‘Ook klant is verantwoordelijk voor veiligheid data’

11 maart 2011

Twijfels aan de veiligheid van gegevens die in de cloud worden opgeslagen, houden nog altijd veel gebruikers tegen voor deze oplossing te kiezen. En die angst lijkt niet geheel en al overdreven. IT-beveiligers als beroepsgroep klagen in het 2011 Global Information Security Workforce-rapport van (ISC)2 dat zij te weinig kennis en ervaring hebben om clouds werkelijk goed te beveiligen. Tijdens de RSA-conferentie die vorige week werd gehouden in San Francisco was veiligheid in de cloud een onderwerp dat van vele kanten werd belicht. Beveiliger RSA probeert het vertrouwen in cloud computing op te vijzelen met de introductie van zijn nieuwe product Cloud Trust Authority. Die moet vooral transparantie en controle bieden op de relaties met de cloudserviceprovider. En die controle en transparantie op hun beurt moeten de gebruiker het idéé geven dat hij weet wat er gebeurt.

De onzekerheid over de beveiliging van hun data in de cloud is echter niet geheel en al te wijten aan de cloudproviders, zo laten enkele Amerikaanse advocaten weten tijdens de RSA-conferentie. “De cloud is een werk in uitvoering. Het blijft dus nog lang steeds veranderen”, zegt Thomas Jackson, advocaat bij het Amerikaanse advocatenkantoor Philips Nizer. “Beveiliging van je data en privacy in de cloud zijn nu de belangrijkste zorgen. Maar de uiteindelijke verantwoording hiervoor is naast die van de wetgevers en zakelijke partners ook die van de klant. Klanten tekenen heel makkelijk contracten die ze niet begrijpen en die eenzijdig zijn, in hun nadeel. Terwijl het om data gaat die van kritiek belang zijn voor hun bedrijfsvoering. Je kunt veel meer eisen stellen aan de cloudprovider. Er is heel veel concurrentie in die markt, dus ben je in een positie om daar heel goed over te onderhandelen.”

Daar staat wel tegenover, vindt Jackson, dat de rechten van de klant beschermd moeten worden. Daarom moet die op zijn minst eisen dat een externe auditor controleert of de cloudprovider de regels wel volgt en of hij afgesproken veiligheidsmaatregelen werkelijk heeft getroffen. “Het lijken heel basale punten maar een leverancier moet contractueel vastleggen dat hij zich aan compliancy-regels houdt.” Hij heeft een paar tips voor wat per se in een contract moet staan:

  • Kijk goed naar de procedures van de cloudprovider en zorg dat die in het contract zijn beschreven.
  • Er moet duidelijk in staan dat de klant de eigenaar is van de data.
  • Reguleer het gebruik en de disclosure van de data.
  • Als de data verplaatst worden, moet de klant gemeld worden waarnaar toe. Dat kan immers naar een land zijn met andere privacywetten en regels voor toegang van data.

Data buiten de landsgrenzen
Maar het is niet alleen de zorg om de beveiliging van de gegevens die de gehoopte doorbraak van cloud computing vertraagt. Ook juridische problemen die kunnen ontstaan doordat de data van land naar land worden verplaatst door de cloudprovider, spelen mee. Er spelen zeer veel verschillende wetten die cloud computing raken. Zo is de Europese Unie strenger dan de Verenigde Staetn als het gaat om privacy. Dat geldt ook voor Japan, stelt de Japanse advocaat Ikko Takahashi. In 2005 heeft het land een Personal Information Protection Law aangenomen die “ veel lijkt op de EU-wet.” Waarin Japan echter sterk verschilt van veel westerse landen is het beleid rondom e-discovery. “Wie gegevens wil verkrijgen over zijn tegenstander in een rechtszaak moet die aanvragen bij Japanse rechtbanken. Rechtstreeks toegang tot gegevens die dus bij een cloudprovider in Japan zijn opgeslagen, is dan niet mogelijk. Dat maakt het al minder aantrekkelijk je gegevens door een cloudprovider in Japan op te laten slaan.”

James Reavis van de Cloud Security Association wijst ook op het “chilling effect op cloud-adoptie van de lange arm van Uncle Sam. Als een datacenter vanuit het oogpunt van de Amerikaanse overheid iets Amerikaans in huis heeft, stelt zij dat daar de Amerikaanse wetten gelden.”

Ook zijn er diverse landen die de uitvoer van bepaalde data verbieden. Reavis: “Als een cloudprovider wordt verboden data te verplaatsen naar het buitenland en de toegankelijkheid van die data komt in het geding, verlies je een groot deel van de voordelen van cloud computing. Dan ben je weer terug in de meer traditionele modellen. En dan stopt de business.”

Amerikaanse overheid is om
Wie zich niet laat tegenhouden door mogelijke beveiligingsissues is Vivek Kundra, CIO van het Witte Huis. Kundra toonde zich tijdens een bijeenkomst van de Cloud Security Association tijdens de RSA Conferentie een groot voorstander van cloud computing. “Wat ons betreft is het een eenrichtingsweg; richting de cloud.” De besparingen die de Amerikaanse federale overheid hiermee kan bereiken, geven voor hem de doorslag. “We geven 80 miljard dollar uit per jaar aan IT. Daarvan kan zeker voor 20 miljard de cloud in. Wij hebben elk agency minstens drie systemen laten aanwijzen die de cloud in kunnen. En het is niet zomaar een idee. We hebben nu al heel veel bespaard met de paar systemen die we naar de cloud hebben verplaatst. Zoals het ministerie van Landbouw, dat 27 miljoen dollar bespaart door onder meer de e-mail van zijn 120.000 gebruikers in Azure onder te brengen.”

Hij maakte eerder deze maand al zijn ‘cloud first-strategie’ bekend. Die houdt in dat overheidsorganisaties voor cloudoplossingen moeten kiezen als die op zijn minst even veilig zijn als andere IT-oplossingen.

 
Lees het hele artikel
Je kunt dit artikel lezen nadat je bent ingelogd. Ben je nieuw bij AG Connect, registreer je dan gratis!

Inloggen

Registreren

  • Direct toegang tot AGConnect.nl
  • Dagelijks een AGConnect nieuwsbrief
  • 30 dagen onbeperkte toegang tot AGConnect.nl

Ben je abonnee, maar heb je nog geen account? Laat de klantenservice je terugbellen!