-

De cloud moet duidelijker en veiliger

Zowel bedrijven als consumenten raken overtuigd van de voordelen die de cloud biedt; bedrijfsdata en applicaties zijn overal en altijd bereikbaar. Het lijkt dan ook een kwestie van tijd voordat elke applicatie vanuit de cloud wordt geleverd. Hiervoor zijn echter nog wel wat obstakels te overwinnen.

Geschiedenis
De cloud ontstond al rond de eeuwwisseling en ging toen door het leven als ‘ASP’, oftewel Application Service Provisioning. ASP heeft het echter niet gered. Dit had meerdere redenen. Ten eerste was er onvoldoende betaalbare bandbreedte beschikbaar. Daarnaast lag de focus van softwareleveranciers – gedreven door kwartaalcijfers – op de verkoop van vaak peperdure licenties. Verder was virtualisatie nog niet zo ingeburgerd als nu. De belangrijkste reden voor ‘mislukking’ was echter het ontbreken van vertrouwen bij de klant. Zij vonden het te riskant om hun bedrijfsdata extern op te slaan en wilden niet afhankelijk zijn van derden.

Succes met vraagtekens
Inmiddels is de cloud wel succesvol te noemen; de kosten zijn lager, de technologie heeft zich positief ontwikkeld en er is meer vertrouwen. Toch doemen er nieuwe vragen en uitdagingen rond de cloud op. Zo hebben de affaires rond DigiNotar en ‘Lektober’ ervoor gezorgd dat informatiebeveiliging en daarmee de vertrouwenskwestie nu prominent op de bedrijfsagenda staan. Cloud-afnemers willen weten of hun service het echt altijd doet en of het veilig is. In IT-termen: beschikbaarheid, veiligheid, continuïteit en ondersteuning zijn belangrijker dan ooit.  De overheid en industrie realiseren zich dat er nog iets moet gebeuren. Maar wat?

Overheid
De overheid reageert vooralsnog enkel met ad hoc-beslissingen, zoals het bedenken van nieuwe wetten. Deze blinken echter niet uit in helderheid en uitvoerbaarheid. Het zijn veelal aanpassingen van de aloude telecomwet en de wet op het briefgeheim. Een structurele aanpak die past in het internettijdperk ontbreekt vooralsnog.

Standaard
Het probleem ligt daarnaast bij de industrie zelf. Er is weinig transparantie en veel onduidelijkheid. De DigiNotar-affaire heeft dit nogmaals benadrukt. De bekende standaarden – denk aan ISO27001 en NEN7510 – en moderne initiatieven zoals CSA (Cloud Security Alliance),  hanteren als uitgangspunt de verplichting om beleid en regels op te stellen. Geen van de genoemde standaarden biedt echter genoeg houvast voor een concrete invulling. Daarnaast ontbreken de technische details op gebied van de toe te passen technologie. De industriestandaarden laten op deze manier veel ruimte open voor eigen interpretatie. Hierdoor zijn afnemers van bijvoorbeeld hosting nog steeds zelf aangewezen op het beoordelen van de effectiviteit van de maatregelen die hosting providers treffen.

Oplossing
De oplossing voor deze onduidelijkheid is te halen uit de recente gebeurtenissen rond ‘Lektober’ en DigiNotar. Hier bleek dat iedereen achteraf feilloos de vinger op de zere plekken wist te leggen. Op de Windows-servers van DigiNotar draaide geen virusscanner, patches waren onvoldoende of niet geïnstalleerd en het was mogelijk op consoles in te loggen zonder IP-restricties. Daarnaast is er bij gemeentesites niet gecheckt op kwetsbaarheden in de gebruikte software, zoals de mogelijkheid voor SQL-injection, en cross scripting. Dit toont mijns inziens aan dat de security experts konden weten wat er ontbrak. We kunnen dan logischerwijs ook aangeven wat er wel geregeld had moeten zijn. Er is dus blijkbaar genoeg kennis van zaken. Er is zelfs consensus te vinden voor wat betreft de op te stellen lijst van concrete maatregelen voor bescherming van informatie. Het is de hoogste tijd dat er initiatieven komen om die concrete invulling te gaan realiseren.

Er zijn  reeds diverse initiatieven, zoals het programma “zeker online”van de belastingdienst, en het komende keurmerk van de DHPA met concrete voorschriften die de overheid en industrie nu nog missen. Ik verwacht dat dit kan leiden tot consensus over de te nemen maatregelen. Zo kunnen we afnemers van online diensten daadwerkelijk ontzorgen als het gaat om het controleren van hun leveranciers op voldoende informatiebeveiliging. Op deze manier kunnen we ook de restrisico’s (absolute veiligheid bestaat immers niet) als een maatschappelijk aanvaard gegeven accepteren. En herstellen we het vertrouwen in de cloud.

)* Auteur Michiel Steltman is directeur van de Dutch Hosting Provider Association (DHPA)

 

Deel dit bericht

Plaats een reactie

Uw e-mailadres wordt niet op de site getoond