Datalekken en cloud

Over de definitie van een datalek bestaat geen discussie. Gesprekken worden wel anders als wordt gesproken over de aanleiding. Je kunt er een mooie lijst maken van de antwoorden die je krijgt op de vragen: waarom en hoe kan het mis gaan. Een punt zul je daarbij altijd horen, het kan in de cloud misgaan.

Cloud oorzaak of niet

Bijna iedereen weet ze wel te noemen, de grote missers omdat iemand iets in een niet afgeschermd deel van een cloud parkeerde. Publieke cloud en vooral AWS scoort hier het hoogst als virtuele plek waar de misstand ontstaat. Begrijpelijk, AWS is immers marktleider. Wie iets verder nadenkt zal het hoofd schudden. Tot zover bekend zijn alle grote missers van het afgelopen jaar niet de schuld van een fout door een AWS medewerker. Grote missers hebben de pers gehaald, maar dat is slechts het topje van de ijsberg. Volgens Redlock heeft 53% van de bedrijven per ongeluk wel eens data op public gezet. Het is dus de gebruiker zelf die er een zooitje van maakt. Gebruiker kan daarbij zijn de eigenaar van de data maar het is opvallend vaak een (onder) aannemer die in de rol als toeleverancier iets doet zonder de consequenties te overzien.

Kundig of onkundig

De vraag die hier alles mee te maken heeft wordt heel weinig publiek gesteld. Ook op fora komt het puntje opvallend weinig voorbij. Die vraag is: hoe kundig zijn de mensen die werken met databestanden en cloud platformen zoals AWS. Afgaand op het aantal bekende incidenten (we weten echt niet alles) zijn er redelijk wat voorbeelden te noemen waarbij de onkundigheid als een paal boven water staat. Het doet onwillekeurig denken aan de begintijd van internet, met de zolderkamer hoster en het handige neefje dat een website knutselde. Die fijne ambachtelijke instelling heeft geleid tot succesvolle internet ondernemers. Over de partijen ongewild of onbewust de klanten dupeerden en daardoor het loodje hebben gelegd hoor je niemand meer.

Toch hebben we van beiden wat geleerd. De missers uit het verleden hebben er toe geleid dat tegenwoordig op tal van punten wat meer op de kwaliteit van opdrachtnemers wordt gelet. Velen van ons kennen de vragen over ISO certificeringen en de VOG. Maar hoe vaak wordt er gevraagd naar een bewijs dat men over serieuze kennis van AWS beschikt? Daar laat menig opdrachtgever een steek vallen. Het zelfde lijkt het geval te zijn bij de kwaliteit van het opgeleverde. Vervelend daarbij is dat in tegenstelling tot de eerste website die men liet knutselen hier in 99,9% van de gevallen PII in het geding is. Daarom is werken met onkundige (onder) aannemers tegenwoordig zoveel risicovoller dan voorheen.

Onkundige cloud knutselaars zijn overigens niet alleen risicovoller voor de houder van de data (de opdrachtgever). Iedereen die in zijn IT waardeketen zit, dus ook het datacenter en de provider, kan last ondervinden en schade oplopen. Het is dus ook in je eigen belang vinger aan de pols te houden als een klant aangeeft iets met AWS te gaan doen.

About the author

Avatar

ISP Today is het Nederlandstalige platform voor de Internet Service Providers in Nederland. We presenteren nieuws van redactionele kwaliteit met relevantie voor de Nederlandse ISP community. Internet Service Providers en met name de mensen daarachter staan centraal op ISP Today.