die stok achter de deur is veel en veel sterker dan menig certificaat.
(Binnen Europa voert de FDA ook inspecties uit, bij bedrijven in de medische sector die aan Amerika leveren. Echter, dit doen ze met een vooraankondiging enkele weken voordat ze echt komen. Ook kunnen ze in Europa in principe geen bedrijven plat leggen, maar wel een exportverbod/verkoopverbod naar/voor Amerika)
Het gebrek aan transparantie is één van de grootste vertragende factoren van cloud computing. Ik heb werkelijk geen idee hoe groot de kans is dat bijvoorbeeld een overheid zich toegang verschaft tot mijn bij externe partij opgeslagen data. En dat is dodelijk.
In theorie kan Amerikaanse overheid bij alle data die je bij Microsoft diensten opslaat, ook als dat datacenter in Nederland staat. Hoe vaak dit gebeurt en hoe vaak dit gericht is op bedrijven c.q. personen is niet duidelijk.
Ik ben ook SaaS leverancier en sla dus data op van bedrijven en personen. Ik zou dus net zo goed benaderd kunnen worden met een verzoek data te overleggen. Dit is nog nooit gebeurt.
Wat ik heel graag zou willen vragen aan grote internet providers en cloud leveranciers hoe vaak ze zo’n verzoek krijgen, of dat een rechtelijk bevel is of een vraag. Wat de toon van zo’n verzoek is en wat het protocol is van het bedrijf om met dit soort verzoeken om te gaan.
Dat zou ik heel graag willen weten.
In principe zie ik overigens geen verschil tussen een cloud leverancier en een (VS bedrijf) dat een “private cloud” aanbiedt. In mijn ogen zijn ze net zo vatbaar voor opvragingen van data.
Zo.
Dat is eruit.
@Henri,
Wat denk je een leverancier in Nederland gaat meemaken als hij je vraag beantwoord met: We hebben afgelopen 6 maanden 3 keer van Amerikaanse overheid een verzoek gekregen om data van 8 klanten aan hen door te geven!
Ja dat klopt, ze kunnen failliet gaan! Als een leverancier met dit antwoord komt dan zijn ze veel Nederlandse klanten kwijt! Dus…… ze geven nooit een eerlijk antwoord op je vraag.
@Alexandra
Door transparantie die ik van verschillende cloudleveranciers krijg (over hun back-up, beveiliging, software keuze etc etc) zie ik door de bomen het bos niet meer! Elke leverancier heeft zijn eigen transparantie-aanpak/methodiek/verhaal/vertaling. Hoe kan ik deze met elkaar vergelijken om tot een juiste keuze te kunnen komen?
Naar mijn mening kun je dit probleem oplossen wanneer standaardisatie van een aantal onderwerpen binnen cloudoerwoud gerealiseerd is. In dit geval weet ik dat iedere leverancier zich aan dezelfde regels en normen heeft gehouden. Hierdoor kan ik met een kort overzicht met informatie over een aantal zaken snel mijn toekomstige leverancier uit de vergelijkingslijst kiezen.
Nadeel van dit voorstel is dat veel ondernemers die zich nu bezig houden met het begeleiden van cloud-klanten, werkloos gaan worden!
Reza (en Henri),
Argumentatie van Patriot Act heb ik ondertussen vaak genoeg gehoord maar is niet meer het grootste probleem. Gezien de situatie met Ruby on Rails is het volgens mij ook niet ondenkbaar dat er vroeg of laat een keer een lek in een ‘cloud framewerk’ ontdekt wordt. Het is in dat geval te hopen dat het niet dagen duurt om zo’n gat te dichten en de dienst op zwart gaat. En we weten ondertussen dan een mooie certificering niet echt tegen dit risico helpt.
Toch is dat nog geen reden om geen gebruik van de cloud te maken maar wel een waarschuwing om er niet afhankelijk van te worden, in elk geval niet van één partij. Maar misschien goed als de auteur zich in deze discussie mengt want we dwalen weer eens af;-)
Goede titel, minder goed artikel. Want het artikel zelf is geschreven vanuit het denken dat je (ik in elk geval) juist zou willen veranderen. In een wereld waarin mensen (geleerd wordt te) denken dat zij meer waard (moeten) zijn dan anderen en waar dus grote (maatschappelijke, religieuze of sociale) verschillen in stand worden gehouden, mensen elkaar onderdrukken en geld en macht onlosmakelijk met elkaar verbonden zijn, kun je certificeren wat je wilt, maar in wezen verandert er niets. Je creëert schijnzekerheid. Vanuit dat onveranderde denken zullen overheden, bedrijven, criminele organisaties, extremisten en individuen op zoek blijven naar mogelijkheden om al dan niet door machtsmisbruik, misleiding of chantage, kennis los te peuteren om voordeel te halen of hun positie ten opzichte van de rest van de wereld te versterken. Als DAT denken niet verandert is je data nooit veilig. Niet in de Cloud, niet op je eigen server en ook niet op je privé PC.
Deze hele discussie is an sich redelijk abstract. Als het om vertrouwen gaat is het juist belangrijk dat je ervaring met bestaande clouds en implementaties kan overleggen en kan uitleggen hoe deze dagelijks gebruikt en beheerd worden.
Dat er in een cloud framework ook gaten zitten is bijna een wetmatige zekerheid. Maar hoe deze aangepakt worden in de praktijk is juist het moment waar het vertrouwen bevestigd wordt of niet. En welke cloud gebruiker of leverancier durft hier open en eerlijk over te vertellen?
Een Certificaat wordt uiteindelijk een compliancy norm. Compliancy is echter iets anders dan security. Het enige dat leveranciers ertoe beweegt om te beveiligen is marktwerking en data breach wetten met de bijbehorende penalties. In dat opzicht komt er binnenkort wat nieuws uit de EU.