vrijdag 22 september 2017

De cloud is veilig

Op Leicester Square in Londen trad een Japanse acrobaat op. Hiroshi heette hij geloof ik. Hiroshi was een grappenmaker: naar schatting bestond 86% van zijn straatact uit dollen met het talrijke publiek en slechts 14% uit het daadwerkelijk vertonen van acrobatische toeren. En daar betrok hij het publiek dan ook weer bij: twee mannen moesten op een matje gaan liggen en Hiroshi kondigde aan dat hij “over hen heen” zou gaan lopen. Nu was Hiroshi gespierd doch klein en tenger, maar toch keken de beide kandidaten ietwat benauwd bij deze aankondiging. Na een hoop gepalaver kwam de aap uit de mouw. Hiroshi liep op zijn handen “over” de mannen heen, met de handen aan weerskanten van hun lichamen. Volstrekt pijnloos dus maar wel een hele prestatie.

Ik was in die contreien voor een ander rondreizend circus: de Security & Risk Summit van het Amerikaanse IT-onderzoeks- en adviesbureau Gartner. Dat is een conferentie met zo’n achthonderd deelnemers uit natuurlijk vooral het Verenigd Koninkrijk, maar ik heb ook de nodige Nederlanders, Fransen, Duitsers, Italianen, Spanjaarden en een enkele Japanner en Zwitser gespot – en op deelnemerslijst prijken nog heel wat andere nationaliteiten. En er waren veel Amerikanen, want verreweg de meeste sprekers waren Gartner-employees.

De voor mij meest opvallende uitspraak van een Gartner research director luidde: “Public clouds are secure”. Steve Riley betoogde dat grote cloud service providers (CSP’s; denk bijvoorbeeld aan Microsoft, Google en Amazon) de boel beter kunnen beveiligen dan jijzelf. En let wel, hij sprak niet voor een publiek van particulieren, maar voor vertegenwoordigers van middelgrote en grote organisaties (vooral de bankensector was flink vertegenwoordigd). Maar goed, de cloud zou dus veilig zijn. (Even voor wie minder bekend is met het fenomeen publieke cloud: dat is dat je je gegevens op de computer van iemand anders opslaat.) Eén van de argumenten waarmee Riley zijn stelling onderbouwde was dat er geen bewijs voor is dat CSP’s minder veilig zijn dan eindgebruikersorganisaties. Oei, een dubbele ontkenning, daar moet je altijd mee uitkijken. Riley voegde hier nog aan toe dat er nog geen cloud-leverancier in de gevangenis is beland. Ik vind dat een dubieuze redenering. Riley heeft zeker nog nooit een Nederlands reclamespotje gehoord dat eindigt met: “Resultaten uit het verleden bieden geen garantie voor de toekomst”.

Daarna werd het betoog gelukkig steekhoudender. Een belangrijk aspect van de cloud is multitenancy: meerdere klanten maken gebruik van dezelfde infrastructuur. Je wilt dan natuurlijk niet dat de buurman opeens in jouw gegevens zit te rommelen. De onderzoekers van Gartner hebben geen verschil aangetroffen tussen de veiligheid van private en publieke clouddiensten (en alle tussenliggende vormen). Maar ze maken daarbij wel de kanttekening dat multitenancy een belangrijke bron van zorg blijft.

Riley maakte nadrukkelijk verschil tussen tier 1, -2 en -3 CSP’s. Tier 1, dat zijn de vijftien beste jongetjes van de klas. Je mag er gerust van uitgaan dat die veilig en financieel stabiel zijn (dat laatste is van belang voor de beschikbaarheid van je data). In tier 3 wil je niet gezien worden, want je mag niet aannemen dat die veilig en financieel gezond zijn. Zet je daar toch iets neer, dan moet je je data strak beheren. De middenlaag, zo’n vijftienhonderd providers groot, is waar je volgens Riley je risicomanagement op moet concentreren. Die hebben niet altijd een stabiel businessmodel en ze worden wellicht niet door een onafhankelijke partij geëvalueerd. Kortom: als je daar zaken mee doet, dan moet je zelf goede afspraken maken over wie bijvoorbeeld de eigenaar van jouw gegevens is en wat de provider zoal (niet) mag doen met jouw gegevens.

Gartner verwacht dat ‘cloud security’ op den duur ‘gewoon security’ wordt, omdat je in 2020 bij de helft van alle organisaties goedkeuring zult moeten vragen om nieuwe systemen binnenshuis te mogen draaien in plaats van in de cloud. En twee jaar later gebruiken we de term ‘cloud computing’ niet meer maar praten we over ‘local computing’ om het dan minder gebruikelijke model aan te duiden. Als deze voorspellingen uitkomen, dat zullen heel wat mensen hun mindset drastisch moeten wijzigen. Beveiligingsbeleid zal moeten worden herschreven, want bij menige organisatie (waaronder de rijksoverheid) is opslag in de publieke cloud nu formeel verboden.

En Hiroshi? Die heeft zijn gegevens waarschijnlijk al jaren in de cloud staan. Als de wereld je toneel is (hij heeft al in 58 landen opgetreden) dan is het niet handig als je je hele digitale hebben en houden moet meezeulen. De kans is veel te groot dat je een USB-stick verliest of dat je harde schijf de steeds wisselende omstandigheden niet overleeft. Ja, voor Hiroshi is de cloud nu al een uitkomst.

En in de grote boze buitenwereld …


... gaan wifi en Bluetooth niet echt uit als je ze in iOS 11 in het Control Center uitzet.

... probeert antivirusbedrijf McAfee een slaatje te slaan uit de problemen die rivaal Kaspersky in de VS heeft.

... kunnen boeven je Mac of iPhone via "Find My" blokkeren als je iCloud-wachtwoord is uitgelekt.

... zit de grootste ransomeware-dreiging misschien wel in je broekzak.

... zijn zelfs sommige cybercriminelen tegen het gebruik van ransomware.

... is sms niet echt veilig voor tweefactorauthenticatie.

... bestempelt de Europese privacywetgeving (AVG) biometrische data tot 'bijzondere persoonsgegevens'.

... heeft het NCSC een factsheet over het opzetten van een Security Operations Center gepubliceerd.

... is CCleaner, het schoonmaakprogramma voor pc's, gehackt.

... is die hack ernstiger dan eerst werd gedacht.

... blijkt uit onderzoek dat Chrome veiliger is dan de browsers van Microsoft. Het onderzoek werd trouwens betaald door Google.

... komen er geen extra maatregelen tegen de 'gluurcamera'.

... kun je een gehackte computer natuurlijk ook besturen via de airco van het slachtoffer.

... betoogt dit artikel dat je geen speciaal hoesje voor je betaalpas nodig hebt.


Geen opmerkingen:

Een reactie posten