We kunnen onze data goed in de Cloud opslaan en bewerken en halen er over het algemeen waarde uit. Cloudleveranciers brengen de schaalvoordelen ook graag onder de aandacht en schermen met de veiligheid van hun Cloud; wie anders beschikt over zoveel expertise en capaciteit als zij, om over jouw data te waken? En toch zit er iets fundamenteel scheef, iets dat vrij eenvoudig te verhelpen zou moeten zijn, als de wil er is. Het luisteren naar de klant.

Secure by default Cloud
Op dinsdag 1 oktober werd tijdens de ONE Conference op het podium van World Forum in Den Haag, aandacht besteed aan het Secure-by-default Cloud initiatief. Ook het FD deed hierover verslag. Initiatiefnemers Lokke Moerel (Hoogleraar Global ICT Law aan Universiteit Tilburg, senior counsel bij Morrison & Foerster en lid van de Cyber Security Raad) en Freddy Dezeure (o.a. vrml. Hoofd CERT-EU) lichtten toe hoe zij al enkele maanden bezig zijn met gesprekken om Cloud-aanbieders zover te krijgen dat ze hun diensten van meet af aan veilig opleveren. Nu zou je kunnen denken, dat zullen ze toch wel doen. Ze gebruiken security als verkoopargument, en er staat veel reputatie op het spel, maar zo simpel blijkt dat niet te liggen.

Wie is verantwoordelijk
Clouddiensten zijn vrij complexe technologieën, die zowel infrastructuur, rekenkracht en opslag omvatten en diverse softwarelagen. En daarop wordt veel data verwerkt. Deels worden die beheerd en geconfigureerd door de aanbieder, en deels ligt die verantwoordelijkheid bij de gebruiker. En daar wringt de schoen. Bij de configuratie van de veiligheidsaspecten waar de gebruiker verantwoordelijk voor is. 

Als een Clouddienst wordt opgeleverd zijn over het algemeen, net als bij on-premise software trouwens, de meeste functionaliteiten mogelijk gemaakt en staan securityinstellingen uit of laag. Er wordt documentatie aangeboden, die de gebruiker in staat moet stellen de voor hem/haar passende niveaus van veiligheid te configureren. Deze ‘gebruikershandleiding’ beslaat doorgaans vele tientallen of zelfs honderden pagina’s aan toelichting op instellingen en hoe de software moet worden aangepast aan de wensen van de klant. Dat vergt tijd, expertise en doorzettingsvermogen om goed te doen. Of kosten om consultants in te huren om de configuratie in te regelen. Bovendien zal die exercitie elke keer moeten worden herhaald wanneer een aanpassing wenselijk is in de functionaliteit. Het zicht houden op de veiligheid van de data in het systeem en het systeem zelf, is daarmee een complexe klus, wat geregeld leidt tot foutjes en fouten.

Moerel en Dezeure hebben daarom het initiatief genomen om hier in één klap verandering in te brengen: Cloud baseline security by default. Als Cloudaanbieders nu hun diensten standaard helemaal dicht zouden zetten en dan de klant helpen alleen die functionaliteit open te zetten die ze nodig hebben, dan zou dat een hoop fouten en risico’s schelen. De klant moet nog steeds zijn of haar eigen verantwoordelijkheid nemen. Maar het risico wordt kleiner, omdat er minder diensten ‘open’ staan die niet nodig zijn. Simpele ingreep, groot effect. Vandaar ook dat diverse bedrijven, organisaties en verenigingen zoals CIO Platform Nederland en Beltug, dit initiatief ondersteunen.

Controle over je data
Toch blijkt dit niet zo gemakkelijk te worden omarmd door de Cloudleveranciers. Die claimen dat klanten dat niet willen. Die willen eenvoudig gebruik kunnen maken van alle mogelijkheden en zich niet beperkt voelen in hun innovatie. Dat zal best zo zijn, als je met sommige gebruikers spreekt, maar het argument gaat natuurlijk niet op. Als je de vergelijking maakt tussen data en geld, is het voor diezelfde categorie gebruikers vast ook veel makkelijker als de CFO de kluis gewoon open laat staan, of de company creditcard op de balie legt, zodat iedereen zonder te veel te worden gehinderd kan investeren in nieuwe projecten. Maar zo werkt dat natuurlijk in de praktijk niet. Je wilt controle houden over je financiën. Zo zou dat ook met de data van je organisatie moeten zijn. Ook daar wil je zorgvuldig mee omgaan, en ervoor zorgen dat alleen diegenen die daartoe bevoegd zijn en de spelregels kennen er met hun tengels aan kunnen komen.

Het legt ook een breder probleem bloot in de relatie tussen leveranciers van digitale toepassingen en zakelijke gebruikers. Want geregeld wordt door leveranciers aangegeven dat nieuwe ontwikkelingen zijn gedaan ‘omdat dat blijkt uit gesprekken met klanten’. De vraag is dan natuurlijk, met welke klanten is dan precies gesproken en wat is de context van die behoefte. Is dat de ‘klant’ die pleit voor de open kas, of de CFO die verantwoordelijkheid draagt voor de financiële governance? En als er klanten zijn met een specifieke wens, moet dat dan betekenen dat die nieuwe ‘gewenste’ functionaliteit voor elke klant ingebakken wordt en met ‘schuifjes’ aan- of uitgezet kan worden? Liever niet zou ik zeggen, in ieder geval niet voor functionaliteit die wel erg nadrukkelijk de veiligheid en privacy kan aantasten. 

Er is op dit front gelukkig ook iets positiefs te melden. Zo maakte Microsoft onlangs bekend dat de ‘Recall’ functionaliteit, waarbij screenshots worden gemaakt en opgeslagen omdat dat zo makkelijk is voor het terugzoeken waar je op enig moment mee bezig bent geweest, helemaal kan worden verwijderd van je systeem. Toeval of niet, enkele weken daarvoor was dit als expliciete wens vanuit CIO Platform Nederland genoemd in een gesprek met Microsoft aan de vooravond van de hoorzitting in de Tweede Kamer over deze functionaliteit.Luistert de(ze) Cloudleverancier dan toch?

Het zou geweldig zijn als dit een trend wordt, dat Cloudleveranciers luisteren naar de klanten die over de data en technologie gaan. Als dat zo is, dan gaat die Cloud baseline security by default er ook nog wel van komen.  

Martijn Koning
Voorzitter CIO Platform Nederland