Discussies over de risico’s van cloudcomputing blijven vaak steken bij vragen als ‘waar staan mijn data?’ en ‘geeft de Patriot Act de Amerikaanse overheid het recht om in mijn data te kijken?’. Er is echter een veel fundamentelere vraag die moet worden beantwoord als een bepaalde cloudprovider wordt overwogen: ‘Durf ik het beheer en de beveiliging van mijn data toe te vertrouwen aan deze provider?’ Om die vraag te kunnen beantwoorden, moet naar veel meer worden gekeken dan alleen de locatie van de data.
Clouddiensten zijn complexe systemen die zijn opgebouwd uit verschillende ICT-componenten. Om de betrouwbaarheid en veiligheid van zo’n clouddienst te kunnen beoordelen, moet dus niet alleen worden gekeken naar de locatie van de data. Ook moet worden gekeken naar de maatregelen die een provider treft om data te beschermen en te voorkomen dat een besmetting zich verder verspreidt naar de andere gebruikers van de gedeelde cloudomgeving, naar de procedures die worden gevolgd bij het wissen van data (zijn gewiste data gegarandeerd weg?) en de beveiliging van de interface tussen de klant en de gebruiker.
De lijst met aandachtspunten is echter nog veel langer. Zo komt de European Union Agency for Network and Information Security (ENISA) in zijn document Cloud Computing – Benefits, risks and recommendations for information security al tot een opsomming van ruim twintig risico’s, en geeft daarbij aan dat de ‘uitgebreide juridische overwegingen’ in een apart document worden behandeld. Tot de ‘top security risks’ behoren volgens ENISA onder andere de risico’s op het verlies van controle en het risico op een vendor lock-in.
Voor een individuele klant is het onmogelijk om de cloudprovider op al deze punten te beoordelen. Gelukkig zijn er ‘checklists’ beschikbaar die kunnen helpen bij het in kaart brengen van de risico’s die de keuze voor een bepaalde cloudprovider met zich meebrengt. Zo biedt de Cloud Security Alliance de ‘Cloud Controls Matrix’ waarvan in september 2013 versie 3.0 verscheen. In deze lange lijst met beveiligingsmaatregelen die de provider – en soms de klant – moet nemen, staat onder andere dat het ontwerpen, bouwen en uitrollen van applicaties en interfaces de ‘door de industrie geaccepteerde standaarden’ moet volgen, dat ‘data en objecten die data bevatten geclassificeerd moeten zijn’ en ‘risk assessments minimaal één keer per jaar moeten plaatsvinden’.
Deze Cloud Control Matrix is weer gebaseerd op andere industriestandaarden en raamwerken zoals ISO 27001/2 voor Informatiebeveiliging, de principes van de Payment Card Industry Data Security Standard (PCI DSS) en het Information Assurance Framework van ENISA.
Rest wel de vraag wie toeziet op de betrouwbaarheid en volledigheid van de beschikbare checklists en welke ‘meetlatten’ geschikt zijn om een provider langs te leggen? Gelukkig heeft ENISA ook een antwoord op deze vraag in de vorm van de Cloud Computing Certification Schemes List, CCSL. Met deze lijst biedt ENISA een overzicht van ‘schema’s’ die geschikt zijn voor het beoordelen van de betrouwbaarheid en beveiliging van clouddiensten.
Bastiaan Schoonhoven, marketing manager bij Motiv
