De ongeldig verklaarde Safe Harbor-overeenkomst speelt op dit moment een grote rol bij bedrijven. Ook wat betreft cloud security. Exposanten van Infosecurity geven advies en leggen uit waarom bezorgdheid niet geheel onterecht is.
Het Europese Hof heeft de Safe Harbor-overeenkomst eind 2015 ongeldig verklaard. Dit is volgens Dirk Cools, country manager bij G Data Benelux, een belangrijke trend die op dit moment op het gebied van cloud security speelt en een grote impact heeft op Belgische organisaties die gebruik maken van Amerikaanse clouddiensten, waaronder de meer consumentgerichte diensten als iCloud, Dropbox, Amazon Cloud en Google Docs. ‘Vooral Microsoft Cloud, bijvoorbeeld als onderdeel van Office360, wordt zakelijk zeer veel gebruikt. Bedrijven moeten zich realiseren dat sinds het ongeldig verklaren van Safe Harbor, het niet langer is toegestaan om gegevens over Europese personen in dergelijke Amerikaanse clouds te bewaren. Er was nog een overgangsperiode afgesproken, men dacht namelijk dat er binnen die termijn wel een opvolger van Safe Harbor zou zijn. Inmiddels is die periode echter verlopen.’ Cools benadrukt dat iets al snel een persoonsgegeven is: Je spreekt al van een persoonsgegeven bij een inlognaam, e-mailadres of een wachtwoord van de klant en wanneer deze informatie van Europeanen de grenzen van Europa verlaat, is dat wettelijk gezien een datalek. ‘In verschillende Europese landen is het al verplicht dat dit soort datalekken formeel worden gemeld en de rest van Europa zal op dit gebied begin 2018 volgen wanneer de Europese richtlijn voor Data Protectie in werking treedt.’
Martijn van Lom, general manager bij Kaspersky Lab Benelux, wijst er op dat er per 2 februari 2016 een nieuw akkoord ligt, het EU-VS Privacy Shield. ‘Dit moet nog wel worden beoordeeld door de privacy-waakhonden. Wel is toegezegd tot dat moment geen boetes uit te delen.’ Helaas is de tekst en inhoud tot op dit moment niet openbaar en kan Van Lom daar verder niet veel over zeggen. Ook Gijs Schuilingh, distribution sales manager Benelux, Nordics & Eastern Europe bij GFI Software, zegt dat er alternatieven zijn voor de Safe Harbor, ‘maar de vraag is of je persoonsgegevens wel wilt toevertrouwen aan een land buiten de Europese Unie. Er is in het verleden duidelijk gebleken dat veel van deze landen een ontoereikend beschermingsniveau bieden. On premise- of private cloud-omgevingen zijn daarom een uitstekend alternatief voor bedrijven die de garantie willen dat er veilig en volgens de Europese richtlijnen met persoonsgegevens wordt omgegaan.’
Volgens Schuilingh moeten organisaties zich daarom goed verdiepen in hoe er met persoonsgegevens wordt omgegaan door (cloud-)aanbieders. Cools meent dat Belgische ondernemingen snel op zoek moeten naar clouddiensten die garanderen dan de gegevens te allen tijde in Europa blijven. ‘Dat een server in Europa staat, is niet genoeg. Er moet echt een garantie worden afgegeven dat de gegevens Europa onder geen omstandigheid zullen verlaten. Microsoft beoogt een dergelijk aanbod vanaf medio 2016 aan Europese bedrijven te gaan aanbieden: Microsoft Cloud in Duitsland. Maar er zijn ook Europese cloud-aanbieders die die garantie na al kunnen afgeven.’
Volgens Steven Heyde van Trend Micro is een positief punt aan de ongeldigheidsverklaring van de Safe Harbor-overeenkomst dat privacy en security, en de verantwoordelijkheid daarvoor, op de agenda wordt gezet van elk bedrijf. ‘Het vereist een plan van aanpak om voorbereid te zijn op gelijk welke wetgeving, en om aan te tonen dat je als organisatie de nodige stappen zet om datalekken te ontdekken en te melden.’
Bezorgdheid rondom cloud security
Fundamenteel verandert de ongeldigheidsverklaring van de Safe Harbor-overeenkomst echter niks aan de bezorgdheid die cloud providers en hun klanten al moesten hebben omtrent de privacy van data, meent Heyde. Jochen Bonne, director Azlan Belgium bij TechData, is het daar mee eens: De cloud is een globaal gegeven, en nationale en internationale wetgeving en belangen zullen het zeker niet makkelijker maken naast de technische uitdagingen. Ook Schuilingh signaleert dat er nog veel haken en ogen aan de cloud zitten. ‘En dan met name dat de veiligheid van gegevens niet kan worden gegarandeerd.’ Van Lom vindt het bovendien een terechte zorg. ‘Een bekend gezegde van de afgelopen tijd is dat de cloud niet bestaat, omdat het de computer van iemand anders is. De vraag is in hoeverre je dat vertrouwt. Eén van de grootste zorgen bij het opslaan van gegevens in de cloud is wie er nog meer toegang tot heeft. Dit probleem kan worden ondervangen door het realiseren van encryptie van de data voordat het de cloud in gaat. De enige plaats waar het dan kan worden ontsleuteld, is op de computer van de klant. Het maakt dan niet meer uit wie er toegang tot je data heeft. Ze kunnen er in principe niks mee. Belangrijk hierbij is dat de gebruikte encryptie wel veilig is.’
Wat betreft deze bezorgdheid zou Cools organisaties complimenteren met hun terechte sceptische houding. ‘Ook ik ben allerminst overtuigd van de beveiliging van menig cloud, al zijn er uiteraard partijen die de zaken goed voor elkaar hebben. Vanaf dag één is mijn advies geweest (en dat zal het voorlopig ook blijven): als je gebruik maakt van een cloud, zorg dan zelf voor de eerste beveiligingslaag. Sla alleen versleutelde gegevens op.’ Verder pleit Cools er voor om onderscheid te maken tussen verschillende gegevens. ‘Elk bedrijf beschikt over gegevens die niet zo erg geheim zijn. Die zou je in de cloud kunnen opslaan. Maar bedrijfskritieke informatie, de personeelsdossiers en klantengegevens kun je misschien maar beter lokaal opslaan en niet onderbrengen bij een derde partij. Voorwaarde is uiteraard wel dat je zelf dan wel over een goede beveiliging beschikt.’
Diversiteit aan opslag-locaties
Steven Heyde legt uit dat een andere trend op het gebied van cloud security is dat bedrijven hun data opslaan op verschillende locaties en platformen, zoals het eigen datacenter, private cloud, public cloud en hybrid cloud. ‘Deze diversiteit in data storage zal alleen maar toenemen. In plaats van security per platform te bekijken, moeten organisaties vandaag werken aan een omgeving die klaar is om wanneer gewenst cloud toe te voegen of af te bouwen. Ze moeten zorgen voor een stabiele basis die toelaat alle kanten uit te gaan. De grootste fout die bedrijven vandaag kunnen maken is nu nog in grote netwerkinfrastructuur trajecten te investeren. Door dat te doen, zetten ze zich immers vast in een rigide architectuur die niet flexibel genoeg is om cloud en eigen infrastructuur naadloos in elkaar te laten overgaan. Hier is een grote rol weggelegd voor ci(s)o’s, enterprise en cloud architecten: waar gaan we naartoe, en hoe kunnen we ons daar op voorbereiden? Er zijn bedrijven met ‘hybrid cloud think tanks’ die een blueprint hebben opgesteld van die toekomstige situatie waar alle IT beslissingen vanaf nu aan afgepoetst worden. Tactische keuzes die vandaag gemaakt worden, zoals bijvoorbeeld het hernieuwen van de netwerk security, hebben een impact op de strategie van morgen.’
Daarnaast wijst hij er op dat Belgen van nature heel afwachtend zijn en eerst even willen kijken hoe andere landen met de ‘cloud’ omgaan. Dat is volgens hem echter een gevaarlijke instelling. ‘Terwijl organisaties in andere landen al volop werken aan een flexible omgeving, zijn wij nog aan het rondkijken. Op het moment dat de nood echt heel hoog wordt, is het eigenlijk al te laat. Dan zal er veel tijd, geld en efficiëntie verloren gaan aan de inhaalbeweging. En dit kan een grote impact hebben op de business.’
Schuilingh benadrukt dat de bovenstaande trends niet betekenen dat er geen voordelen aan cloud-oplossingen kleven. ‘Juist door die voordelen is het van wezenlijk belang dat een organisatie een goede afweging maakt welke services het wil hebben geleverd vanuit de cloud. Wellicht is een private cloud omgeving namelijk een beter alternatief, waarbij services niet lokaal draaien maar waarbij de organisatie wel de keuze heeft om te kiezen voor locatie van de server. En uiteraard is ook de traditionele on premise-omgeving een zekere en veilige keuze en vertrouwen nog steeds tal van organisatie erop om hun security zaken binnen ‘de bedrijfsmuren’ te houden.’
Advies
Schuilingh adviseert Belgische organisaties om goed na te denken over een overstap naar de cloud. ‘De veiligheid van organisaties staat op het spel als er blind wordt vertrouwd op cloud security. Er zijn de afgelopen jaren tal van incidenten in het nieuws geweest van inbraken tot aan het lekken van persoonsgegevens. Dergelijke incidenten kunnen een organisatie aan de rand van afgrond brengen. Private cloud en on premise-oplossingen zijn in veel gevallen veiliger en zijn daarom een uitstekend alternatief. Weeg de voor- en nadelen voor u als organisatie tegen elkaar af, en maak hierin een verstandige keuze.’
Ook Bonne raadt aan geen blind vertrouwen in de cloudprovider te hebben, maar juist sluitende afspraken met de cloudprovider te maken. ‘Start eventueel met een lokale (binnenlandse) provider, zodat internationale wetgeving niet onmiddellijk de zaken complexer maakt en de afstand tot de provider kleiner is.’
Cloud computing tijdens Infosecurity.be
Cloud Computing is een belangrijk thema tijdens Infosecurity.be 2016. Registreer nu gratis voor de beurs en bezoek deze op woensdag 23 en/of donderdag 24 maart in Brussels Expo.