It-dienstverlener Macaw heeft tijdens de Twitter-week die het met Computable hield de vijfde Nokia Lumia 925 toegekend aan Computable-expert Ad Gerrits, informatiearchitect bij Kwaliteitsinstituut Nederlandse gemeenten (King). Hij vroeg hoe je kunt garanderen dat bij encryptie van clouddata het sleutelbeheer veilig plaats vindt. De laatste dag van de Twitter-week kwam het onderwerp ‘beveiligingsaspecten van de cloud’ aan bod. Het leverde in totaal 35 vragen op.
In antwoord op de vraag van Gerrits lieten de specialisten van Macaw weten dat Microsoft hiervoor een speciale website in het leven heeft geroepen. Gerrits had echter een vervolgvraag. ‘Hoe kun je van goede cloudbeveiliging uitgaan als audits kwalitatief niet altijd goed zijn, zoals bij Digitnotar? ‘We hebben gemerkt dat veel vragen te maken hebben met beveiliging, privacy en naleving hiervan’, laat Macaw in een aanvullende reactie aan Computable weten. ‘Microsoft heeft hierover de website ‘Windows Azure Trust Center’ en daar hebben we uiteindelijk ook veel naar verwezen . Zo ook bij een aantal vragen van Ad Gerrits.’
Geen nadelen bij encryptie
Ook Almer Veenstra, business development consultant bij Centric, had een vraag over encryptie. ‘Is al je data in de cloud encrypted? Zo niet, is het mogelijk? En wat is het nadeel?’ Volgens Macaw-specialist Guido Vrijdag is dit afhankelijk van de provider, app of platform. ‘Van grote providers mag je dit verwachten.’ Volgens Vrijdag zijn er eigenlijk geen nadelen.
Sebastiaan Eilander, management consultant bij KPMG ERP Advisory, constateert dat de cloud goed beveiligd, maar ook interessanter is om te hacken. ‘Hoe adviseren jullie dit risico in te schatten en te mitigeren?’ Guido Vrijdag: ‘Het risico is lastig in te schatten bij uitbesteding. Grote partijen hebben wel meer ervaring, kracht en naam te verliezen.’
Het gaat om vertrouwen
Computable-expert Andre Salomons, agent voor Smart SharePoint Solutions, wilde graag van Macaw wat de beste manier is om argwaan van potentiële cloudklanten wegnemen bij vragen over zaken als cloudsecurity, DDoS en PatriotAct. ‘Vraag degene of hij/zij zeker weet dat zijn interne verkeer/opslag/informatie wel veilig is’, reageert Vrijdag. Het gaat volgens hem om de ratio versus angst. Volgens Salomons weet een potentiële klant dat wel als hij de cloud in wil. ‘Moet hij iets opzoeken of checken? Bij welke objectieve bron kan dat?’ Vrijdag: ‘Ik betwijfel of er objectieve bronnen zijn in geval van een veiligheidsvraag over de cloud. Het is een gedeeld belang, anders kan je je naam kwijtraken. En dus gaat het om vertrouwen, hoe paradoxaal ook.’
Via Twitter zijn alle vragen over het onderwerp ‘beveiligingsaspecten van de cloud’ terug te vinden. Gebruik hiervoor de hashtag #AskMacaw.
Ik vind beide materie’s zeer interessant.
Security
Omdat voor mij als Sr. IT Professional security altijd een onderdeel van elk IT proces is, onveranderd, denk ik graag over te nemen stappen na, zo ook zo ook security. Je kunt je bij security vele scenario’s en manieren bedenken qua implementatie, alles valt en staat met de mens als cruciale factor.
Second best
Het is overigens niet alleen de mens die een factor speelt als zodanig. Ook de techniek is van belang, dan meer de gehateerde technieken. wie doet wat en wie is waar verantwoordelijk voor. Als de geschiedenis mij één ding heeft geleerd, dan is het niet zomaar vertrouwen op de blauwe/bruine ogen van hen die mij iets willen verkopen.
Hoe meer schakels tussen mij en mijn data, hoe meer er fout kan gaan. Dat geld natuurlijk ook voor de toename aan partijen.
Data in de cloud
Mensen die mij een beetje beter kennen, inmiddels, weten dat ik nog steeds een pas op de plaats maak bij, niet alleen encryptie van data, maar ook cloud.
Encryptie
Na veel testen, met verschillende platformen, tools, encryptiemodellen, weet ik dat er aardige dingen te bereiken zijn. Maar ik weet ook dat (de) en (en)cryption soms de nodige vertraging met zich mee kan brengen. Nog steeds. Niet dat dit voor mij een issue is.
Tegens
Twee tegens worden eigenlijk al in het artikel genoemd. De Amerikaanse Patriot Act heeft zo invloed en perikelen op de beschikbaarheid en de toegankelijkheid. Die kun je niet weg nemen, hoogstens bagatelliseren.
Een vraag die ik nog steeds niet beantwoord heb gezien is namelijk de vraag wat er gebeurd indien data, versnipperd en versleuteld, onder word gebracht bij landen die onder het VS principes van GEC vallen.
Daar word door geen enkele cloud dienstenleverancier iets over gezegd maar het kan wel degelijk dat uw data terecht komt op servers die in dergelijke landen staat. weet u dat er geen ‘wavers’ of vrijkaarten bestaan voor wat de verantwoordelijkheid van die data betreft? U bent als eigenaar gewoon verantwoordelijk voor uw data. Jammer is dat uw bedrijf dan ook op ‘black list’ van de VS kan komen te staan omdat dit gebeurd. Neen, u word er door hen niet over geinformeerd, zij doen het gewoon.
Juridische hiaten
Cloud leveranciers weten dit vaak niet en kunnen het u ook niet vertellen. We hebben het dan ook niet over andere triviale zaken zoals de verantwoordelijkheden van back ups in de cloud, en wie wanneer waar verantwoordelijk voor is. Onderbelicht hier in het artikel is dat encrypty en backup/restore, zo eigen spanningsvelden en uitdagingen kent zo af en toe.
Audit
Uit ervaring kan ik u zeggen, en diginotar is slechts een voorbeeld dat door mij in een whitepaper als voorbeeld veel uitgebreider is gebruikt, dat audits helemaal geen hoge prioriteit heeft en ik in de generieke processen en sla verdraaide weinig tegen kom over audits en het testen en houden van simulaties van ‘eventualiteitn’.
Terug uit de cloud
Nog steeds zijn er de nodige uitdagingen om terug te keren met uw data uit de cloud in de zin van remigration. Want wat gebeurd er met data in geval van bijvoorbeeld faillissement of merger? Hoe is dat te regelen en geregeld.
Er word m.i. veel te eenvoudig geroepen…. ‘Cloud… u moet mee, of u wil of niet…We gaan daar wel naar toe uiteindelijk, Er is geen andere weg… Terug denk ik dan.
Ik ben nooit tegen cloud geweest. Ik kan me voorstellen dat de Bol.coms, de Googles, Microsofts, AltaVista’s, Yahoos, en websites een geweldig medium is. Hebben wij het over corporate en zeker private data? Schud ik mijn hoofd. Mijn corporate of persoonlijke data aan cloud toevertrouwen, tot de welbekende kist niet.
Dat heeft niets te maken met onwil, niet mee willen in… Maar met common sesne. Iets wat ik elke CEO/CFO/CI(T)O gewoon kan uitleggen. Zonder Hy(g)(p)en.
uit het artikel: ‘Is al je data in de cloud encrypted? ……. ‘Van grote providers mag je dit verwachten.’ ……… geen nadelen bij encryptie…
Lees de artikelen van Snowden, waarbij duidelijk wordt dat de communicatie tussen datacenters van bv Google en Yahoo niet vercijferd is en dat er wel rechtstreeks op de glasvezels in geprikt wordt ( wat op zich al een technisch hoogstandje is). Vercijfering werkt alleen waneer je als organisatie zelf het sleutel beheer doet en weet welke algoritmes gebruikt worden. Door derden betekent dat je op die partij vertrouwt. het maakt daarbij niet uit of dat ene grote of een kleine partij is. Misschien is het zelfs wel zo dat een kleine partij juist wel veel te verliezen heeft…. en helaas is alleen vercijfering verre van voldoen om tot een adequate beveiliging te komen.
Overigens zijn er objectieve bronnen genoeg on de markt om iets zinnigs en concreets te zeggen en op te lossen….., dit in tegenstelling tot wat aan het slot van het artikel betwijfeld wordt.