Een veiliger cloud vraagt om terreinkennis

Fri, 2016-10-28 09:06 -- Martijn ten Kate
We denken vaak de zaakjes wat betreft de beveiliging van gegevens van klanten op orde te hebben. Toch geven recente nieuwsberichten een heel ander beeld. De gemeente Almelo, een grote Nederlandse energieleverancier, een populaire pornosite, een vooraanstaande organisatie in internationaal betaalverkeer en een fabrikant van harde schijven werden onlangs allen getroffen door hacks met als doel het buitmaken van persoonsgegevens.
 
Helaas zijn zulke datadiefstallen nauwelijks nog opzienbarend. Geef toe, als je via de website HaveIbeenPwned.com opvraagt of jouw gegevens in verkeerde handen zijn gevallen, onderneem jij dan actie? Wissel jij direct van dienstleverancier? Veel verder dan het aanpassen van het wachtwoord gaan de meeste mensen niet. Naar mijn idee omdat ze het beeld hebben dat het ook bij een volgende aanbieder raak kan zijn. Je kunt jouw gegevens toch nooit 100% veilig wanen. En daarin schuilt een waarheid, want ook al neem je zelf maatregelen als bescherming via multi-factor authenticatie, een sterk wachtwoord en nooit inloggen zonder beveiligde verbinding, dan nog blijf je afhankelijk van hoe secuur je serviceprovider de database heeft afgegrendeld.
 

Balanceren als een turnster op de evenwichtsbalk

Wat betreft die beveiliging moet altijd een balans gezocht worden tussen fortificatie en openstelling. En dat wordt voor de dienstleverancier steeds lastiger nu voor steeds meer data geldt dat de wens groeit om deze nog beter bereikbaar te maken voor zowel eigenaren, gebruikers als partners. Data is immers de olie van de eenentwintigste eeuw; aan bits en bytes wordt steeds meer verdiend en bedrijven voelen zich gedwongen om wat ze kunnen ontsluiten ook beschikbaar te maken. Maar zoals we in de voorbeelden kunnen zien, gaat dat ook vaak mis.
 
De cloud heeft security en compliant blijven er niet eenvoudiger op gemaakt. Ten minste niet in vergelijking met het zelf dichttimmeren van je datacenter, pakweg twee decennia terug. Eigenschappen die de kracht van de cloud demonstreren, vormen tegelijkertijd uitdagingen in beveiliging en toegangscontrole. Denk aan multi-tenancy en virtualisatie. Voeg daaraan het opslaan op meerdere locaties ten behoeve van snelle toegang en redundantie toe, en je merkt bij cloud dat allerlei data je links, rechts, van voren en achteren om de oren vliegt. Hoe blijven persoonsgegevens in zo’n hectische, onoverzichtelijke omgeving veilig?
 

Zelfbescherming tegen steeds professioneler opererende hackers?

De snelheid en flexibiliteit maken de cloud bij uitstek het kanaal om innovatieve diensten mee aan te bieden. Maar ondanks de bijkomende punten van aandacht, kan een gedistribueerde computing-omgeving ook op vele manieren veiliger worden. De techniek heeft afgelopen jaren immers niet stilgezeten. Maar heb je als organisatie, die veilig met opgeslagen persoonsgegevens wenst om te gaan, zelf de volledige kennis en de operationele FTE’s in huis om bijvoorbeeld DDoS-aanvallen af te slaan. Of om 2FA toe te passen. Om datastromen te monitoren en de juiste firewall-instellingen toe te passen, naast het gebruikelijke update- en patchwerk?
 
Echt stappen maken in betere beveiliging en voorkomen dat gegevens ontvreemd worden, met behoud van snelle en veelzijdige dienstverlening, kan alleen slagen met een meerlaagse security-aanpak waarbij de complexe uitdagingen van deze tijd door de facilitator worden weggenomen. De dienstleverancier kan zich dan richten op zijn kerncompetentie: het leveren van de best mogelijke service naar de klant. En dat is de enige logische route. Ik kan mij namelijk niet voorstellen dat consumenten en toezichthouders ook in de toekomst zo coulant blijven.