Bedrijven en organisaties in EMEA investeren in toenemende mate in de publieke cloud, ondanks groeiende zorgen rond securitykwesties. Bij de organisaties heerst onduidelijkheid over wie er verantwoordelijk is voor het beveiligen van gegevens in de publieke cloud.
Dit zijn de belangrijkste bevindingen uit een nieuw onderzoek dat Barracuda Networks liet uitvoeren onder vijfhonderdvijftig it-beslissers uit twaalf landen.
Uit het onderzoek komt naar voren dat Nederland en België binnen de EMEA-regio vooroplopen in het gebruik van de publieke cloud (41 procent), gevolgd door Frankrijk (38 procent), Oostenrijk (35 procent), Duitsland (35 procent) en het Verenigd Koninkrijk (35 procent). Circa zeventig procent van de respondenten uit Nederland en België heeft geïnvesteerd in additionele beveiligingsoplossingen om de toegang tot de publieke cloud te beschermen. Dit is aanzienlijk meer dan het gemiddelde in EMEA (57 procent).
Zowat een kwart van de it-budgetten van organisaties in Nederland en België gaat momenteel naar publieke cloud; dit is hoger dan het EMEA-gemiddelde van twintig procent. Organisaties in EMEA gebruiken de publieke cloud voor verschillende doeleinden. De meest voorkomende zijn dataopslag (77 procent) en databack-up (56 procent), gevolgd door web- en applicatiehosting (56 procent) en data-analyse (51 procent).
Securitytwijfels
Van de bedrijven in EMEA die gebruikmaken van de cloud vertrouwt 43 procent van de respondenten erop dat hun provider de cloudtoepassingen volledig beveiligt, terwijl 41 procent dit zegt over data in de publieke cloud. Hieruit blijkt dat ruim de helft niet overtuigd is van de beveiligingsmaatregelen die zijn genomen door hun provider.
Daarnaast lijken it-beslissers niet goed te weten wat precies hun verantwoordelijkheden zijn als het gaat om de beveiliging van de publieke cloud. In Nederland en België zegt slechts de helft (51 procent) goed te weten wie waar verantwoordelijk voor is. Dit is tien procent lager dan het EMEA-gemiddelde van 61 procent.
Nog zorgwekkender is volgens Barracuda Networks dat bijna twee derde (64 procent) van de respondenten in EMEA denkt dat de beveiliging van data in de publieke cloud de verantwoordelijkheid is van de cloudprovider, terwijl 61 procent dit denkt over de beveiliging van toepassingen en 60 procent over de beveiliging van besturingssystemen. Hieruit blijkt volgens Barracuda duidelijk een gebrek aan begrip over het zogenaamde Shared Responsibility Model. Dit is een vast onderdeel van de overeenkomsten met de meeste cloudproviders en stelt dat de providers zorg dragen voor de beveiliging van de basiscomponenten van de infrastructuur, zoals de computer-, opslag-, database- en netwerksystemen. Ook de fysieke beveiliging van de locatie is de verantwoordelijkheid van de cloudprovider. De beveiliging van de data, de toepassingen, het besturingssysteem en andere softwarecomponenten in de cloud zijn echter de verantwoordelijkheid van de klant.
Beveiligingsmaatregelen
De netwerkaanbieder: ‘Ondanks dit gebrek aan risicobewustzijn is het bemoedigend te zien dat veel organisaties in EMEA investeren in extra beveiligingsmaatregelen voor de publieke cloud. Vooral organisaties in Nederland en België doen dit (70 procent) aanzienlijk meer dan gemiddeld in EMEA (57 procent). Een derde (37 procent) van de organisaties in EMEA zegt dit in de toekomst te willen doen.’
‘Ruim drie kwart van de respondenten zegt dat ze informatie zoals gegevens over medewerkers, intellectueel eigendom en bankgegevens van klanten bewaren in de publieke cloud’, zegt Kristof Vanderstraeten, emea-director of public cloud business development voor Barracuda Networks.
‘Als we dan zien dat veel klanten niet weten dat zij zelf verantwoordelijk zijn voor het beveiligen van hun data en toepassingen in de publieke cloud, is het duidelijk dat er meer moet gebeuren om dit bewustzijn te verbeteren. Zeker omdat over iets minder dan een jaar in heel de Europese Unie de General Data Protection Regulation (GDPR) van kracht wordt. Gelukkig zien we dat veel organisaties – vooral in Nederland en België – al investeren in extra beveiligingsmaatregelen voor de publieke cloud.’
Barracuda Networks heeft dit onderzoek door Vanson Bourne laten uitvoeren onder vijfhonderdvijftig it-beslissers bij organisaties in EMEA die een public cloud Infrastructure as a Service (IaaS) gebruiken. Het maakt deel uit van een wereldwijd onderzoek onder 1.300 respondenten, dat in april en mei 2017 is uitgevoerd.
vorige week lazen we dat “niemand weet wat cloud kost”
nu is de aansprakelijkheid weer een raadsel.
Dat lijkt te pleiten voor meer taal en rekenen ipv programmeren op de basisschool.
Toch is de cloud soms foggy.
Bij Amazon is VPC (Virtual Private Cloud) een fundamentele infra bouwsteen. Dat roept vragen op.
Virtual Cloud, heb je dan ook een Hardware cloud ?
Private Cloud, maar gehost door een externe provider ?
En wat zit er dan zoal in zo’n VPC ?
Van alles dus en wel in public en private subnets.
Servers in je private subnets zijn niet direct van Internet bereikbaar, die in je public subnet wel.
Je hebt dus virtuele servers in public en private subnets in je virtual private cloud van Amazon…
Een ander fundamenteel aspect van Cloud computing is multitenancy, zowel bij service- als deployment models. Das lekker efficient gebruik maken van resources. Samen resource-poolen met je tenants. Default multitenancy dus, maar Amazon levert ook single tenant met dedicated hardware. Dedicated instances draaien op hypervisors waar alleen jouw AWS account bij kan.
Maar waarom zou je dat doen ? Het shared responsibility model van Amazon zegt dat hypervisor zaken de responsibility van AWS zelf is. Maar ja, als dat toch mis gaat, ooit … je hebt immers zelf voor Amazon gekozen. What about the shared accountability model ?
Wat betreft die service- en deployment models. Dat lijkt ook niet helemaal helder, als ik dit artikel lees.
Service models gaan over de services 🙂 IaaS, PaaS en SaaS.
Deployment models over de … (Zo klinkt het toch best logisch) de deployments. De private, public en die hybride varianten.
Het artikel gaat alleen over publieke cloud, dwz zo wordt het genoemd..
Tis ook lastig. Zo kun je bij Amazon inloggen in een public SaaS applicatie, de Amazon console, om daarmee je VPC te kunnen gaan beheren. Zucht.
Dan de lokale bewolking. Een VPC leeft in een z.g. region. Regions zijn bij AWS zegmaar een groep landen / staten binnen een werelddeel. Je kiest je regions normaal gesproken binnen de regio waar jij en je doelgroep zitten. In Europa dus bij ons. Cross-region wordt geen data gekopieerd, tenzij je dat expliciet zelf regelt. Dat lijkt mooi, maar Amazon is een Amerikaans bedrijf en de patriot act dan ?
Amazon besteedt nogal wat tijd, geld en moeite aan security. Ook de communicatie waarbij het shared-responsibility-model keer op keer wordt duidelijk gemaakt.
Bij Amazon opleidingen en certification is security een integraal onderdeel. 20% van de score bijv voor een AWS Certified solution architect examen maar ook een flink aandeel in bijvoorbeeld het AWS developer certification.
Is dat goed of slecht, stelt het gerust of juist niet ?
Ik was laatst op bezoek bij iemand met 6 sloten op de deur. Veilig ? Het zal wel nodig zijn geweest.
Dat met name in Nederland bedrijven onzeker zijn over de verantwoordelijk komt doordat veel cloud providers heel erg onduidelijk zijn in de voorwaarden. Vrijwel alle Amerikaanse providers hebben exoneratieclausules opgenomen welke ze vrijwaart van gevolgschade door datalekken. En ja, ze zijn de afgelopen jaren meermaals getroffen hierdoor maar hebben dit verzwegen.
Dat beveiliging van gegevens NIET de verantwoordelijkheid van de cloud provider is blijkt wel uit de uitspraak van Europese Hof, een cloud provider kan tenslotte dus ook niet aansprakelijk gesteld worden voor de organisatorische maatregelen hierin. Want een cloud provider kan alleen maatregelen nemen tegen ongeautoriseerde toegang maar weet simpelweg niet wie wel en wie niet geautoriseerd is binnen een organisatie.
Ik weet dat het information Right Management ook niet erg goed geregeld is achter de firewall als we kijken naar de Nederlandse arbeidsmarkt. Waar je in Amerika direct afgesloten wordt van alle informatie zodra je arbeidscontract beëindigd wordt hebben veel oud-medewerkers in Nederland nog alle rechten als hun salarismeester veranderd is. Je ziet dit niet alleen bij de overheid waar het blijven delen van informatie dus voor een actief lobbycircuit zorgt.
Vijfhonderdvijftig IT-beslissers die niet weten hoe de hazen lopen maakt duidelijk dat beveiliging van informatie nog altijd dweilen met de kraan open is, de bewustwording rond de GDPR gaat om het feit dat bestuurders de digitale transformatie volledig gemist hebben. Beveiliging van informatie is dus een proces van integraal information lifecycle management als we kijken naar alle vergeten digitale kopieën van een uitgeprinte e-mail over het bonnetje van Teeven. Het probleem zit niet in de cloud maar de integriteit van het proces doordat het sorry achteraf een prijskaartje krijgt.
Betreffende de cijfers, Nederland loopt voorop met de cloud adoptie maar komt erachter dat er ook schaduwkanten aan zitten. Het digitale opportunisme van ‘shadow IT’ blijkt een economische schade te hebben die in de miljarden loopt nu net als eerder de ‘internet bubble’ leegloopt door nieuwe regels in de IT boekhouding. Het nieuwe businessmodel van toegang tot digitale archieven leidt tot het inzicht dat ook de dot.com economie van de cloud een bedot.com economie is. Vijf jaar geleden voorspelde ik dis al de ’torens van Hanoi’ aangaande de plaatsing van data.
Natuurlijk kun je een zaadje in de cloud planten maar het is maar de vraag wie er dan oogst als we kijken naar de verdienmodellen. En de boodschap die toen door vele experts gemist werd ging om het aloude juvenalis dillema, Edward Snowden kwam pas een jaar later met zijn ‘big brother is watching us’ boodschap.
Voor Dino, 6 sloten op je voordeur terwijl je ramen wagenwijd openstaan is het probleem. Zolang de digitale veiligheid als een IT feestjes gezien wordt zijn we nog geen stap verder dan 2001.
Met bovenstaande ben je de ‘beslissers’ al lang kwijt.
Bovendien speelt dit al sinds ruim vóór 2001.
En in veel – zo niet alle – opzichten heeft het niets met cloud te maken.
Pak er maar gewoon een RACI-matrix bij.
In élke organisatie – overheid en bedrifjsleven – is er iemand verantwoordelijk dat de *volledige* beveiliging op orde is. Daar wordt die persoon nota bene voor betaald. Meestal maakt die accountable persoon iemand anders verantwoordelijk (responsible) voor de uitvoering en resultaten, maar hij-/zij-zelf blíjft accountable.
En dan hebben we het dus uitdrukkelijk *niet* over de CISO of DPO.
Insourcing, outsourcing, off-shoring, MSP, cloud, GDPR, WBP, WMO, servers, USB, patches, maakt allemaal niets uit. De accountable persoon moet kunnen uitleggen dat alles binnen zijn/haar verantwoordelijkheid is afgedekt en op voldoende niveau is. Daar wordt die persoon voor betaald!
Dat over de jaren gebleken is dat de betreffende persoon doorgaans wél betaald werd maar zin/haar accountability niet invulde is genoegzaam bekend.
Dat wordt dus onaangenaam, zo medio 2018, als de GDPR over al die puzzelstukjes hardware, software, firmware, wetware, (meta-)data, etc. etc. accountability eist.