Afgelopen week had ik het genoegen om aanwezig te mogen zijn op het SecureCloud 2014 congres, net als collega Computable-experts Bart Veldhuis en Walter van Holst die daar ieder reeds een artikel over geschreven hebben. Onderstaand doe ik verslag van mijn bevindingen en gedachten, waarbij ik probeer om geen zaken te herhalen die reeds door Bart en Walter verteld zijn.
De aanleiding voor mij om naar het congres te gaan was het feit dat de Cloud Security Alliance (CSA) de organisator was. Of althans, de medeorganisator. Voor degenen die de CSA niet kennen: CSA is eeneen organisatie zonder winstoogmerk (‘not-for-profit’ organisatie), opgericht in 2008, met de missie om het gebruik van best practices te bevorderen om de veiligheid van cloud computing te verbeteren. De CSA wordt gerund door een brede verzameling van actoren uit de bedrijven, overheden, politiek, onderwijs en andere belanghebbenden.
De CSA heeft eind 2011 het STAR initiatief gelanceerd, een publiek toegankelijk (dus transparant) register van beveiligingsmaatregelen, en de score van cloud services providers ten opzichte van deze maatregelen. Ik herken datgene wat Bart Veldhuis schrijft (zie zijn artikel ISO 27001 is geen garantie voor veilige cloud) over de kracht van de CSA STAR-certificering, maar ook de nog beperkte adoptie bij Europese, dus ook Nederlandse, cloudgebruikers en cloudservice-providers. Toch bemerk ik in de recente interacties met diverse grotere Europese gebruikersorganisaties dat zowel security-architecten alsook compliancy officers stap voor stap het gebruikt van STAR omarmen en praktiseren. Voor mij aanleiding om additioneel aan het reeds langere tijd volgen van CSA nu ook het congres te bezoeken.
Organisatoren
Wat ik me minder goed beseft had, was het feit dat zoals gezegd CSA niet de enige organisator was. De andere twee organisatoren waren Fraunhofer FOKUS en ENISA. Fraunhofer FOKUS is een onafhankelijke onderzoeksinstelling die zich richt op hoe communicatienetwerken bijdragen tot een gemakkelijker en veiliger wonen en leven. Het is intensief betrokken bij diverse onderzoeksprojecten van ENISA, de derde organisator. Voor degenen die ENISA niet kennen: de European Union Agency for Network and Information Security is een agentschap van de Europese Unie, opgericht in 2004 en gevestigd in Iraklion op Kreta. Het agentschap heeft tot taak informatienetwerken en daarmee verstuurde gegevens te helpen beveiligen. Het agentschap zou eigenlijk maar vijf jaar bestaan. Vanwege de toename van cybercrime besloot de Europese Unie in juni 2008 tot het verlengen van de levensduur van de ‘Europese digitale politie’.
De verschillende achtergronden, doelstellingen en agenda´s van deze drie organisaties zorgden ervoor dat het weliswaar een zeer interessant congres was, maar dat er naar mijn bescheiden mening wel een wirwar aan door elkaar lopende discussies werd gevoerd.
De pragmatisch discussie: hoe zorgen organisaties ervoor dat op basis van de bestaande wetgeving en door toepassing van de bestaande, beschikbare beveiligingsmaatregelen, compliancy frameworks et cetera maximaal genoten kan worden van de voordelen die cloud computing biedt. Onderwerpen als ‘maar de Britse geheime dienst kan …’ en ‘Snowden heeft aangetoond dat …’ zijn in deze discussie totaal niet relevant. Er zijn wetten waar iedereen zich aan moet houden. Gebeurt dat niet, dan moeten overheden ingrijpen. Maar een bedrijf moet voorwaarts, moet zich aan regelgeving houden, en moet met cloud service providers binnen die wettelijke kaders de benodigde afspraken kunnen maken. En dat in het spanningsveld tussen ‘standaard cloud-dienstverlening’ versus ‘maar voor mijn bedrijf wil ik graag …’. Kortom: acteren binnen de bestaande wetgeving;
De fundamentele (voornamelijk privacy gedreven) discussie: er is wetgeving, prima, maar zorgt die er voldoende voor dat de belangen van burgers en bedrijven gewaarborgd en beveiligd worden? Vooral het onderwerp privacy speelt hierbij een hoofdrol, inclusief de verschillen in hoe verschillende landen en regio’s omgaan met het begrip privacy en de implementatie van de benodigde waarborgen. Kortom: beoordelen en verbeteren van de bestaande wetgeving;
De crime fighting discussie: los van wetgeving zijn er altijd ‘boefjes’ die daar lak aan hebben. Hoe bestrijd je deze criminelen, en welke vrijheidsgraden geef je aan crime fighters? Kortom: welke mogelijkheden geef je om de samenleving te beschermen?
Ik had gaarne gezien dat de organisatie deze drie invalshoeken beter uit elkaar getrokken had. Nu werden discussies over de relevantie van ISO27k verstoord door opmerkingen als ‘maar het is duidelijk dat GCHQ en NSA zich niet houden aan …’. Daar moeten we ook zeker aandacht voor hebben (ofwel discussie twee) , maar als bedrijf ga ik morgen helaas ook niet de wereldhonger oplossen, en wil ik wel verder met cloud computing (dus discussie één).
Daarnaast bleek diverse malen dat het belangrijk is om in discussies onderscheid te maken tussen feiten, interpretaties; meningen en soms zelfs ‘Indianenverhalen’: En dat is al moeilijk genoeg, zoals bleek toen de voorzitter van de European Privacy Association, in een overigens verder zeer goed verhaal, meldde dat de Safe Harbor principes op dit moment niet worden erkend als zijnde adequaat. Gelukkig greep het publiek in bij monde van een Engelsman die de officiële tekst van de website van de Europese Commissie voorlas waarop werd aangegeven dat Safe Harbor op dit moment geaccepteerd is. Tevens gaf hij aan dat er discussies gaande zijn waarbij de Europese Unie aanstuurt op verbeteringen van de afspraken, maar dat is wat anders dan nu reeds zeggen dat het niet adequaat is! Anders gezegd: voor discussie één is Safe Harbor een gegeven, en in discussie twee kun je, als je dat wilt, Safe Harbor ter discussie stellen. Zoals bovengenoemde Engelsman zijn ingreep besloot: ‘we need to be carefull to be precise!’.
Spanningsveld
Een laatste bespiegeling die ik nog wil delen is naar aanleiding van een opmerking van dr. Evangelos Ouzounis, Head of Critical Information Infrastructure Protection van ENISA. Dr. Ouzonis vertelde dat hij een toenemend spanningsveld ervaart tussen de ‘global world’ met “global players” en de nog achterlopende wereld van overheden. Vooral binnen de Europese Unie hebben we te maken met een kakofonie van talen, wetstelsels en wereldbeelden. Wordt er nou in de VS ook zo veel gesproken over security polices en frameworks? Nee, aldus dr. Ouzonis, waarbij hij aangaf dat dit ongetwijfeld een van de oorzaken is dat er in de VS zoveel meer energie lijkt te zijn voor nieuwe business, op grote schaal. Focus op business in plaats van teveel handelen vanuit angst.
Europese eenwording, onder hoge druk en met veel vaart, is dus de enige oplossing als we de wereldwijde strijd niet willen verliezen, aldus dr: Ouzonis. In mijn woorden: als we (de broodnodige) discussies twee en drie op Europees niveau met gezwinde spoed ‘oplossen’, en beseffen dat de ultieme oplossing niet bestaat, kunnen we zo snel mogelijk weer aan de slag met discussie één. En dus met daadwerkelijk cloud business bouwen. Maar ja, ik ben dan ook een pragmatist. Met principes, dat dan weer wel.
@Marc
Wat bedoel je met pragmatisch?
Nog te vaak blijkt dit te staan voor terugkeren op onze schreden – voortschrijdend inzicht genoemd – als blijkt dat nadelen onbenoemd bleven in de haast om nieuwe dingen te adopteren. Ik vind het nogal opmerkelijk dat Edward Snowden telkens genoemd wordt terwijl een halfjaar geleden deze nog melaats was. Betreffende je opsomming van feiten, interpretatie, meningen en indianenverhalen is het handig als je Amerikaanse blogs leest.
De discussie over het recht op privacy en wijze waarop NSA en andere inlichtingsdiensten deze rechten schenden loopt al jaren. En misschien dat de Europese Unie de Safe Harbour principes accepteert maar verschillende organisaties die zich bezig houden met persoonsgegevens en privacy roepen wat anders, ons CBP is daar één van maar in andere Europese landen (al dan niet tot de unie behorend) is hetzelfde geluid te horen.
Zeker is principe van de cloud interessant maar beoordeel toepasbaarheid ervan op grond van informatiebeleid, goedkoop is tot op heden duurkoop gebleken. Europese eenwording onder hoge druk klinkt als project muntunie waar ook weeffouten in bleken te zitten en handelsverdragen zijn wat anders dan democratische waarden. Vergeet ook niet dat individuele staten in de U.S. meer autonomie hebben dan wij onder het juk van Brussel.
Hi Ewout,
Wat ik bedoel is een aantal dinegn:
– Zo lang wij op landenniveau over onderwerpen als privacy blijven debatteren, en dus als Europa een verdeeld landschap blijven, gaan e de strijd in de wereld verleizen. Rotterdamser gezegd: zo lang wij blijven neuzelen op 27 postzegels in Europa, gaan we het niet redden. Er is naar mij mening maar 1 weg voorwaarts, en dat is Europese eenwording. Dat is een “hell of a jb”, want ook ik ben bang van geldverslindende Brusselse bureaucraten en ik ben ook niet bereid om alle verantwoordelijkeden als Nederland zo maar even af te geven aan “Europa”, maar er is wat mij betreft geen andere optie dan dat pad verder vorm te geven. Europa is geen keuze meer, maar is een “must”, waarin het beste wat we kunnen doen is het bijsturen tijdens het boeken van de vooruitgang.
– De dicussie omtrent privacy regels, Safe Harbor, etc. dient dan ook gevoerd moet worden op het niveau van de EU, en niet op landenniveau.
– Als bedrijf acteer ik volgens de regels die er gelden. Als Safe Harbor akkoord is, dan is is dat zo. Dat er gediscussieerd wordt over Safe Harbor … dat snap ik, dat steun ik zelfs, maar … ik kan mijn bedrijf niet runnen als ik rekening moet houden met alles waar over gedicussieerd wordt. Zeker niet in Europa noch in Nederland, want discussieren .. daar zijn we goed in. Kortom: ik run een bedrijf op basis van de wetgeving, en discussieren over die wetgeving … doe ik buiten de tijd die ik besteed aan mijn bedrijf
– Hetzelfde geldt voor de foutieve gedragingen van instanties zoals NSA, GCHQ, etc. Ik vind het zeer zeer belangrijk om te zorgen dat we daar de juiste balans vinden tussen beschermen tegen “het kwaad” versus “mag ik aub wat privacy hebben!”. Maar die discussie … ook die doe ik buiten de tijd die ik besteed aan het leveren van diensten door mijn bedrijf.
En dat was mijn hoofdpunt: als ik een bedrijf run, zorg ik ervoor dat ik mij hou aan de wetgeving die er is. De discussie over of die wetgeving goed is of niet … mag iedereen voeren wanneer hij wil, maar ik laat dat de vooruitgang van mijn bedrijf niet tegenhouden. En ik zie om me heen een beetje teveel … laat ik het maar “beroepsdiscussieerders” noemen, rondlopen, die over alles een mening hebben, die altijd wel bezwaren vinden om vooruit te komen, die overal wel problemen zien en … zo wordt het nooit wat met zakelijk Europa. Daarom vind ik dat je wel zeker de fundamentele discussies moet voeren, maar dat je er ten alle tijde voor moet zorgen dat dat niet een reden is om zakelijk stil te blijven staan.
Groet, Marc
Ik heb nu helaas niet de tijd om te reageren zoals ik graag doe; uitgebreid. Dus hou ik het maar kort.
Goed artikel! En fijne reacties!
Wat betreft het wettelijke…. hoeveel rechtspraak is er? In mijn beleving moet je wel bewust zijn van de regels, maar is de pakkans zeer gering. Pragmatisch gezien dus: Doe wat je goed acht met oog op wet en veiligheid, maar laat je vooral niet remmen in het grijze gebied met weinig jurisprudentie.
Ik roep ook altijd 1 europa, maar als ik dan kijk wat dat betekent en wat voor mensen dat Europa dan leiden, maak ik me ook wel weer erg zorgen!
Amerikanen doen en doen op grote schaal, Europa mag op dat gebied niet eens in de schaduw mogen staan. Aan deze kant van de oceaan hebben we wel weet andere virtues zoals “wij zijn erg goed in het inzetten van amerikaanse mooie spullen”.
‘we need to be carefull to be precise!’. – mooie quote, die houdt ik erin. Safe Harbour is dus geaccepteerd als certificering, alleen praktisch weinig waard.
@Marc
Lees een tegenstrijdigheid in je reactie aangaande Europese samenwerking door wel een fundamentele discussie te willen voeren over ‘zakelijk Europa’ maar gelijkertijd stellen dat de andersdenkende alleen maar dingen willen tegenhouden. Roepen dat Europa een must is geeft al aan waar de waarden van dit genootschap liggen en volgens mij was dit precies de reden waarom Edward Snowden op grond van principiële waarden besloot om wat dingen te onthullen.