Door een ‘sterrenhack’ naaktfoto’s van tientallen celebrities uitgelekt? Dat is wereldnieuws natuurlijk. Tegelijk buitelden allerlei beschouwingen over hoe dat heeft kunnen gebeuren over elkaar heen. Apple’s iCloud zou gehackt zijn, er zouden wachtwoorden gestolen zijn, de beveiliging zou onvoldoende zijn, enzovoort. Apple ontkende dat zijn cloud onveilig zou zijn, maar heeft intussen wel nieuwe beveiligingsmaatregelen aangekondigd. Ook de obligate oproepen om bewuster te worden van online gevaren ontbraken niet.
Het is erg vervelend als privéfoto’s op internet uitlekken en natuurlijk moet je oog krijgen voor beveiliging. Maar deze ‘sterrenhack’ legt een fundamentele kwestie bloot: de afhankelijkheid van beveiliging die door anderen is geregeld en waarvan je maar moet hopen dat die voortdurend up-to-date gehouden wordt. Cloudopslag is erg makkelijk gemaakt voor consumenten, zozeer zelfs dat die ook graag voor zakelijke doeleinden worden gebruikt. Elke aanbieder van cloudopslag zal de beveiliging weer anders geregeld hebben. Bovendien mag die beveiliging het gebruiksgemak niet in de weg staan. De concurrentie is immers moordend.
Cloud en beveiliging
Waar het op neer komt is dat je bij die aanbieder te gast bent. En dan gelden natuurlijk zijn regels. Voor consumenten is dat nog wel acceptabel, zolang je je maar bewust bent van de mogelijke risico’s. Maar voor bedrijven, en zeker overheidsorganisaties, ligt dat anders. Zij werken met gegevens van derden en moeten voldoen aan de privacywet- en regelgeving. Bedrijven beschikken natuurlijk ook over concurrentiegevoelige informatie die niet in verkeerde handen mag vallen. Het is dan ook helemaal niet vreemd dat zorgen over beveiliging vaak als belangrijkste reden wordt aangevoerd om niet naar de cloud te gaan. Wie uiteindelijk verantwoordelijk is voor beveiliging zal die over het algemeen ook graag in eigen hand houden, binnen het eigen bedrijfsnetwerk, binnen een private cloud.
Hoe gevoelig dit ligt, blijkt uit een recent onderzoek van Iron Mountain: Europese IT’ers willen data over het algemeen op eigen hardware opslaan die zij ‘kunnen zien, voelen en zelf beheren’. Bijna de helft geeft hieraan de voorkeur boven het opslaan in de public cloud. Het zou dus ideaal zijn als het bedrijfsnetwerk virtueel kan worden doorgetrokken naar de cloud, waarbij het complete beveiligingsbeleid van de organisatie gehandhaafd blijft. Dit betekent dus dat er op de (cloud)infrastructuur van derde partijen dezelfde regels gelden als binnen de eigen infrastructuur. Nog mooier als dat kan in elke combinatie van private en public cloud en ongeacht welke cloudaanbieders het betreft. Moet vanwege capaciteitsproblemen een deel van de productieomgeving naar de cloud? Kan de testomgeving vanwege de kosten het beste naar een combinatie van public clouddiensten worden gebracht?
Ideaal natuurlijk. Maar alleen als het bedrijf grip blijft houden op de beveiliging en zelf kan bepalen welke onderdelen in welke cloud moeten worden ondergebracht. Wat je zou moeten hebben, is als het ware één grote virtuele private cloud, naar keuze opgebouwd uit de huidige private en public clouds. In deze zogeheten Intercloud houdt een bedrijf net als met zijn private cloud zelf de volledige cloudomgeving, inclusief beveiliging, helemaal zelf in de hand. Maar dan wel met alle voordelen van de public cloud: opschalen, inkrimpen, flexibiliteit, kostenbesparingen, etc. Dat is de richting waarin we nu gaan.
De cloudprovider ken je niet, hoe deze zijn beveiliging precies heeft ingericht weet je niet, maar je moet er wel op vertrouwen. Voor bedrijven is er met de intercloud nu een oplossing aan de horizon en de kans dat er concurrentiegevoelige informatie of intellectueel eigendom op straat komt te liggen wordt daarmee een stuk kleiner. Voor ons als consumenten zit er vooralsnog weinig anders op dan te vertrouwen op de Apples en Dropboxen van deze wereld. We hebben het laatste bloot op straat dus nog niet gezien.
Michel Schaalje (1970), Technisch Directeur Cisco Nederland
Als bedrijf blijft het inderdaad lastig om een goede, weloverwogen keuze te maken met zoveel opties: private of public? En welke service of aanbieder dan? Bij het maken van een keuze lijkt inderdaad een combinatie van verschillende diensten ‘intercloud ‘weer het best, maar welke combinatie is dan geschikt? De keuzes werden mij wat teveel en wij hebben het uitbesteed (www.fortado.nl geloof ik). Nu hebben we actieve back-up en online werkplekken. De privacywet- en regelgeving valt mooi binnen Nederland dus die is in ieder geval goed geregeld. Zoals uit dit artikel ook wel blijk zijn er bij iedere nieuwe ontwikkeling veel zaken om aan te denken, bedankt voor de verduidelijking!