Ruim zeven op de tien Europese afnemers van clouddiensten twijfelt of cloudleveranciers voldoen aan wet- en regelgeving op het gebied van databescherming en privacy. Bovendien denken de ondervraagden dat door het toenemend gebruik van clouddiensten de financiële schade van een datalek drie keer groter is dan wanneer de gegevens alleen intern zijn opgeslagen.
Dit blijkt uit onderzoek van de Amerikaanse cloudleverancier Netskope, die de meningen over cloud computing peilde op de Europese markt. Voor het rapport zijn ruim duizend ict-professionals en verantwoordelijken voor de ict-beveiliging ondervraagd. Daaruit komt naar voren dat 72 procent van respondenten denkt dat cloudproviders niet voldoen aan standaarden voor databescherming.
‘Uit het onderzoek komt een algemeen wantrouwen in cloudproviders naar voren’, schrijft Netskope in een toelichting. ’84 procent van de respondenten betwijfelt of hun clouddienstverleners hen meteen zouden waarschuwen als hun intellectueel eigendom of vertrouwelijke bedrijfsinformatie is beschadigd. 77 procent van de respondenten zegt dat hun cloudprovider hen meteen zou waarschuwen als er bij datalekken klantgegevens verloren gingen of werden gestolen.’
Volgens de onderzoekers stelt 64 procent van de ict-professionals dat het gebruik van clouddiensten in hun organisatie hun vermogen vermindert om vertrouwelijke informatie te beschermen. 59 procent vindt dat dit het lastig maakt om bedrijfskritische applicaties te beveiligen. ‘Daarentegen ziet de meerderheid van de respondenten de cloud nog steeds als even veilig of veiliger dan it on-premise. Dit zegt misschien meer over hun geringe vertrouwen in hun eigen beveiligingsmogelijkheden dan over hun vertrouwen in de beveiligingsmogelijkheden van cloudproviders’, aldus de onderzoekers.
Grotere kans op datalek
De onderzoekers gaan ook in op de economische impact van datalekken. 53 procent van de respondenten geeft aan dat de kans op datalekken groter is als gevolg van de cloud. Ook stellen ze dat bij datalekken de verwachte economische impact verdrievoudigt als de cloud erbij betrokken is. ‘Dit fenomeen staat bekend als ‘het cloud multiplier effect’. Het onderzoek toont aan dat dit fenomeen op verschillende niveaus van toepassing is op de diverse cloudscenario’s, zoals de toename van het delen van data met een cloudapp of het toegenomen gebruik van mobiele apparaten die verbinding maken met de cloud.’
De respondenten werd ook gevraagd naar de mogelijke datalekgevolgen van het toenemende gebruik van clouddiensten. Door hun gebrek aan vertrouwen verwachten zij echter een drie keer zo hoge kans op datalekken. ‘Uitgaande van een toename in cloudstorage, kunnen datalekken waarbij informatie van zeer hoge waarde of waarbij intellectueel eigendom verloren gaat of gestolen wordt, de economische impact meer dan verdubbelen’, menen de onderzoekers. ‘Daarnaast ervaren de respondenten dat het simpelweg meer gebruik maken van clouddiensten de impact van datalekken met dergelijke informatie vergroot met 159 procent. Tot slot concluderen it-professionals dat de snelle groei en de soms beperkte continuïteit van een cloudprovider de kans dat bij datalekken consumentenrecords verloren gaan, met 108 procent vergroten.’
Europa vs. VS
De resultaten van het Europese onderzoek zijn vergeleken met die van een eerder onderzoek van Netskope en Ponemon Institute naar het cloud multiplier effect in de Verenigde Staten. ‘Europese organisaties blijken zelfverzekerder te zijn als het gaat om hun vermogen om de cloud te beveiligen. 51 procent van de Amerikaanse respondenten gaf aan dat de effectiviteit van hun organisatie om data en applicaties te beveiligen, ‘laag’ was. Dat is twee keer zoveel als het percentage Europese respondenten dat dit antwoord geeft (25 procent).’
De onderzoeker: ‘Een vergelijkbaar resultaat is, dat 52 procent van de Europese it-professionals de effectiviteit van hun organisatie beoordeelt als ‘hoog’, terwijl slechts 26 procent van de Amerikaanse respondenten vindt dat hun organisatie zeer effectief is in het beveiligen van data en apps in de cloud.’
Databescherming
‘Wet- en regelgeving voor wat betreft databescherming staat tegenwoordig zeker in een negatief daglicht, en dit geldt vooral in Europa’, zegt Larry Ponemon, voorzitter en oprichter van Ponemon Institute. ‘Ik denk dat het geringe vertrouwen in cloudleveranciers te wijten is aan verhoogde controle en de angst voor het onbekende. Als ze dat gevoel overwinnen, zien ze de beveiligingsmaatregelen die een leverancier neemt, en begrijpen ze beter hoe mensen de cloud nu eigenlijk gebruiken. Bedrijven die meer transparantie van leveranciers eisen en efficiënte methoden zoeken voor het evalueren van apps en voor het regisseren van het gebruik, zullen het eenvoudiger vinden de cloud te omarmen en deze periode van onzekerheid af te sluiten.’
Ewout Dekkinga, het beheer van en de verantwoordelijkheid voor data / informatie is inderdaad voor de business. Het beheer van en de verantwoordelijkheid van bitjes is voor de ICT. En de diverse cloud invullingen zijn gewoon ICT.
De business is eindverantwoordelijk voor die ICT (bepaling van de eisen aan het beheer, de inkoop, de beoordeling, et cetera). Door spraakverwarring en geschuif met verantwoordelijkheden (waar menig cloud salesmanager, maar helaas ook menig ICT’er aan meewerkt) is er vaak reden om te twijfelen over de inzet van de cloud. En dat is niet alleen zo bij de externe cloud, want als je eigen zaakjes niet op orde hebt, dan kan het altijd goed misgaan (goed punt Willem Oorschot).
Europeanen vertrouwen meer op de eigen beveiliging dan de Amerikanen. Mogelijke redenen: Europeanen zijn meer gestructureerd bezig met het beheer dan Amerikanen, en Europeanen zijn banger voor hacken en afluisteren door de NSA (naast andere geheime diensten en criminelen).
Voor de liefhebbers, het rapport van Netskope is te vinden op http://www.netskope.com/reports/netskope-cloud-report-july-2014. Helaas heb ik niet de bijbehorende vragenlijst.
J. van Vooren, was het maar zo eenvoudig.
Daar kom je in ieder geval achter als externe partijen (auditeurs, toezichthouders) zich met je bezig gaan houden. Dit geldt uiteraard voor de beursgenoteerde ondernemingen, Financiële instellingen (banken, verzekeringen, pensioenen) maar ook voor Overheid (centraal, gemeentelijke), Zorgsector,e.d.
Daarbij gaat het dan niet om de bitjes, maar om het BEHEER en het GEBRUIK van de data.
Een goed voorbeeld wat wat er dan wordt verwacht (= geëist)is te lezen in de VIR2007 http://wetten.overheid.nl/BWBR0022141/geldigheidsdatum_28-10-2011.
2 Goede definities (Informatiebeveiliging en Informatiesysteem) en slechts 5 artikelen. Maar goed samengevat waar het in feite om gaat. En daar vind je het woord ICT niet als verantwoordelijke terug. Maar wel: Het lijnmanagement is verantwoordelijk voor de beveiliging van zijn informatiesystemen.
NB. In ISO27000 serie, BIG, NEN7510 vind je exact dezelfde uitgangspunten over de verantwoordelijkheden terug.
Norman van Es, ICT is gebaseerd op I- en de C-techniek, beveiliging gaat ook over niet-ICT. Het is dus niet vreemd dat het woord ICT niet in de aangehaalde wetgeving genoemd wordt.
De hele lijn deelt in de verantwoordelijkheid en een hoofd ICT is een deel van het lijnmanagement en een projectleider een tijdelijk deel en zij gaan over het ICT-domein.
Daarbij zijn ICT’ers goed opgeleide mensen die sterk zijn in analyse en logica, dus van hen mag verwacht worden dat ze gevraagd en ongevraagd advies geven over informatie- en databeveiliging, ongeacht of het algemeen management en gebruikers daar optimaal gebruik van maken. It takes two to tango.