Beveiliging was jarenlang het belangrijkste argument om gevoelige data en workloads niet naar de cloud te brengen. Dat het tij gekeerd is, is wel duidelijk: uit recent onderzoek blijkt dat 94 procent van de wereldwijd duizend ondervraagde bedrijven cloud-services gebruiken en bijna de helft gebruikt SaaS-gebaseerde applicaties die cruciaal zijn voor de bedrijfsprocessen. Toch is op security-gebied nog niet alles duidelijk.
Ongeveer de helft van de bedrijven gebruikt de publieke cloud voor de verwerking van klantgegevens. En vorige maand werd bekend dat zelfs data van landelijke overheden zoals die van Ecuador in de cloud zijn terug te vinden. Helaas ook toegankelijk voor mensen die geen toegang mogen hebben. Half september ontdekte een beveiligingsbedrijf bij een routine-check dat de persoonlijke gegevens van zo’n zeventien miljoen burgers van Ecuador, waaronder 6,7 miljoen kinderen, vrij toegankelijk waren via een onbeveiligde server in Miami. Niet alleen de hoeveelheid, maar ook het soort data viel op: ID-nummers, telefoonnummers, trouwdata, genoten opleidingen en werkervaring. Het probleem was een onbeveiligde AWS Elasticsearch server. Niet de overheid zelf, maar een data-analyse bedrijf bleek schuldig te zijn voor het online zetten van de data zonder een wachtwoordbeveiliging.
Even los van de vraag of zo’n bedrijf dit soort data moet ontvangen, is het vooral interessant de vraag te stellen wie waarvoor verantwoordelijk is. Wanneer een organisatie de cloud gebruikt, moet je in staat zijn de beveiligingsmaatregelen die de cloud-provider in acht neemt te snappen en op waarde te schatten. Passen ze binnen het eigen beleid en procedures of niet?
Gedeelde verantwoordelijkheid
In het eerder genoemde onderzoek bleek ook dat organisaties te veel naar de cloud provider kijken als het gaat om de bescherming van data en andere assets in de cloud. Inloggegevens die toegang tot deze data geven, moeten in de cloud net zo worden beveiligd als in on-premise omgevingen. Sommige van deze credentials zullen van nature meerdere (toegangs)rechten hebben. Aanvallers zijn altijd op zoek naar deze privileged accounts, want het is de meest effectieve route naar hun uiteindelijke doel. Het is zorgwekkend dat slechts weinig organisaties een plan hebben om ze te beveiligen. Sterker nog, er is nog altijd veel onduidelijkheid rond privileged accounts, secrets en credentials: wat zijn het precies, waar zijn ze en wat kunnen ze, zijn alsmaar terugkerende vragen. Laat staan dat er een strategie is om ze te beschermen.
De meeste cloud providers werken op basis van gedeelde verantwoordelijkheid, waarbij de provider tot een bepaald punt de security-maatregelen neemt en ervan uitgaat dat de afnemer het vanaf dat punt overneemt. Het is belangrijk om te weten waar dat punt precies ligt. Nog belangrijker is het om de aanwijzingen van de cloud provider hierin op te volgen. Ze zijn meestal erg helder over hun verantwoordelijkheidsmodellen voor security en compliance, maar veel bedrijven slaan dit in de wind.
Typerend is dan ook de belangrijkste verwachting die bedrijven hebben bij de inzet van cloud: het afwenden van security-eisen naar de cloud-leverancier. Alsof je een fiets met een goed slot koopt en verwacht dat de winkel verantwoordelijk is wanneer hij gestolen wordt. Uiteraard nemen cloud-leveranciers hun verantwoordelijkheid als het gaat om het beveiligen van de systemen en de data die erop opgeslagen of verwerkt wordt, maar dat betekent niet dat alle aansprakelijkheid bij de gebruiker meteen weg is. Het beschermen van klantdata blijft de verantwoordelijkheid van het bedrijf zelf. Je moet je fiets wel goed op slot zetten (en liefst niet in een donker steegje).
In handen van de provider
Daarnaast wees het onderzoek uit dat driekwart van de ondervraagden de beveiliging volledig in handen legt van de provider, terwijl de helft hiervan aangeeft dat dit niet voldoende bescherming biedt. Het model van gedeelde verantwoordelijkheid wordt niet begrepen of simpelweg genegeerd.
Ecuador is niet het eerste land dat gegevens van burgers via een onbeveiligde cloud-server blootstelt aan allerlei risico’s, en zal niet de laatste zijn. Er werden ook al stem-gegevens van 14,3 miljoen Chilenen voor een landelijke verkiezing gevonden, via een vergelijkbare Elasticsearch server.
Overheden kijken naar de cloud om hun burgers beter van dienst te zijn. Hierbij moeten ze cloud security- strategieën ontwikkelen (en voortdurend evolueren) om burgers niet alleen van dienst te zijn maar ook hun vertrouwen te houden dat de services veilig te gebruiken zijn.
De cloud is als plaatsingsmodel van je data het donkere steegje, een vorm van schaduw IT waarin de gehele opzet van gedeelde verantwoordelijkheid prima begrepen wordt zoals het onderzoek waaraan auteur refereert duidelijk maakt. Als driekwart van de ondervraagden de beveiliging voor de data volledig in handen legt van de provider terwijl de helft weet dat dit niet voldoende bescherming biedt dan is er namelijk sprake van wegkijken. Want het donkere steegje waarin data-analyse bedijven zitten maakt van de cloud een opsporingsmidddel, één van de problemen met het datamanagement in de cloud betreft dan ook de doelbinding.
Betreffende de verantwoordelijkheidsmodellen in de doelbinding van de cloud bieden de verwerkersovereenkomsten net zoveel zekerheid als de belofte van politici. Alleen een claim-based doelbinding van data waarbij deze met de juiste (tijdelijke) sleutel benaderd en gelezen worden kan worden biedt een zekere mate van veiligheid tegen de mogelijkheden van moderne datasynthese. Driekwart van de ondervraagden legt het sleutelbeheer in handen van de provider en de helft hiervan weet dat minister Grapperhaus daarom gewoon ongevraagd toegang heeft. Juvenalis dilemma van de cloud gaat om de achterdeurtjes, nog altijd één van de meest belangrijke redenen om data niet naar de cloud te brengen is het gebrek aan vertrouwen. De wens van de minister om achterdeurtjes in te bouwen in oplossingen waarin provider geen sleutels heeft zodat data is wat het blijft, een verzameling onduidelijke bits & bytes waaruit geen informatie te halen is maakt duidelijk dat overheden anders tegen de cloud aan kijken dan we denken.