Laten we eens even naar wat feiten kijken rond de veiligheid van cloud computing. Laatst las ik dat de GCHQ (zeg maar de Britse NSA) had ingebroken bij Belgacom. Doelwit was de router van het internationale mobiele dataverkeer zodat ze een ‘man in the middle attack’ op smartphones konden doen. Waarom Belgacom? Hoeveel diplomaten denk je dat er in Brussel rondlopen en waar die allemaal vandaan komen?
Het heeft twee jaar geduurd voordat dit aan het licht kwam, terwijl ik toch mag aannemen dat een Belgacom over wat meer it-beveiligingskennis beschikt dan het doorsnee midden- en kleinbedrijf. Zou een dergelijke inbraak bij Amazon ongemerkt blijven? Ik heb geen idee, maar ik heb wel een indruk wie er meer it-beveiligingspersoneel heeft.
Security mensen zijn van nature nogal paranoïde, maar sommige zijn wat meer paranoïde dan anderen. Bij een cloud security cursus die ik laatst gaf had zo’n paranoïde cursist een Amazon Web services account puur en alleen voor de cursus aangemaakt, en op de laatste middag direct weer opgezegd.
Vlak voor hij vertrok liet hij mij wat op zijn telefoon zien. Binnen een uur na zijn opzegging was zijn LinkedIN profiel bezocht door iemand van het Amazon compliance departement. Blijkbaar vonden ze zijn gedrag erg verdacht. Of ze deden een wedstrijdje wie het meest paranoïde kan zijn.
Van die compliance en risk management afdeling had ik een paar maanden eerder een presentatie bijgewoond. De baas ervan had toen aangegeven geen budget te hebben, als in ‘geen budgetbeperkingen’. Er ging een zucht van afgunst door het publiek.
Cloud computing wordt niet veel veiliger dan het nu al is: de beste aanbieders zijn al erg goed, en aan de andere kant komen er een hoop cowboys bij die security maar een lastige kostenpost vinden. Maar interne it-gaat achterlopen en is mogelijk de bewapeningswedloop met hackers aan het verliezen. Het maakt dan niet uit of die hackers uit China, Oost-Europa of uit Noord-Amerika komen.
Cloud computing nadert daarom een ’tipping point’. Binnenkort zijn diensten uit de cloud veiliger dan diensten van een eigen it-afdeling.
Peter van Eijk is onafhankelijk adviseur op het gebied van digitale infrastructuren (www.peterhjvaneijk.nl).
Het is al veel vaker gezegd: het gaat niet om beveiliging maar om privacy.
Inderdaad worden de middelen steeds veiliger en als je bedoelt dat mijn service niet gehacked kan worden door iemand anders, ik wil best positief blijven denken en aannemen dat dat steeds lastiger wordt.
Maar zolang staten door schimmige wetgeving zich het recht voorbehouden om haar neuzen in andermans zaken te steken, heeft veiligheid weinig betekenis. Als je gedwongen wordt je sleutel af te geven ben je dus nergens.
Dus ik wacht op het ’tipping point’: het recht om je eigen data te verdedigen wordt gewoonte. Openheid van zaken kan door het recht worden afgedwongen, maar wel op een transparante manier.
Stel dat je altijd openbaar maakt waarom en wanneer inzage noodzakelijk is, dan jaag je m.i. vanzelf de terroristen en andere minder goedbedoelende personen naar een hoek in de cloud die daadwerkelijk de welverdiende aandacht van NSA en dergelijke moet krijgen.
Een compliance check NA opzegging via LinkedIN?
Ik geloof zeker dat een cloud provider veiliger is dan een zelf onderhouden netwerk. Zeker door de budget beperkingen die mkb heeft kan er gewoonweg niet aan de zelfde normen worden voldaan. Toch is de prijs bij een cloud provider vele malen groter dan die bij een gemiddelde mkb. kleine bedrijfjes zijn dus eigenlijk enkel interessant om te hacken als de moeite hiervoor laag is en deze makkelijk (lees geautomatiseerd) gehacked kunnen worden.
Als je kijkt naar veiligheid zal je toch de hackbaarheid moeten houden tegen de kans dat je ook daadwerkelijk doelwit wordt.
Wanneer je dus als klein bedrijf iets meer doet aan beveiliging dan gemiddeld, ben je vaak al snel niet meer een interessant doelwit.
Dit neemt zeker niet weg dat je als klein bedrijf altijd onder de radar blijft en je kop hiervoor in het zand moet steken maar ik vermoed dat het “tipping” point voor de cloud nog wel even op zich zal laten wachten. De kans dat de volgende provider x miljoen accounts zal laten lekken blijft groot.
Tja, kan me goed vinden in dit artikel.
Ewout, ik kan me voorstellen dat er een “check” is dat als klanten binnen 48 uur van aanmelden en zich dan afmelden (na gebruik te maken van een paar resources) dat dit op de fraude afdeling een trigger doet afgaan als onderdeel van een compliance en dat er dan NA die afmelding een paar standaard checks gedaan worden. Geeft mij wel een goed gevoel, maar als je paranoide bent zul je er wellicht een slecht gevoel bij hebben en roepen “Zie je wel!”.
Marco: Kleine bedrijven die security bij obscurity aanhangen.. dan ben ik toch liever bij een grote cloud provider. Deze fragmenteren en distribueren namelijk hun beveiliging door klant gegevens op te hakken in kleine clusters. Het is dus een misverstand om te denken dat als de cloud provider gehackt wordt iedereen die die dienst gebruikt dan meteen de Sjaak is. Overigens zijn er nog genoeg kleine hosters / data centers die hun beveiliging nog niet op peil hebben.
@Henri,
Aangezien je heel gemakkelijk met een gestolen creditkaart een cloud dienst onder een valse naam aan kunt maken lijkt de check me nogal mager, anonimiteit heeft namelijk ook nadelen. Heeft dus niets met paranoide te maken maar met gezond verstand;-)
Verder geef je zelf in andere opinie al toe dat een veilige cloud en onveilige eindgebruikers niet een gelukkige combinatie is. Prachtig dat cloud provider in zijn datacenter alles op orde heeft maar zolang er nog lokale resources zijn die beveiligd moeten worden blijft het dus dweilen met de kraan open.
Cloud too big to fail?
Veilige cloud, netzoiets als eerlijke bank (security by obscurity ? woekerpolissen, heel ingewikkeld maar vertrouw ons nou maar) onafhankelijk adviseur (doet toevallig hele dag cloudmigraties). hosting in Amerika, wrom niet ? opdelen in kleine clusters, net als Titanic ?
De providers, leveranciers van Leased Lines of afgeleide producten in de keten van infrastructuur van switch tot stp. Maar men kan weer minder gewenste toegevoegde ‘diensten’ plaatsen op vele punten. En op veel toegangspunten zijn de toegangsprocedures niet echt high tech, dan een telefoontje om het werk te controleren. Een pasje en belletje is vaak alles. Toegangsprocedures zijn nogal ad hoc. Belangrijke netwerk ruimtes worden gedeeld en zijn vrij toegankelijk voor andere monteurs. De leverancier/fabrikant van de apparatuur heeft vaak vrij spel in die ruimtes. Controle in die keten is summier. Een bekend land uit het midden oosten is leverancier van tap apparatuur. En het zeekabel gebeuren is denk ik vergelijkbaar. Het is i.d.d. dweilen met de kraan open, maar men kan proberen het water zo vies te laten smaken dat men het niet wil gaan drinken. Dan ligt het accent minder op de onmogelijkheid om fysiek alles te proberen te beveiligen of te bewaken.
De keten is net zo sterk als de zwakste schakel. Ongeacht grootte en expertise.
Snowden kon ook bij meer data komen dan de bedoeling was vanwege het feit dat beveiliging bewust niet zo streng mogelijk was ingericht vanwege performance issues.
Toevallig dat dit ook een van de grootste opstekers voor de Europese cloud providers is.
Ik mis hier cijfers en/of vergelijkende onderzoeken. Want als “Cloud computing wordt niet veel veiliger dan het nu al is” waar is, dan hebben we een probleem.
Wat heet eigenlijk veilig als je bedrijfsgegevens worden afgegraasd?
Onderschat de in-huis-IT niet, daar heeft de ontwikkeling ook niet stil gestaan.
Helemaal mee eens Jan. Ik mis ook de onderbouwing. Iets roepen is leuk maar met de juiste onderbouwing wordt het pas interessant.