Cloud

Geschreven door Kristian van Tuil

3 hete hangijzers in de cloud

Je besluit te kiezen voor cloud, maar waar moet je dan zoal aan denken bij security, privacy en compliance? Dit zijn adviezen om de cloud vertrouwd te maken.

Cloud computing is niet alleen kostentechnisch interessant, maar biedt daarnaast voordelen op gebied van schaalbaarheid, flexibiliteit en wendbaarheid. Clouddiensten zijn hierdoor enorm interessant voor bedrijven, maar er blijven zorgen bestaan.

Die zorgen concentreren zich vooral rond issues als privacy, security en compliance. Mag ik mijn klantdata wel in de cloud zetten? Wie hebben hier toegang toe? Blijf ik aan regels voldoen als ik bepaalde koppelingen met andere diensten maak? Hoe betrouwbaar is mijn leverancier? Kan ik dat controleren? Het zijn allemaal voorbeelden van vragen die nu bij CIO's leven.

Juist vanwege deze vragen, stelt de adoptie van de cloud in Nederland in vergelijking met buurlanden en de Verenigde Staten niet heel veel voor op dit moment, zegt Jeroen Blaas, algemeen directeur voor de EMEA-regio bij cloudbeveiliger Ciphercloud.

Zijn inschatting komt overeen met recent onderzoek van IDG Connect onder 625 IT-beslissers in elf Europese landen, waaruit blijkt dat 60 procent van de Nederlandse organisaties. zijn infrastructuur nog volledig in een traditionele serverruimte of datacenter heeft staan. Dit percentage ligt duidelijk hoger dan het gemiddelde van Europa (50%).

Toch wordt er sinds kort momentum opgebouwd, vertelt Blaas. "We gaan komende jaren absoluut een inhaalslag maken met dubbele groeicijfers. De voordelen van cloud zijn inmiddels zo overdonderend dat bedrijven het gevoel hebben wel mee te moeten gaan. Het zijn allang niet meer de kostenbesparingen die tellen; als je kijkt naar hoe snel je een nieuw businessproces kunt adopteren, is dat zo veel sneller via cloud dan via het traditionele model. Hetzelfde geldt voor het uitbrengen van applicaties."

Opvallend genoeg bestaan de misverstanden die leven rond cloud nog steeds, ook een jaar nadat dienstverlener Schuberg Philis en advocatenkantoor Allen & Overy hierover vorig jaar een uitgebreid onderzoek publiceerden. Het 'oerwoud aan regels' is er niet minder om geworden, ondanks dat sinds 2012 geen wijzigingen meer in wetgeving zijn geweest, zegt partner Herald Jongen van Allen & Overy. "Er heersen nu nog steeds misverstanden rond de cloud, zo merken wij. Het vreemde hierbij is dat de privacywetgeving voor de cloud niet anders is dan voor andere IT-omgevingen."

Voorbeelden van zulke misverstanden zijn dat Amerikanen in elke cloud kunnen kijken, clouds minder goed beveiligd kunnen worden dan lokaal draaiende IT-services en dat bepaalde gegevens niet de landsgrenzen mogen verlaten en daardoor niet binnen een cloudomgeving kunnen worden opgeslagen.

Heet hangijzer 1: privacy

"Maar weinig mensen weten hoe het echt zit met cloud- en privacywetgeving", stelt Jongen. "Begin met bekijken of er data onder de Patriot Act/Freedom Act zou kunnen vallen en ga daarna je omgeving daarop inrichten."

Frank Breedijk, security officer bij Schuberg Philis, sluit zich daarbij aan. "Voor het opslaan van Intellectual Property zal elk bedrijf zijn eigen afwegingen moeten maken en is een risico analyse belangrijk. Wordt mijn beveiliging beter of slechter als ik gebruik maak van een cloudoplossing? In het algemeen zal het zo zijn dat risico's toenemen naarmate er meer mensen en meer landen bij betrokken zijn. We hebben allemaal een redelijk begrip hoe de Nederlandse wet in elkaar zit, maar voor de beoordeling van de Engelse en Amerikaanse wetgeving zullen we vaak, externe, expertise moeten raadplegen."

Kiezen voor een Nederlandse cloud kan een aantal zorgen over privacy en compliance wegnemen, maar niet allemaal. Zo blijft ook een Nederlandse cloud gevoelig voor data-opvragingen omdat ook Nederlandse Justitie (al dan niet op Amerikaans verzoek) gegevens kan opeisen. Maar toch heeft het duidelijke voordelen, zegt IT-jurist Andre Kamps.

"Momenteel is een Nederlandse provider wat privacyregelgeving betreft wel het handigst. Omdat het om Nederlandse partijen gaat, is op zowel het bedrijf als de cloudprovider de Wet bescherming persoonsgegevens van toepassing. De twee partijen moeten dus aan dezelfde regels voldoen."

In ieder land gelden dezelfde Europese privacyrichtlijnen, maar het ene land is iets strenger dan de andere. "Er zijn dus verschillen tussen landen onderling", vertelt Breedijk. "De Duitse privacy richtlijnen gaan verder dan de Nederlandse en daardoor is de wettelijke bescherming van gegevens in een Duitse cloud ook groter. Dit wil echter niet zeggen dat een Duitse oplossing altijd beter is dan bijvoorbeeld een Nederlandse, het zegt alleen iets over de wettelijke minimum eisen. Daarnaast kunnen conflicterende wetten juist zorgen voor een lager veiligheid, bijvoorbeeld wetten met betrekking tot de inlichtingendiensten. Als regel geldt dat hoe minder wettelijke kaders je mengt, hoe kleinen de kans op conflicterende wetgeving."

Hij vervolgt: "In veel gevallen zal, als je alles op een rijtje zet, een Europese cloud vergelijkbaar zijn met een Nederlandse cloud. Waarbij je je als Nederlands bedrijf bij het gebruik van een buitenlandse cloud wel bewust moet zijn dat je dan ook met de wetten van dat land te maken hebt. In feite zit je dan dus met dubbel huiswerk."

En mocht je toch voor een provider van buiten de Europese grenzen kiezen, waarschuwt Breedijk: "Voor systemen buiten de EU is het nodig contractueel een aantal zaken te regelen zoals bijvoorbeeld het werken onder de Safe Harbour agreement of het gebruik van standard contract model clauses. Daarnaast is het altijd verstandig het contract te lezen, sommige clouddiensten eigenen zich via deze overeenkomst soms ongewenste rechten toe, zoals het recht privé-berichten in te zien om er relevante advertenties bij te plaatsen (Google en Facebook) of het recht je als referentie te gebruiken (Slack en Salesforce.com)."

Heet hangijzer 2: compliance

Bij de keuze voor een cloud, dien je te voldoen aan geldende regelgeving. "Bijvoorbeeld de richtsnoeren van het College bescherming persoonsgegevens. Denk verder aan ISO/NEN certificeringen als ISO 27001. En er kunnen branchespecifieke normensets zijn, zoals NEN 7510", zegt Kamps.

Blaas van Ciphercloud: "Op brancheniveau zijn veelal de juiste reguleringen al van toepassing. Denk bijvoorbeeld aan de bescherming van patiëntgegevens in de zorg of creditcardgegevens. Dat is netjes geregeld met standaarden als HIPAA en PCI-DSS. Ook voor een bedrijf als de onze zijn die standaarden fantastisch want op het moment dat een bedrijf in één van deze branches naar de cloud gaat, hoef je bij wijze van spreken alleen de juiste vinkjes aan te zetten in onze tooling. Standaard zitten er allerlei usecases in die met DLP werken en inhaken op de standaarden."

"Het goede nieuws is dat assurance standaarden als Service Organization Control, STAR van de Cloud Security Alliance en ISAE3402 aan terrein winnen", zegt hij, maar Breedijk plaatst wel een kanttekening:

"Het slechte nieuws is dat het hebben van een certificaat of het voldoen aan een standaard niet 100% waarborgen dat alle risico's ook voldoende zijn afgedekt. Iedere organisatie zal zelf een risico analyse moeten uitvoeren en bekijken aan welke wettelijke kaders het gebruik van een cloud dienst hem bloot stelt en het contract lezen. Pas dan kun je het echte risico inschatten. Het is jammer dat het vinkje bij 'I have read and understood the terms and conditions of the license agreement' zo langzamerhand het meest voorkomende leugen is geworden."

Uit de praktijk heeft Andre Kamps voor het vraagstuk van compliance nog wel een tip: "Het is handig vast te stellen of de cloudprovider bereid is mee te werken aan het afsluiten van een bewerkersovereenkomst, waarin onder andere afspraken worden gemaakt over beveiliging. Deze is wettelijk verplicht, zie artikel 14 lid 2 van de Wet bescherming persoonsgegevens. Veel cloudproviders hebben tegenwoordig een eigen standaardmodel hiervoor. Als bedrijf moet jij zeker weten dat de bewerkersovereenkomst voldoende waarborgen biedt voor rechtmatige en veilige gegevensverwerking."

En dat is belangrijk, want de risico's van het niet voldoen hieraan zijn enorm groot. Als je als bedrijf in Nederland niet aan de voorgestelde Europese wetgeving voldoet, kun je een boete tot maximaal 100 miljoen euro of 5 procent van je omzet krijgen, zo luidt het laatste wetsvoorstel.

Enkel encryptie toepassen om ervoor te zorgen dat je data die niet de grens over mag toch de grens kan passeren, is niet altijd voldoende, zegt Blaas. "Het moet soms ook tokenised werken. Regelgeving van landen is hierin verschillend. Bij de ene wordt tokenisation verplicht, anderen tillen juist weer minder zwaar aan versleutelde data die de landsgrenzen verlaat. Maar met tokenization verlaat de data fysiek niet het land omdat je deze vervangt door de een random token. Bij encryptie valt het algoritme te kraken en kan de data alsnog toegankelijk gemaakt worden."

Heet hangijzer 3: security

Het idee dat on-premises systemen en applicaties veiliger zouden zijn dan cloud, is al enkele jaren achterhaald. Zo laat onderzoek uit 2014 van Alert Logic naar ruim 230.000 securityincidenten zien dat on-premises omgevingen net zo vaak worden aangevallen als cloudomgevingen.

"Het lijdt geen twijfel dat de zwakste schakel in de securityketen de lokale on-premises omgeving is", liet EMEA-directeur Philip Turner van inlogbeveiliger Okta eerder weten. "Het is bewezen dat IT'ers hun eigen omgeving niet net zo goed kunnen beveiligen als cloud."

Blaas' Ciphercloud biedt met end-to-end encryptie voor clouddiensten een extra slot op de deur voor organisaties die twijfelen aan de veiligheid van de cloud of zich gewoonweg willen verzekeren van optimale bescherming. "DLP stopt vaak in de cloud, maar wij kunnen dat in de cloud verder trekken en koppelen met een SIEM-systeem."

Zo kun je bijvoorbeeld zien dat er bestanden vanaf jouw netwerk op een fileshare in China worden gezet. Ook kunnen ze dit koppelen aan een applicatie - die bedrijven vaak al hebben - die dit kan stoppen, waarschuwingen uit kan sturen of blokkeren. "Maar het belangrijkste is het inzichtelijk maken van gedrag. Het levert IT-afdelingen nuttige inzichten op als zij zien dat users zich soms met drommen tegelijkertijd op bepaalde sites begeven."

Ciphercloud installeert een on-premises gateway die het verkeer van het eigen netwerk naar clouddiensten voorziet van encryptie of een token. "Daarmee gaat alle data die naar een platform als Salesforce gaat, versleuteld hier naartoe. Als een overheid deze data opvraagd, krijgen ze van Salesforce een keurig doosje met onleesbare gegevens. Wij hebben de sleutels voor ontgrendeling niet, Salesforce heeft deze niet... alleen de klant houdt deze."

Blaas erkent dat steeds meer cloudproviders zelf encryptie aan zijn gaan bieden. "Dat doet Salesforce met zijn Service Cloud bijvoorbeeld ook. Maar daarbij gaat het om server-side encryptie. Daar zijn we op zich hartstikke blij mee, maar onze oplossing werkt daar complementair aan. Data-at-rest beschermen zij prima en data-in-transit tot op zekere hoogte ook, maar voor data-in-use zijn nog maar weinig oplossingen. Account hijacking, breaches en NSA-spionage blijven daardoor reële bedreigingen."

"Ook door zoekopdrachten, filters toepassen en rapporten uitdraaien wordt data 'in the clear' gehaald", legt de EMEA-directeur uit. "Wij beveiligen de hele keten zodat alles wat verwerkt wordt, ook mobiel, via de gateway gaat en versleuteld wordt en weer terugkrijgt. De latency hierin is minimaal."

Misschien wel het prettigste is dat de gebruiker van encryptie en versleuteling niets hoeft te merken. "Bij ons is de gateway voor hem onzichtbaar", zegt Blaas. "Het enige wat er gebeurt, is dat de URL verandert. In plaats van dat je native naar de cloud surft, verloopt dit via een gateway. De enige die het product ziet, is de beheerder."