Laten we eens even naar wat feiten kijken rond de veiligheid van cloud computing. Laatst las ik dat de GCHQ (zeg maar de Britse NSA) had ingebroken bij Belgacom. Doelwit was de router van het internationale mobiele dataverkeer zodat ze een ‘man in the middle attack’ op smartphones konden doen. Waarom Belgacom? Hoeveel diplomaten denk je dat er in Brussel rondlopen en waar die allemaal vandaan komen?
Het heeft twee jaar geduurd voordat dit aan het licht kwam, terwijl ik toch mag aannemen dat een Belgacom over wat meer it-beveiligingskennis beschikt dan het doorsnee midden- en kleinbedrijf. Zou een dergelijke inbraak bij Amazon ongemerkt blijven? Ik heb geen idee, maar ik heb wel een indruk wie er meer it-beveiligingspersoneel heeft.
Security mensen zijn van nature nogal paranoïde, maar sommige zijn wat meer paranoïde dan anderen. Bij een cloud security cursus die ik laatst gaf had zo’n paranoïde cursist een Amazon Web services account puur en alleen voor de cursus aangemaakt, en op de laatste middag direct weer opgezegd.
Vlak voor hij vertrok liet hij mij wat op zijn telefoon zien. Binnen een uur na zijn opzegging was zijn LinkedIN profiel bezocht door iemand van het Amazon compliance departement. Blijkbaar vonden ze zijn gedrag erg verdacht. Of ze deden een wedstrijdje wie het meest paranoïde kan zijn.
Van die compliance en risk management afdeling had ik een paar maanden eerder een presentatie bijgewoond. De baas ervan had toen aangegeven geen budget te hebben, als in ‘geen budgetbeperkingen’. Er ging een zucht van afgunst door het publiek.
Cloud computing wordt niet veel veiliger dan het nu al is: de beste aanbieders zijn al erg goed, en aan de andere kant komen er een hoop cowboys bij die security maar een lastige kostenpost vinden. Maar interne it-gaat achterlopen en is mogelijk de bewapeningswedloop met hackers aan het verliezen. Het maakt dan niet uit of die hackers uit China, Oost-Europa of uit Noord-Amerika komen.
Cloud computing nadert daarom een ’tipping point’. Binnenkort zijn diensten uit de cloud veiliger dan diensten van een eigen it-afdeling.
Peter van Eijk is onafhankelijk adviseur op het gebied van digitale infrastructuren (www.peterhjvaneijk.nl).
@Peter
een groot getal maal een hele hele kleine kans betekent dat de uitkomst volstrekt onzeker is.
je stelt; Binnenkort zijn diensten uit de cloud veiliger dan diensten van een eigen it-afdeling.
dat is dus echt nog maar de vraag, omdat mijn eerst regel daar op van toepassing is.
De cloud schaalgrootte is hoog, de aantrekkelijkheid om er in te kunnen ook, het aantal gebruikers ook, de kans is klein..
kortom 50/50 dat je gelijk hebt. Mar ik denk minder :-), door wat andere factoren.