De leverancier van een cloudoplossing is in principe verantwoordelijk voor de beveiliging van de door hem geboden dienst. ‘Het is zijn belang’, zegt beveiligingsexpert Bastiaan Bakker van beveiligingsbedrijf Motiv IT Masters. ‘Gaat het mis, dan gaat het goed mis. Dan hebben meerdere klanten in de cloud er last van. Je gaat er vanuit dat het er gratis wordt bijgeleverd.’
Bakker was een van de sprekers tijdens de kennissessie over Cloudsecurity in de stand van Computable tijdens de beveiligingsbeurs Infosecurity 2013 in Jaarbeurs Utrecht. De andere sprekers waren Henk van der Heijden (TecHarbor). Hans Nipshagen (Akamai) en Eddy Willems (G Data). Bekijk hieronder de compilatie van deze kennissessie.
Misschien was het handiger om te zeggen: de hoofdleverancier is verantwoordelijk voor de beveiliging in de cloudketen!
Cloud bestaat meestal uit verschillende componenten en (sub)leveranciers. De hoofdleverancier dient de klant te ontzorgen door te zorgen voor de juiste kwaliteit van verschillende onderwerpen/componenten in de hele keten.
Zegt de opmerking “is in principe verantwoordelijk” niet alles?
Hoeveel SLA’s zijn er nodig om die risico’s te herkennen en af te dekken?
Of een SLA helpt tegen bedrijfsspionage uit USA – China – Rusland – etc. is hoogst twijfelachtig.
“Cloud” of “cloudketen” is een mooie techniek maar de maatschappelijke en organisatorische inbinding staat nog steeds in de kinderschoenen.
SLA’s bieden ietwat zekerheid en voornamelijk resultaatverplichtingen.
Maar ook niet veel meer dan dat.
De cloud leverancier zal enkel en alleen de externe bedreigingen mitigeren conform contract, welke verantwoordelijkheden afnemer heeft zal mede bepaald worden door het model van de service en activiteiten hierbij verschillen dus nogal als je IaaS of SaaS afneemt in publieke of private vorm. Een belangrijke vraag is of je als afnemer dan wel de juiste mogelijkheden hebt of krijgt om maatregelen te kunnen nemen tegen interne risico’s zoals onbedoelde of bedoelde schade door geautoriseerde gebruikers.
Leveranciers bieden namelijk vaak wel een disaster recovery maar niet altijd met de juiste granulariteit waardoor je niet altijd kunt ’tijdreizen’ en de impact van een hack dus veel groter wordt. Ik betwijfel trouwens ook ten zeerste of alle leveranciers wel open en eerlijk zijn over de eventueel geconstateerde beveiligingsfouten, afnemer krijgt geen tenslotte vaak geen zicht in de logs.
Je zal tenminste er zelf voor moeten zorgen dat je je eigen data voldoende beschermt tegen kopiëren meelezen etc etc is.
Dat doet en kan een cloudleverancier niet voor je doen. Wat dat betreft is het interessant om te lezen dat er taps tussen datacentra verbindingen zijn ( Snowden), omdat de data daar juist niet …. vercijferd tussen uitgewisseld wordt.