Voor bedrijven is het handig om gegevens zo op te slaan dat alle medewerkers er vanaf iedere computer bij kunnen, een cloud dus. Google, Apple en bijvoorbeeld Microsoft bieden deze dienst voornamelijk gratis aan. Met als gevolg dat alle mogelijke privacy- en concurrentiegevoelige informatie van Europese bedrijven op Amerikaanse servers opgeslagen staat. Tot Edward Snowden zijn onthullingen deed, maakten Nederlandse bedrijven hier onbekommerd gebruik van, maar is het nog wel verstandig om dit te doen, en hoe doe je dat dan?

In Amerika zijn bedrijven verplicht om te voldoen aan verzoeken van de overheid om informatie te verschaffen, zonder tussenkomst van de rechter. Dat gebeurt, zo bleek, sinds de aanslagen van 2001 op grote schaal. De cloud maakt het de autoriteiten wel heel gemakkelijk om burgers te volgen. Wie zijn data opslaat bij een Nederlandse cloudleverancier kan er op rekenen dat zijn data niet toegankelijk is voor de Amerikaanse overheid, maar is het in Nederland dan zoveel beter? Jon Callas van Silent Circle, een versleutelde oplossing voor mobiele telefonie, stelt dat Europa eigenlijk erger is dan de Verenigde Staten door de dataretentierichtlijn. Dit was voor Silent Circle reden om hun servers in Zwitserland te plaatsen. De Zweedse Europarlementariër Amelia Andersdotter zegt dat opsporingsdiensten zich niet moeten gaan bedienen van dezelfde middelen als criminelen. Inbraakbevoegdheden zoals al in diverse landen gehanteerd zouden een verkeerde weg zijn, maar dit is veelal wel de richting die overheden kiezen.

Volgens onderzoek van datacenter-dienstverlener Interxion wil  bijna de helft (45 procent) van alle Europese IT-beslissers nog niet overstappen op cloud computing, omdat ze bang zijn voor een gebrek aan beveiliging. Gevoelsmatig is dat niet onterecht als je voor de zoveelste keer hoort dat er weer allerlei gegevens op straat liggen. En ook al zouden er goede cijfers beschikbaar zijn, het is moeilijk te zeggen hoe groot de kans is dat je bestanden gestolen worden. Ook veel overheden zien de veiligheid en de bescherming van privégegevens van de burger nog altijd als de grootste obstakels om overstag te gaan. De overheid zelf is al helemaal een slecht voorbeeld met haar falende ict-projecten en lijkt regelmatig achter de feiten aan te lopen.

Telecombedrijven zijn van mening dat ze het beste gepositioneerd zijn om de beveiliging van cloud computing te waarborgen terwijl zij tegelijkertijd vooral in termen van nog uit te rollen technieken spreken. Toch houden ze met veel beveiligingsaspecten rekening. In het operatiecentrum van KPN in Hilversum zitten technici dag en nacht mee te kijken wat er gebeurt op computernetwerken wereldwijd. KPN heeft alleen Nederlanders voor de veilige cloud van CloudNL werken. Amerikanen vallen namelijk onder de patriot act, en zijn dus verplicht te voldoen aan verzoeken om informatie. Maar hoe vaak KPN meewerkt aan verzoeken van de Nederlandse overheid om inzage in gegevens wil het bedrijf omwille van de Nederlandse en Europese wetten niet zeggen.

Toch in de cloud

Er lijkt reden genoeg te zijn om niet de cloud in te gaan en het is terecht dat bedrijven huiverig zijn, maar als je niet over gaat naar de cloud, dan loop je wel allerlei voordelen mis. Volgens deskundigen is het gebruik maken van een publieke cloud provider in negen van de tien keer veiliger dan het zelf doen. Ook al heb je aardig goede kennis het van ict-security dan is een investering op NAS/cloud hardware nodig en dien je zelf zorg te dragen voor back-ups en andere beveiligingsmaatregelen. Dat wil niet zeggen dat de producten niet goed zijn. Synology heeft bijvoorbeeld standaard twee factor authenticatie en encryptie in haar producten opgenomen. Wil je het zelf goed doen, dan geldt zeker voor kleine mkb’ers dat er gewoon te veel tijd in het onderhoud en updaten gaat zitten.

De publieke cloud is in principe een gestandaardiseerde oplossing. Bij een privé cloud heb je alle aspecten en voordelen van de publieke cloud, maar heb je veel meer controle en kun je veel meer zelf naar je hand zetten. Je kunt hierbij denken aan eigen encryptie, instellen van policies  en bijvoorbeeld een cloudspamfilter. Wachtwoorden en encryptiesleutels kun je vaak zelf aanmaken en beheren. Ook zou je kunnen kiezen voor een service level agreement en daarmee afspreken dat alles goed dichtgetimmerd wordt, maar dat kan behoorlijk in de papieren gaan lopen. Besef dat het gebruikersgedrag van grote invloed is op het feitelijke beveiligingsniveau. En hoewel de verantwoordelijkheid voor het onderhouden van de cloud bij een professionele ict-leverancier ligt, zijn gebruikers van een de cloud wel zelf verantwoordelijk voor de veiligheid.

Bij het uitbesteden van clouddiensten verdient het aanbeveling om naast functionele eisen ook niet-functionele eisen op het gebied van beveiliging te formuleren. Denk daarbij aan eisen voor beschikbaarheid, integriteit, vertrouwelijkheid, onweerlegbaarheid en bedienbaarheid. Bij de overstap naar cloud computing is het verstandig om het huidige gebruikersgedrag te analyseren. Hoe bewust zijn de gebruikers zich van de risico’s? Hoe gaan ze om met hun wachtwoorden? Weten ze wat ze met welke data mogen? Wanneer het bewustzijn laag is, kan de instelling een bewustwordingscampagne overwegen.

Encryptie

Voor een privé cloud oplossing is encryptie geen probleem. Onbevoegden die toch toegang krijgen tot jouw gegevens, zien alleen maar versleutelde data. Als je gevoelige data bewaart in een publieke clouddienst zoals Google Apps of Dropbox dan is het ook verstandig om zelf de bestanden te voorzien van encryptie. Dit kan bijvoorbeeld met een programma zoals Boxcryptor of Cloudfogger. Deze encryptiesoftware is gratis voor privé gebruik en is ook te gebruiken in combinatie met een usb-stick. Het programma beveiligt je bestanden lokaal met 256bit-AES-encryptie. De opslag van de beveiligde bestanden vindt dan wel plaats in de cloud, maar de data is onleesbaar zonder wachtwoord. Beide pakketten maken de bestanden leesbaar op je apparaten en koppelen hier op een computer bijvoorbeeld een extra schijfletter aan. Ook zijn er  gratis Android, Windows en iOS apps beschikbaar. Er zijn meerdere diensten die prima kunnen voldoen, maar ik kan me voorstellen dat je daarbij het liefst kiest voor een dienst die niet onder de Amerikaanse wetgeving onderworpen is. Zorg tenslotte voor een goed sleutelbeheer.

In onderstaande Infographic de uitkomsten van een onderzoek door Egress Software naar gevoelige bedrijfsinformatie en beveiliging in het algemeen.

Volgens het onderzoek is er de laatste tijd veel meer aandacht gekomen voor het versleutelen van gevoelige data.