Word niet afhankelijk van online diensten

Nog niet lang geleden kon je een op een andere computer verder werken als je eigen kapot was gegaan. Je nam je USB-stick naar een ander systeem en werkte door aan het document. En bleek dat je door die crash toch niet verder kon dan waren er collega’s om het bedrijf draaiende te houden. Nu is er een trend dat werknemers vaker gebruik maken van dezelfde online diensten. Jaarverslagen en notulen staan niet langer op USB-sticks maar zijn in de cloud opgeslagen. Maar wat als dat even niet meer functioneert? Onze afhankelijkheid van online diensten is groot. We zijn op weg naar een situatie waar een klein technisch mankement in plaats van slechts één persoon een heel bedrijf uit functie houdt. Deze vernieuwing heet de vooruitgang.

Het is gemakkelijk om een software-as-a-service-oplossing af te nemen en te vertrouwen op het succes daarvan. Het is een oplossing waar je betaalt voor gebruik en die als vanzelf bijschaalt als dat nodig is. De voordelen van deze vorm van uitbesteding zijn bekend maar er zijn risico’s. Zo zijn problemen in moderne IT-oplossingen zelden van toepassing op een enkel persoon. Omdat we steeds vaker gecentraliseerde IT-diensten gebruiken heeft een klein probleem in de software een grote impact op de hele gebruikersgroep. Misschien zijn er minder problemen vergeleken met de oude situatie waar iedereen zijn eigen programma’s geïnstalleerd had. Wel hebben problemen van nu een veel grotere impact. De ‘V’ van vernieuwing staat niet altijd voor vooruitgang.

Online diensten worden bedreigd
Een online dienst kan kapot gaan of de digitale weg daar naartoe geblokkeerd. Ook is de vertrouwelijkheid van gegevens betrekkelijk als het beheer uit handen wordt gegeven.

De voorbeelden zijn bekend. Veel belangrijke webdiensten zijn de afgelopen tijd onbereikbaar geweest. Niet noodzakelijk door criminele activiteiten maar ook eenvoudigweg door plotselinge toestroom van veel bezoekers of het uitvoeren van zware berekeningen. Voldoende capaciteit en performance zijn nog steeds moeilijk te realiseren. Dit komt omdat het duur is om een groot serverpark in operatie te houden als de volledige capaciteit slechts sporadisch wordt aangesproken. Oplossingen die de mogelijkheid bieden om snel bij te schalen – zoals veel cloudoplossingen – introduceren andere problemen zoals die rondom privacy.

De vertrouwelijkheid van gegevens is een groot probleem voor webdiensten. Iedereen kent Snowden en het PRISM-programma dat hij bekend maakte. Enerzijds liet dit zien dat de VS bijna ongelimiteerd toegang hebben tot onze persoonlijke gegevens; anderzijds dat een individu als Snowden bedrijfsgeheimen zonder veel moeite kan uitlekken. Beide konden gebeuren doordat informatie centraal wordt opgeslagen en beheerd. De Amerikaanse overheid benutte dit feit om informatie te monitoren; Snowden benutte deze mogelijkheid om informatie te lekken.

Niet alleen overheden maken gebruik van deze centrale opslag van informatie. Vroeger viel de georganiseerde misdaad individuele bedrijven en burgers aan. Nu hoeft niet langer ingebroken te worden op een kantoor of bij medewerkers thuis om informatie te stelen. Wij hebben de mogelijkheid gecreëerd om met een succesvolle aanval op een enkele online dienst de informatie van alle klanten en medewerkers te verkrijgen. Het stelen van persoonsgegevens is van alle tijden maar vroeger werden wachtwoorden en pincodes gestolen van individuele computers. Nu wordt de centrale server leeggeroofd en zijn alle klanten de dupe.

Voordat online diensten gemeengoed begonnen te worden was cybercriminaliteit al aanwezig. In 2000 trof het geruchtmakende ILOVEYOU-virus 45 miljoen gebruikers. Recente aanvallen op webdiensten laten zien dat vergelijkbare aantallen gebruikersgegevens vaak worden gestolen. Hack van Playstation Network: naar schatting 77 miljoen gebruikers. Hack van de kledingwinkel TJX: creditkaartgegevens van ongeveer 46 miljoen klanten. Hack van e-mailmarketingbedrijf Epsilon: gegevens van minimaal 45 miljoen personen. Allemaal mede mogelijk gemaakt door centrale opslag en beheer van informatie.

Een perfect beveiligde server bestaat alleen in de utopie. Zelfs met een ideale server blijft er de noodzaak om met een laptop, mobieltje of pc verbinding met deze server te maken. Apparaten die nog steeds kapot kunnen. Oude problemen zijn dus nog steeds niet verdwenen. Verder zijn naast technische zaken ook juridische obstakels, faillissement of zakelijke onenigheid voorbeelden van oorzaken die kunnen leiden tot een onbereikbare dienst.

Een risicoanalyse moet het totaalplaatje bekijken
Een online dienst kan bestand zijn tegen alle dreigingen van hackers, maar als het systeem niet bereikbaar is kan een webdienst haar dienst niet leveren. Veiligheid is complex en houdt niet op bij de beveiliging van de eigenlijke dienst. Misschien dat bakker Jan de lekkerste broodjes bakt, maar als zijn winkel ver weg is ga ik liever naar de supermarkt om de hoek. De systemen van een webdienst kunnen veilig en stabiel zijn maar de volledige infrastructuur – van thuiscomputer en internet provider tot koperen kabels – is bepalend voor het succes.

Een risicoanalyse moet het totaalplaatje bekijken: de risico’s lokaal en van het serverpark. De noodzaak voor beveiliging van de laatste wordt minder als een gebruiker ook zonder internetconnectie voldoende functionaliteit van de dienst kan benutten. Misschien dat een goedkope cloudprovider opeens een optie wordt als een dienst wordt ontworpen op een manier dat zij niet van deze ene cloudprovider afhankelijk is. Goedkoop en veilig vormen dan opeens geen tegenstrijdigheid.

Bedrijfscontinuïteit kan niet gegarandeerd worden met een abonnement bij een software-as-a-service-dienstverlener. Daarbij lijkt het voordeel van deze oplossing een offer van integriteit en vertrouwelijkheid te vragen. Het is daarmee een duur en onnodig compromis geworden. Een echte oplossing lost een tegenstelling op en combineert de voordelen van oude en nieuwe technieken tot een meer ideaal alternatief.

Terug naar een decentrale oplossing
Managers realiseren zich vaak niet dat er niet gekozen hoeft te worden tussen een online dienst en een offline functionerende applicatie. Beiden kunnen naast elkaar bestaan. Er zijn oplossingen die offline mogelijkheden benutten en online functionaliteit als gewenst. Het gaat hier niet om applicaties volgens het oude model van diskettes en cd-roms met een setup.exe-bestand. Moderne software kan ook via een website verspreid worden en binnen de webbrowser geïnstalleerd; bijvoorbeeld een online tekstbewerker die een offline uitbreiding aanbiedt om tekst offline te bewerken. Eenmaal online kan het nieuwste bestand gesynchroniseerd worden en gedeeld met je collega’s. Nieuwe webbrowser standaarden zoals HTML5 en verschillende nieuwe javascript API’s maken het mogelijk.

Verder is de noodzaak om informatie centraal op te slaan kleiner geworden. Onze mobieltjes en tablet-pc’s zijn elk moment van de dag online. Waarom zou gevoelige informatie op een centrale server opgeslagen moeten worden als deze tegenwoordig rechtstreeks op te vragen is bij onze devices? Zo houdt de gebruiker controle over zijn eigen gegevens en wordt er niet onnodig een waardevolle informatieberg bij het hostingbedrijf gecreëerd. De technische mogelijkheid bestaat en misschien wordt het tijd om deze mogelijkheid te benutten.

Het is bekend dat centralisatie van kennis, geld en macht voor problemen zorgt. Toch wordt in de digitale wereld deze centralisatie steeds meer realiteit. Een online dienst zorgt voor een central point for succes maar ook voor een single point of failure. Een compromisloze oplossing combineert de mogelijkheden van lokale applicaties en online diensten: terug naar een meer gedecentraliseerde oplossing waar geen afhankelijkheid aan enkele online diensten bestaat. Op die manier worden risico’s in een netwerk gedeeld en betekent het falen van één schakel niet het breken van de ketting. Individuele apparaten en haar gebruikers moeten weer controle krijgen over haar eigen gegevens. Alleen dan komt vernieuwing tot vooruitgang.