Security en duidelijkheid

Cloud is in. Maar het fenomeen cloud is niet nieuw. Het ontstond eigenlijk al eind jaren negentig. In mijn presentaties aan onze eerste hosting-klanten tekenden wij het internet toen als een wolkje. Wij noemden cloud-services ‘ASP’. Het ASP-fenomeen heeft het echter niet gered. Er was onvoldoende betaalbare bandbreedte en softwareleveranciers, gedreven door kwartaalcijfers, wilden alleen langdurende en dus peperdure licenties verkopen. En ook was er nog geen virtualisatie, de technologie die schaalvoordeel mogelijk maakt. Maar de allerbelangrijkste factor was het ontbreken van vertrouwen van de klant. Zij vonden het plaatsen van bedrijfsgegevens buiten de bedrijfsmuren en het afhankelijk zijn van IT-diensten van derden toen nog te riskant.

Het huidige succes van cloud valt te verklaren uit het verdwijnen van verschillende obstakels: kosten zijn te verlagen, de technologie is geschikt, en er is een toenemend vertrouwen. Dat vertrouwen staat nu onder druk door affaires als die rond DigiNotar en door de onthullingen van WebWereld in de serie Lektober. Dit zet informatiebeveiliging en daarmee de vertrouwenskwestie prominent op de agenda.

Cloud-afnemers moeten kunnen rekenen op hun leveranciers: ”Doet de service het als ik die nodig heb?”. “Is mijn data veilig?” “Gaan ze niet op de fles?”. “Kan ik op ze rekenen als er problemen zijn”? In IT-termen: hoe staat het met de beschikbaarheid, veiligheid, continuïteit en ondersteuning? Er is momenteel als gevolg van de genoemde gebeurtenissen onzekerheid. Die onzekerheid geeft ruimte aan onheilsprofeten die fundamentele problemen menen te zien in systemen die al zo’n tien jaar redelijk goed hebben gefunctioneerd. Overheid en industrie erkennen dat er iets moet gebeuren maar over de aanpak is verschil van inzicht.

Wetgeving en realiteit
De overheid, gedreven door de incidenten, reageert met het creëren van nieuwe wetgeving. Die blinkt niet uit in helderheid en uitvoerbaarheid. De basis voor wetgeving vormt nog steeds de telecomwet en de wet op het briefgeheim. Deze wetten worden stapje voor stapje uitgebouwd met bepalingen die een reactie zijn op incidenten. Een structurele aanpak die past in het internettijdperk ontbreekt. De gebruikte terminologie is een poging om de moderne fenomenen te vangen in min of meer tijdloze begrippen uit de vorige eeuw. Een voorbeeld is de befaamde term ‘aanbieder van openbare telecommunicatiediensten’. De gebruikte begrippen zijn metaforen voor de werkelijkheid en gaan dus mank. Het kost dan ook veel moeite om te doorgronden binnen welke internetcontext wettelijke termen precies van toepassing zijn. Er wordt als het gaat om veiligheid alleen gesproken over ‘adequate maatregelen’ en ‘zorgplicht’. Er is ook geen consensus en duidelijkheid over invulling en toe te passen technologie en processen. Ook het feit dat internet zich niet laat vangen in lokale wetgeving maakt de problematiek van handhaving steeds complexer. Zo wordt gesproken over ‘gegevens exporteren buiten de landsgrenzen’. Een rechtenstudie is nodig om vast te stellen wat de regels zijn in het volgende, niet eens zo vergezochte scenario: een ingehuurde operator in India logt in op een systeem van een Nederlands bedrijf, gehost op een cloud van een leverancier met datacenters in zowel de Europese Unie en de Verenigde Staten, en maakt voor een diagnose een afdruk van een scherm dat gegevens bevat van een zwitserse burger. Het valt dan ook te vrezen dat de wetgeving op het gebied van bescherming van persoonsgegevens en internetveiligheid, en de realiteit van uitvoerbaarheid en naleving steeds meer uiteen gaan lopen.

Standaarden
Ook de industrie is niet transparant en onvoldoende duidelijk. De DigiNotar-affaire laat zien wat er aan de hand is. Er was in dit geval een auditrapport dat zekerheid zou moeten verschaffen, maar dit rapport liet zoveel ruimte dat het iedereen was ontgaan dat noodzakelijke maatregelen ontbraken. Bekende standaarden zoals ISO27001, NEN7510, en zelfs moderne initiatieven als de CSA (Cloud Security Alliance) geven aan dat er beleid en policies moeten zijn, maar geen van de standaarden bieden houvast en technische details op het gebied van die invulling en de toepasbare technologie. Er wordt over de ISO-standaarden wel eens gegrapt dat het mogelijk is om ISO-gecertificeerde ijzeren zwemvesten te maken.

Door die ruimte zijn afnemers van bijvoorbeeld hosting nog steeds aangewezen op hun eigen oordeel en onderzoek of er ‘voldoende’ en ‘adequate’ maatregelen door hun leveranciers zijn getroffen.

Achteraf vinger op de zere plekken
Het interessante van Lektober en DigiNotar is dat iedereen achteraf feilloos de vinger op de zere plekken weet te leggen. Op de Windows-servers van DigiNotar draaide geen virusscanner. Patches werden niet geïnstalleerd en op consoles kon worden ingelogd zonder IP-restricties. Bij verschillende lekke gemeentesites is nooit gecheckt op de gevaren van oude versies van systeemsoftware, en op coding-defecten zoals vatbaarheid voor SQL injectie en cross scripting. We weten nu dus wat er mis is. Nu kunnen we ook aangeven hoe het anders moet. Het is dan ook de hoogste tijd voor initiatieven om concrete invulling te geven aan stevige informatiebeveiliging.

De DHPA als brancheorganisatie van de professionele hostingsector zal haar steentje bij gaan dragen door in haar keurmerk een code vast te stellen met zulke concrete voorschriften. Hopelijk zal dat leiden tot consensus over de maatregelen die ‘voldoende’ zijn in een gegeven context. Dan kunnen we afnemers van online diensten daadwerkelijk ontzorgen als het gaat om het controleren van hun leveranciers op handhaving van informatiebeveiliging. En dan zijn restrisico’s te accepteren als een maatschappelijk aanvaard gegeven, in de wetenschap dat absolute veiligheid niet bestaat. Zo kunnen we het vertrouwen in de cloud herstellen.


Michiel Steltman is directeur van DHPA en als adviseur werkzaam binnen de cloud- en hostingsector.

Foto: geert@cheeseworks.nl

Over Michiel Steltman