image

Cloudaanbieders niet bang voor Kroes

donderdag 2 december 2010, 15:19 door Redactie, 3 reacties

Eurocommissaris Neelie Kroes pleitte vorige week voor strengere regels voor cloudcomputing, maar daar maken sommige aanbieders zich geen zorgen over. "Het moet voor bedrijven eenvoudiger worden om te bepalen of cloudcomputing veilig is", zegt Vincent Peters van Intralinks in een interview met Security.nl. "Cloudaandbieders kunnen wel ISO-gecertificeerd zijn, maar veel bedrijven weten niet wat dat betekent." De verantwoordelijkheid ligt volgens Peters zowel bij de afnemende als aanbiedende kant. "Er is gewoon heel veel verwarring en je hebt met regels op verschillende niveaus te maken."

"Kroes praat over de privacy, maar vanuit onze kant bekeken zijn wij niet verantwoordelijk voor de data die onze klanten in ons systeem opslaan." Peters erkent dat klanten moeten weten waar hun gegevens worden opgeslagen en hoe de beveiliging in elkaar zit. "Dan kun je het hebben over applicatiebeveiliging, authenticatie, infrastructuur beveiliging, proces level security en personeelsbeveiliging. Op al die zaakjes moet je kunnen aantonen dat je je zaakjes op orde hebt."

Zeker bij grote cloudaanbieders is het lastig voor bedrijven om dit te controleren, aangezien bijvoorbeeld Google niet toestaat dat elke willekeurige klant een audit uitvoert. Alleen bepaalde geselecteerde partijen mogen dit doen. De rapporten van deze audits worden vervolgens aan de klant ter beschikking gesteld. Daar kunnen kleinere, meer transparante partijen van profiteren.

Locatie
Een ander belangrijk punt van de cloud is de locatie van de gegevens. Peters krijgt geregeld het verzoek van klanten om de data niet in het Amerikaanse datacentrum van Intralinks op te slaan. De gegevens die in Amerika worden opgeslagen vallen onder het Safe Harbour verdrag. "Het zou fijn zijn als Europa er zelf voor zorgt dat Safe Harbour voor Europese wetgeving afdoende is. Je kunt geen situatie krijgen, die er wel begint te ontstaan, waarbij bedrijven Safe Harbour gecertificeerd zijn en vervolgens er toch een land gaat zeggen dat Europese bedrijven hun gegevens in het buitenland hebben opgeslagen. Op dat moment is de EU zich zelf aan het kortwieken. Kroes moet er ook voor zorgen dat ze zelf alle regelgeving van alle landen en de verdragen met Amerika op een lijn krijgt."

Safe Harbour zorgt ervoor dat de overheid alleen in bepaalde gevallen gegevens kan opvragen. Bij een specifieke terreurverdenking zou de Amerikaanse overheid wel toegang kunnen vorderen. Als Europese inlichtingendiensten een soortgelijke verdenking hebben tegen een partij die in Nederland zijn gegevens heeft ondergebracht, zal de Nederlandse overheid deze diensten ook toegang geven, merkt Peters op. "Het maakt dan niet uit waar die gegevens staan."

Kroes
Aanbieders van cloudcomputing moeten ervoor zorgen dat ze alleen de data opslaan die ze mogen opslaan en dat dit transparant voor consumenten is, iets waar Kroes nu ook voor pleit. "Ik moet het individu waarschuwen als ik gegevens over hem opsla en of er procedures zijn zodat gebruikers gegevens kunnen schrappen of wijzigen. Dat heeft niets met cloudcomputing te maken, maar is wel het grootste issue op privacygebied", laat Peters weten.

Wat Kroes eigenlijk zegt gaat dan ook niet specifiek om de cloud, maar om de manier waarop bedrijven met gegevens omgaan. Een ander punt is waar men de gegevens mag opslaan en verwerken. "Als er bijvoorbeeld wordt gezegd dat er geen gegevens in het buitenland verwerkt mogen worden, dan kun je de hele outsourcing naar India de nek omdraaien." Maar ook dat heeft niets met cloudcomputing te maken. "Ik kan nog steeds mijn eigen bedrijfsnetwerk hebben, een VPN naar India aanleggen om daar human resources bijvoorbeeld te doen. Volgens de Duitse wetgeving ben ik dan al in overtreding."

Het gaat dan om dat je gegevens zonder toestemming van het individu naar het buitenland transporteert. "Je moet dit als een kubus in blokken hakken en naar de verschillende dimensies kijken. Eén dimensie is het verwerken en opslaan van privégevoelige gegevens van individuen." Een ander punt is het gelijk trekken van de wetgeving binnen de EU, want die verschilt nu onderling. "Wie een HR-systeem wil hebben dat gegevens van Franse, Duitse en Nederlandse werknemers verwerkt, is waarschijnlijk drie keer in overtreding." Peters voorspelt dat bedrijven straks, net als met hun huidige omgeving, onbelangrijke gegevens bij grote, goedkope partijen zetten, terwijl ze hun belangrijkste data bij gespecialiseerde partijen plaatsen.

Reacties (3)
02-12-2010, 16:15 door Anoniem
>vanuit onze kant bekeken zijn wij niet verantwoordelijk voor de data die onze klanten in ons systeem opslaan.

Tja, dat zegt alles.
02-12-2010, 17:00 door spatieman
overheid en zich bemoeien met ict = fail
03-12-2010, 08:56 door Anoniem
Door Anoniem: >vanuit onze kant bekeken zijn wij niet verantwoordelijk voor de data die onze klanten in ons systeem opslaan.

Tja, dat zegt alles.

Nou.... Niet helemaal...

Als aanbieder van infrasctructuur moet je kunnen aantonen dat je op de afgesproken SLA levels in control bent. Hiermee maak je het voor de auditors aannemelijk dat de erop draaiende applicaties en hun logging, mits er correcte functiescheiding en logging is toepgepast, betrouwbaar zijn. Waarmee weer aannemelijk is dat de data waarop de benodigde rapportages over het gebruik en beheer van de applicatie zijn gebasseerd ook betrouwbaar zijn. Het is een keten die begint bij de basis.

Verder is het geenzins de verantwoordelijkheid van de infra-aanbieder om functiescheiding en correcte logging af te dwingen op applicatief niveau. Dat zou de betreffende Risk Management club van de klant organisatie moeten afdwingen middels policies en standards waar men zich bij applicatie inrichtingen aan dient te houden. Geborgd door een behoorlijk acceptatieproces en eventuele real-time / dagelijkse security state en security event management processen. Waarbij de diepgang c.q. granulatiteit afhankelijk van de CIA rating van een applicatie en haar data.

(Voor de gewone burger: CIA rating = Confidentialiteit, Integriteit en Beschikbaarheid. zie ook Wikipedia).

My two cents...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.