Binnen de muren van het bedrijf wordt steeds meer in en via de cloud gewerkt. Dat is ook de vurige wens van bijvoorbeeld Microsoft, dat met onder meer de computermotor Windows, het kantoorpakket Office en het samenwerkingsplatform SharePoint nog altijd heer en meester is binnen zakelijke omgevingen. Windows 10 werd deze zomer zelfs met trots gepresenteerd als het ‘eerste cloudgedreven besturingssysteem’, waarmee volgens sommigen zelfs definitief een einde kwam aan ‘cloudvrije computing’.
De cloud kent veel voordelen, maar helaas ook nadelen. Een vaak genoemd nadeel is het verlies van controle over waar bijvoorbeeld de data van het bedrijf worden opgeslagen. Ook de afhankelijkheid van een werkende internetverbinding wordt vaak als een nadeel aangehaald van cloudcomputing. Waar bedrijven echter veel minder vaak bij stilstaan, is dat ook de controle over de encryptiesleutels verloren gaat. Een bedrijf dat zijn documenten beveiligt met Office 365, doet automatisch ook zijn ‘key management’ in de cloud.
Slecht idee
Microsoft is er overigens zeker niet als enige schuldig aan dat er steeds meer encryptiesleutels in de cloud rondzweven. Zo biedt Google sinds eind juli de mogelijkheid om encryptiesleutels op te slaan in de Google Compute Engine. Een slecht idee, als u het mij vraagt.
Naar mijn mening moeten encryptiesleutels nooit en te nimmer in een clouddienst worden opgeslagen, en wel om verschillende redenen:
– als de dienst wordt gekraakt, zijn direct alle sleutels gecompromitteerd,
– in de cloud is het volstrekt onduidelijk wie de controle heeft over de sleutels, en
– voor het uitvoeren van een ‘key check’ ben je afhankelijk van een verbinding met de cloud.
Flinke boetes
Zeker met nieuwe wet- en regelgeving op komst – zoals de Nederlandse meldplicht datalekken die op 1 januari 2016 van kracht wordt – zouden bedrijven nooit moeten overwegen om sleutels in de cloud op te slaan. Op het moment dat de sleutels in de cloud worden gecompromitteerd, liggen de data open en bloot op straat en loop je als bedrijf het risico dat je met een flinke boete wordt opgezadeld. Die boete kan in het geval van de Nederlandse meldplicht datalekken oplopen tot maar liefst 810.000 euro.
Hoeveel cloud je als bedrijf ook gebruikt, je blijft zelf verantwoordelijk voor de vertrouwelijkheid van de data. Mijn advies is dan ook om de sleutels tot die data lokaal te houden, bijvoorbeeld in de agents op de endpoints of in de documenten zelf. Op de markt zijn genoeg oplossingen beschikbaar die helpen bij het managen van de encryptiesleutels.
Henk van der Heijden, Managing director (a.i) bij Comsec Consultancy en oprichter/partner van TecHarbor
