Parkeren in de cloud

 

Eigen foto

Daar in de verte staat’ie: de auto van de collega die ons wel even zou wegbrengen. Je ziet hem door een spleet in de gesloten stalen poort van de parkeergarage van het Joegoslaviëtribunaal in Den Haag.

We spoelen even 14 uur terug. Toen ging namelijk in het World Forum de tweedaagse ONE Conference van start, waar een kleine tweeduizend informatiebeveiligers uit binnen- en buitenland zich verzamelden om zich bij te laten praten over hun vakgebied. Ook wij waren met een delegatie aanwezig en omdat we in Den Haag bleven slapen, gingen we gezellig samen naar de Chinees. Na afloop van een voortreffelijke maaltijd wilden we met tram of bus naar ons hotel, maar die ene collega, die vlakbij woont en met de auto was, wilde ons ook wel even rijden. Aangekomen bij de parkeergarage (om 22.42 uur) leek zijn auto eerst onvindbaar, maar na enige tijd zoeken – en lichte twijfels over het parkeergeheugen van onze collega – kwamen we dus bij die stalen poort en zagen we hem staan. Onbereikbaar.

De portier van het bijbehorende hotel was zo vriendelijk om met ons mee te lopen. “Ah, ik zie het al. U staat in de garage van het Tribunaal.” De garage wordt gebruikt door hotelgasten, conferentiegangers en dus ook door medewerkers van het Tribunaal. ’s Ochtends werd onze onfortuinlijke collega door een verkeersregelaar precies dat gedeelte in gewuifd. De bewuste poort stond toen gewoon open en er was geen enkele aanduiding dat dit een speciaal gedeelte van de garage was. De verkeersregelaar wist misschien niet dat de poort ’s avonds op slot zou gaan, of hij verwachtte niet dat een conferentiebezoeker nog zo laat z’n auto zou willen ophalen. Via de intercom bij de slagboom legde de portier contact met de beveiliger van het Tribunaal. Die had wel een kaart waarmee hij de poort zou kunnen openen, maar die was zoek. Uiteindelijk konden we de garage om 23.16 uur verlaten. En zo kun je dus door het bezoeken van een informatiebeveiligingsconferentie verstrikt raken in fysieke beveiligingsmaatregelen. Dit had ik zo niet kunnen bedenken. Maar ik moet het eigenlijk over de conferentie hebben.

De oorlog in Oekraïne was daar een vrij prominent onderwerp. Dit is namelijk de eerste echte oorlog die niet alleen te land, ter zee en in de lucht wordt uitgevochten, maar ook in “de cyber”, zoals dat in militaire kringen heet. Vanaf dag één ging men elkaar behalve fysiek ook digitaal te lijf, en waarschijnlijk ook al eerder. Een van de sprekers, Cristin Flynn Goodwin van Microsoft, hield ons voor dat een gevecht tegen een statelijke actor in je eigen datacenter te vergelijken is met een man-tegen-mangevecht: moeizaam en bloederig. Landen, die je digitaal aanvallen, hebben het voorzien op de ideeën en de informatie die regeringen nodig hebben om besluiten te nemen over belangrijke actuele zaken, aldus Goodwin. Daarbij hebben ze het vooral voorzien op denktanks, non-gouvernementele organisaties (NGO’s), diplomaten, beleidsadviseurs en academici.

Goodwins punt was dat je als organisatie niet in je uppie bent opgewassen tegen al dat digitale geweld. Je kunt je gegevens daarom veel beter in de cloud opslaan, waar je de bescherming geniet van een grote service provider (waarbij het mooier zou zijn geweest om niet alleen het eigen bedrijf te noemen).  Die grote cloudleveranciers beschikken over alle denkbare middelen om jouw kroonjuwelen optimaal te beschermen, is de gedachte.

Van nature wil een land zijn kroonjuwelen dichtbij, op eigen grondgebied houden. Verder schrijft de AVG voor dat persoonsgegevens van EU-burgers in Europa moeten worden opgeslagen (onder bepaalde voorwaarden mag het ook daarbuiten). Maar, zo betoogde Goodwin, dat is niet altijd verstandig. Zij vertelde dat Oekraïne belangrijke delen van zijn nationale ICT volledig buiten de eigen landsgrenzen heeft gestald. Ook andere landen moeten zich op een dergelijk scenario voorbereiden, en het ook testen. Dat klinkt best eng, maar ik kan me voorstellen dat het voor Oekraïne een kopzorg minder is. Althans, zolang de verbindingen met die verre cloud standhouden.

De Nederlandse overheid heeft sinds kort nieuw beleid ten aanzien van de public cloud. Zij switchte van “nee, tenzij” naar “ja, mits”. Mijn grootste zorg daarbij is toch de beschikbaarheid van de gegevens. Een eigen datacenter geeft je nou eenmaal een gevoel van tastbaarheid, van het tegen de borst kunnen houden van de gegevens als het spannend wordt. Maar als je erover nadenkt, slaat dat nergens op. Eén kruisraket, één ransomware-aanval en het is gedaan met je gegevens. En toch zit er een extra dimensie aan die cloud: wat als jouw land ruzie krijgt met het land van de cloudleverancier?

Als je auto op je eigen inrit staat, kun je er altijd bij. Staat hij in een parkeergarage, dan bepaalt de beheerder van die garage of je weg kunt. Zelfs externe factoren kunnen een rol spelen: jaren geleden bleek een reuzenrad op het Apeldoornse Marktplein zo zwaar te zijn dat men vreesde dat de parkeergarage onder het plein het gewicht niet zou kunnen dragen. Mensen, die hun auto daar hadden geparkeerd, konden pas weer bij hun auto toen het reuzenrad was afgebroken. Ik zie moeilijke keuzes op ons afkomen.

 

En in de grote boze buitenwereld …

• worden er druk lessen getrokken uit de oorlog in Oekraïne.
• maken cloudleveranciers natuurlijk ook fouten, getuige dit forse lek bij Microsoft.
• vindt Microsoft dat de ontdekker van dat lek schromelijk overdrijft.
• zit het Nederlandse hoger onderwijs al volop in de cloud.
• is er politieke aversie tegen Amerikaanse cloudleveranciers.
• wordt ransomware gebruikt ter voorbereiding van fysieke oorlogen.
• zijn niet alleen ambtenaren slachtoffer geworden van de ransomware-aanval op ID-ware.
• was de politie een ransomware-bende te slim af.
• lijken we een redelijk privacyminnend volkje te zijn.
• gebruikten aanvallers uitgerekend een kwetsbaarheid in een virusscanner om een andere virusscanner uit te schakelen.
• is het verschil tussen “aan” en “bcc” een datalek.
• beschuldigt Texas Google van het verzamelen van biometrische gegevens.