Op Leicester Square in Londen trad een Japanse acrobaat op. Hiroshi
heette hij geloof ik. Hiroshi was een grappenmaker: naar schatting bestond 86%
van zijn straatact uit dollen met het talrijke publiek en slechts 14% uit het
daadwerkelijk vertonen van acrobatische toeren. En daar betrok hij het publiek
dan ook weer bij: twee mannen moesten op een matje gaan liggen en Hiroshi
kondigde aan dat hij “over hen heen” zou gaan lopen. Nu was Hiroshi gespierd
doch klein en tenger, maar toch keken de beide kandidaten ietwat benauwd bij
deze aankondiging. Na een hoop gepalaver kwam de aap uit de mouw. Hiroshi liep
op zijn handen “over” de mannen heen, met de handen aan weerskanten van hun
lichamen. Volstrekt pijnloos dus maar wel een hele prestatie.
Ik was in die contreien voor een ander rondreizend circus: de Security & Risk Summit van het
Amerikaanse IT-onderzoeks- en adviesbureau Gartner. Dat is een conferentie met
zo’n achthonderd deelnemers uit natuurlijk vooral het Verenigd Koninkrijk, maar
ik heb ook de nodige Nederlanders, Fransen, Duitsers, Italianen, Spanjaarden en
een enkele Japanner en Zwitser gespot – en op deelnemerslijst prijken nog heel
wat andere nationaliteiten. En er waren veel Amerikanen, want verreweg de
meeste sprekers waren Gartner-employees.
De voor mij meest opvallende uitspraak van een Gartner research director luidde: “Public clouds
are secure”. Steve Riley betoogde dat grote cloud service providers (CSP’s;
denk bijvoorbeeld aan Microsoft, Google en Amazon) de boel beter kunnen
beveiligen dan jijzelf. En let wel, hij sprak niet voor een publiek van
particulieren, maar voor vertegenwoordigers van middelgrote en grote
organisaties (vooral de bankensector was flink vertegenwoordigd). Maar goed, de
cloud zou dus veilig zijn. (Even voor wie minder bekend is met het fenomeen
publieke cloud: dat is dat je je gegevens op de computer van iemand anders
opslaat.) Eén van de argumenten waarmee Riley zijn stelling onderbouwde was dat
er geen bewijs voor is dat CSP’s minder veilig zijn dan
eindgebruikersorganisaties. Oei, een dubbele ontkenning, daar moet je altijd
mee uitkijken. Riley voegde hier nog aan toe dat er nog geen cloud-leverancier
in de gevangenis is beland. Ik vind dat een dubieuze redenering. Riley heeft
zeker nog nooit een Nederlands reclamespotje gehoord dat eindigt met:
“Resultaten uit het verleden bieden geen garantie voor de toekomst”.
Daarna werd het betoog gelukkig steekhoudender. Een belangrijk aspect
van de cloud is multitenancy: meerdere klanten maken gebruik van dezelfde
infrastructuur. Je wilt dan natuurlijk niet dat de buurman opeens in jouw
gegevens zit te rommelen. De onderzoekers van Gartner hebben geen verschil
aangetroffen tussen de veiligheid van private en publieke clouddiensten (en
alle tussenliggende vormen). Maar ze maken daarbij wel de kanttekening dat
multitenancy een belangrijke bron van zorg blijft.
Riley maakte nadrukkelijk verschil tussen tier 1, -2 en -3 CSP’s. Tier 1, dat zijn de vijftien beste
jongetjes van de klas. Je mag er gerust van uitgaan dat die veilig en
financieel stabiel zijn (dat laatste is van belang voor de beschikbaarheid van
je data). In tier 3 wil je niet gezien worden, want je mag niet aannemen dat
die veilig en financieel gezond zijn. Zet je daar toch iets neer, dan moet je
je data strak beheren. De middenlaag, zo’n vijftienhonderd providers groot, is
waar je volgens Riley je risicomanagement op moet concentreren. Die hebben niet
altijd een stabiel businessmodel en ze worden wellicht niet door een
onafhankelijke partij geëvalueerd. Kortom: als je daar zaken mee doet, dan moet
je zelf goede afspraken maken over wie bijvoorbeeld de eigenaar van jouw
gegevens is en wat de provider zoal (niet) mag doen met jouw gegevens.
Gartner verwacht dat ‘cloud security’ op den duur ‘gewoon security’
wordt, omdat je in 2020 bij de helft van alle organisaties goedkeuring zult
moeten vragen om nieuwe systemen binnenshuis te mogen draaien in plaats van in
de cloud. En twee jaar later gebruiken we de term ‘cloud computing’ niet meer
maar praten we over ‘local computing’ om het dan minder gebruikelijke model aan
te duiden. Als deze voorspellingen uitkomen, dat zullen heel wat mensen hun
mindset drastisch moeten wijzigen. Beveiligingsbeleid zal moeten worden
herschreven, want bij menige organisatie (waaronder de rijksoverheid) is opslag
in de publieke cloud nu formeel verboden.
En Hiroshi? Die heeft zijn gegevens waarschijnlijk al jaren in de cloud
staan. Als de wereld je toneel is (hij heeft al in 58 landen opgetreden) dan is
het niet handig als je je hele digitale hebben en houden moet meezeulen. De
kans is veel te groot dat je een USB-stick verliest of dat je harde schijf de
steeds wisselende omstandigheden niet overleeft. Ja, voor Hiroshi is de cloud nu
al een uitkomst.
En in de grote boze buitenwereld …
... gaan wifi en Bluetooth niet echt uit als je ze in iOS 11 in het
Control Center uitzet.
... probeert antivirusbedrijf McAfee een slaatje te slaan uit de
problemen die rivaal Kaspersky in de VS heeft.
... kunnen boeven je Mac of iPhone via "Find My" blokkeren als
je iCloud-wachtwoord is uitgelekt.
... zit de grootste ransomeware-dreiging misschien wel in je broekzak.
... zijn zelfs sommige cybercriminelen tegen het gebruik van ransomware.
... is sms niet echt veilig voor tweefactorauthenticatie.
... bestempelt de Europese privacywetgeving (AVG) biometrische data tot
'bijzondere persoonsgegevens'.
... heeft het NCSC een factsheet over het opzetten van een Security
Operations Center gepubliceerd.
... is CCleaner, het schoonmaakprogramma voor pc's, gehackt.
... is die hack ernstiger dan eerst werd gedacht.
... blijkt uit onderzoek dat Chrome veiliger is dan de browsers van
Microsoft. Het onderzoek werd trouwens betaald door Google.
... komen er geen extra maatregelen tegen de 'gluurcamera'.
... kun je een gehackte computer natuurlijk ook besturen via de airco
van het slachtoffer.
... betoogt dit artikel dat je geen speciaal hoesje voor je betaalpas
nodig hebt.
Geen opmerkingen:
Een reactie posten