Ruim zeven op de tien Europese afnemers van clouddiensten twijfelt of cloudleveranciers voldoen aan wet- en regelgeving op het gebied van databescherming en privacy. Bovendien denken de ondervraagden dat door het toenemend gebruik van clouddiensten de financiële schade van een datalek drie keer groter is dan wanneer de gegevens alleen intern zijn opgeslagen.
Dit blijkt uit onderzoek van de Amerikaanse cloudleverancier Netskope, die de meningen over cloud computing peilde op de Europese markt. Voor het rapport zijn ruim duizend ict-professionals en verantwoordelijken voor de ict-beveiliging ondervraagd. Daaruit komt naar voren dat 72 procent van respondenten denkt dat cloudproviders niet voldoen aan standaarden voor databescherming.
‘Uit het onderzoek komt een algemeen wantrouwen in cloudproviders naar voren’, schrijft Netskope in een toelichting. ’84 procent van de respondenten betwijfelt of hun clouddienstverleners hen meteen zouden waarschuwen als hun intellectueel eigendom of vertrouwelijke bedrijfsinformatie is beschadigd. 77 procent van de respondenten zegt dat hun cloudprovider hen meteen zou waarschuwen als er bij datalekken klantgegevens verloren gingen of werden gestolen.’
Volgens de onderzoekers stelt 64 procent van de ict-professionals dat het gebruik van clouddiensten in hun organisatie hun vermogen vermindert om vertrouwelijke informatie te beschermen. 59 procent vindt dat dit het lastig maakt om bedrijfskritische applicaties te beveiligen. ‘Daarentegen ziet de meerderheid van de respondenten de cloud nog steeds als even veilig of veiliger dan it on-premise. Dit zegt misschien meer over hun geringe vertrouwen in hun eigen beveiligingsmogelijkheden dan over hun vertrouwen in de beveiligingsmogelijkheden van cloudproviders’, aldus de onderzoekers.
Grotere kans op datalek
De onderzoekers gaan ook in op de economische impact van datalekken. 53 procent van de respondenten geeft aan dat de kans op datalekken groter is als gevolg van de cloud. Ook stellen ze dat bij datalekken de verwachte economische impact verdrievoudigt als de cloud erbij betrokken is. ‘Dit fenomeen staat bekend als ‘het cloud multiplier effect’. Het onderzoek toont aan dat dit fenomeen op verschillende niveaus van toepassing is op de diverse cloudscenario’s, zoals de toename van het delen van data met een cloudapp of het toegenomen gebruik van mobiele apparaten die verbinding maken met de cloud.’
De respondenten werd ook gevraagd naar de mogelijke datalekgevolgen van het toenemende gebruik van clouddiensten. Door hun gebrek aan vertrouwen verwachten zij echter een drie keer zo hoge kans op datalekken. ‘Uitgaande van een toename in cloudstorage, kunnen datalekken waarbij informatie van zeer hoge waarde of waarbij intellectueel eigendom verloren gaat of gestolen wordt, de economische impact meer dan verdubbelen’, menen de onderzoekers. ‘Daarnaast ervaren de respondenten dat het simpelweg meer gebruik maken van clouddiensten de impact van datalekken met dergelijke informatie vergroot met 159 procent. Tot slot concluderen it-professionals dat de snelle groei en de soms beperkte continuïteit van een cloudprovider de kans dat bij datalekken consumentenrecords verloren gaan, met 108 procent vergroten.’
Europa vs. VS
De resultaten van het Europese onderzoek zijn vergeleken met die van een eerder onderzoek van Netskope en Ponemon Institute naar het cloud multiplier effect in de Verenigde Staten. ‘Europese organisaties blijken zelfverzekerder te zijn als het gaat om hun vermogen om de cloud te beveiligen. 51 procent van de Amerikaanse respondenten gaf aan dat de effectiviteit van hun organisatie om data en applicaties te beveiligen, ‘laag’ was. Dat is twee keer zoveel als het percentage Europese respondenten dat dit antwoord geeft (25 procent).’
De onderzoeker: ‘Een vergelijkbaar resultaat is, dat 52 procent van de Europese it-professionals de effectiviteit van hun organisatie beoordeelt als ‘hoog’, terwijl slechts 26 procent van de Amerikaanse respondenten vindt dat hun organisatie zeer effectief is in het beveiligen van data en apps in de cloud.’
Databescherming
‘Wet- en regelgeving voor wat betreft databescherming staat tegenwoordig zeker in een negatief daglicht, en dit geldt vooral in Europa’, zegt Larry Ponemon, voorzitter en oprichter van Ponemon Institute. ‘Ik denk dat het geringe vertrouwen in cloudleveranciers te wijten is aan verhoogde controle en de angst voor het onbekende. Als ze dat gevoel overwinnen, zien ze de beveiligingsmaatregelen die een leverancier neemt, en begrijpen ze beter hoe mensen de cloud nu eigenlijk gebruiken. Bedrijven die meer transparantie van leveranciers eisen en efficiënte methoden zoeken voor het evalueren van apps en voor het regisseren van het gebruik, zullen het eenvoudiger vinden de cloud te omarmen en deze periode van onzekerheid af te sluiten.’
Het zal altijd een onderwerp blijven. Het heeft veel te maken met vertrouwen en reputatie. Denk bv aan het moment toen er banken kwamen en de mensen hun geld niet meer thuis bewaarden.
Daarnaast zijn er natuurlijk ook verschillende soorten cloud providers of bedrijven die zich zo noemen. Je ontkomt er niet aan om echt kennis van de markt en providers te hebben als je (een gedeelte van) de omgeving in de cloud wil onderbrengen.
In vergelijking met het zelf doen, kan een cloud provider veel meer maatregelen nemen op gebied van security. Het risico wordt wel aanmerkelijk minder alleen de impact als er iets mis gaat wordt groter.
Het onderbrengen bij een cloud provider betekent niet dat je kan stoppen met nadenken.
Er wordt veel geschreven en gesproken over de Cloud en de beveiliging.
Wat ik daarbij mis (en ook in de voorbeelden hierboven)is het feit dat de afnemers niet beseffen dat het uit handen geven van de data aan een externe partij 100% OURSOURCING is.
En bij Outsourcing hoort een set aan voorwaarden en afspraken. Eén van die voorwaarden en afspraken betreft de ICT beveiliging.
Maar er is nog (veel) meer van belang daarbij.
Dus waarom niet gewoon aan het begin beginnen. En bij het classificeren en afwegen van de risico’s goed nadenken over de benodigde mitigerende maatregelen, zoals die bijvoorbeeld voor de beveiliging!
NB. Vergeet daarbij niet de aspecten Integriteit en Beschikbaarheid de nodige aandacht te geven.
En vergeet daarbij ook niet: de (lijn) manager is en blijft altijd verantwoordelijk. Hij/zij zal (kunnen) worden aangesproken op de incidenten en/of calamiteiten en hij/zij is en blijft verantwoordelijk voor de daaruit voortvloeiende (reputatie)schade. Niet de ICT manager of een projectmanager!
Wat mij ook opvalt, is dat aan het onderzoek is deelgenomen door “duizend ict-professionals en verantwoordelijken voor de ict-beveiliging”!!! Dus niet de echte verantwoordelijken (Eigenaren)
Alsof je het beveiligingsbedrijf gaat vragen wat zij er van vinden als mijn spullen gestolen worden! Hoezo business-alignement!
De meeste cloudbedrijven zijn slechts hosters en hebben geen enkele expertise op het gebied van de technische beveiliging van complexe applicaties als bijvoorbeeld SAP. Met simpelweg wat netwerk, OS-beveiliging, functiescheiding en compliance-maatregelen toepassen timmer je de boel niet dicht. Daar is veel meer (continue) inspanning voor nodig.
Mijn ervaring is dat probleem simpelweg wordt genegeerd. Geen enkele manager wil immers voor een uitbestedingsdeal gaan liggen.
Wat een toeval!
Vorige week hebben wij nog een evenement georganiseerd waar onze specialist het belang van synthetische testdata i.c.m. outsourcing en cloudtoepassingen benadrukte! Los van de beveiliging van cloudoplossingen zijn er nog tal van uitdagingen met het gebruik van productie gerelateerde testdata. Is er zo bijvoorbeeld wel toestemming gegeven voor het gebruik van deze gegevens in een testomgeving? Mag een organisatie soortgelijke data uberhaupt in een cloudoplossing gebruiken? Binnenkort worden de Europese richtlijnen verwacht.. ben benieuwd naar de gevolgen daarvan voor outsourcing en clouddiensten i.c.m. testdata.
Wat mij opvalt is dat het begrip “cloud” hier niet scherp gedefinieerd is, dan wordt een uitspraak doen over compliance net zoiets als een uitspraak doen over verzekeringen zonder aan te geven of dat voor personenautos, transporters of vrachtwagens is.
Norman van Es, ik schat dat de meeste bedrijven en instellingen bij het afsluiten van contracten wel degelijk veel aandacht hebben voor eisen met betrekking tot functionaliteit, techniek, beheer, performance, capaciteit, flexibiliteit, beschikbaarheid, exclusiviteit en integriteit, kosten en ook voor het voldoen aan de Nederlandse en Europese wet- en regelgeving.
Er kunnen een paar zaken misgaan bij cloudsourcing (outsourcing met de cloud gebaseerde services).
Ten eerste hebben de meeste bedrijven en instellingen moeite met het goed beschrijven van hun vaak unieke eisen en wensen. De ICT-manager mag dan niet achterover hangen, en moet desnoods escaleren.
Ten tweede hebben veel ICT-ers nog steeds te weinig door dat buitenlandse wetgeving ook hier een dominante rol kans kan spelen. Dit is niet op zich zo’n ingewikkelde zaak. Haal indien nodig een jurist erbij.
Ten derde weten de ICT-ers vaak niet hoe ze de leveranciers moeten controleren op het niet nakomen van de contracten. Houd je vak bij en dan is dit geen probleem.
Ten vierde heb je soms een eigenwijze algemeen manager /eigenaar die zonder afstemming met de ICT-afdeling een deal met een leverancier heeft gemaakt en de ICT-afdeling de opdracht geeft om het verder af te handelen. Die eindverantwoordelijke moet dan maar eens vriendelijk gevraagd worden of deze de rolwisseling permanent wil maken. De ICT manager of projectmanager voor de outsourcing is altijd volledig verantwoordelijk, maar niet eindverantwoordelijk.
Kortom er is altijd een flinke inspanning nodig om te kunnen “ontzorgen” via cloudsourcing, en anders blijven er veel zorgen.
Helemaal terecht, die zorgen.
De eerste cloudproviders zijn groot geworden doordat ze echt begrepen wat nodig is. Maar nu zien we meer en meer wannabe’s voorbij komen waarvan de kwaliteiten aanmerkelijk minder vanzelf spreken. Om dicht bij huis te blijven hoef ik alleen maar de sleutelwoorden Diginotar, staatsloterij en lektober te roepen.
De vraag is echter wiens beveiligingscompetentie zich sneller ontwikkelt, die van de cloud provider of van de interne IT afdeling.
Tenslotte een kanttekening: dit onderzoek is uitgevoerd door een bedrijf dat appliances levert om lekken van data naar de cloud op te sporen.
@J van Voren
Gezien waardering voor uw inhoudelijk goede reactie wordt volgens mij empirisch aangetoond dat onderzoek ‘wishful thinking’ is, van het niveau Diederik Stapel dus. Hopelijk dat redactie mijn opinie vandaag online brengt rond min of meer hetzelfde onderwerp en waarin ik stel dat 90% van de cloud oplossingen non-compliant is.
Uw opmerking aangaande eigenwijze managers is de modus operandi die voor veel ‘shadow IT’ zorgt, het gaat tenslotte niet eens zo zeer om de cloud. Norman van Es raakt namelijk een punt aangaande eigenaarschap van data, IT is tenslotte alleen maar de beheerder. Zeg maar de uitbesteding van activiteiten en dus niet de
verantwoordelijkheden.
Maar ja, soms lijkt Computable dan ook wel het Europese songfestival……
Kennelijk gaat in Europa bijna 75% van de ondervraagden ervan uit dat datalekken in hun eigen omgeving niet mogelijk zijn, niet voorkomen en de ICT beveiliging optimaal is ingeregeld. Welkom in Utopia.
Ik denk dat de inschatting van de Amerikanen meer realistisch is. Je ziet ook dat het gebruik van de cloud in de USA groter is, waarschijnlijk onderbouwd door een grotere waarneming van de realiteit.
Naar mijn idee een terechte zorg. Er is nieuwe Europese wetgeving aangekondigd die het waarborgen van de security en privacy van gegevens moet regelen. Deze wetgeving komt met een aantal voorwaarden waaraan bedrijven moeten voldoen. Eén van de voorwaarden is bijvoorbeeld dat je je gegevens niet meer buiten de Europese landsgrenzen mag bewaren. Dit verklaart de bouw van mega datacenters in Dublin, Noord Holland en (zie computable van vanochtend) in Groningen. Afnemers van Cloud diensten blijven zelf verantwoordelijk voor de data. Dit betekent dat zij aan hun clouddienst providers eisen gaan stellen met betrekking tot compliance. Met vriendelijke groet, Rob Koch (Sebyde BV)