Onlangs discussieerden leden van het ASIS Benelux Chapter met elkaar over ‘Kansen en bedreigingen van cloud services’. Na de eerste reacties bleek al dat de standpunten van de security-professionals af en toe behoorlijk uiteenliepen.
Het evenement vond plaats op het kantoor van netwerkvideoleverancier Axis Communications. Trendwatcher Sander Duivestein voedde en leidde het rondetafelgesprek. Hij poneerde vier stellingen over de cloud.
De één gaat volledig voor de cloud, de ander wacht liever nog af. Voor de meeste security-specialisten die deelnamen aan de discussie is overstappen naar SaaS-oplossingen allesbehalve evident. Gespreksleider Sander Duivestein heeft daarover een uitgesproken mening. Hij moedigde aan vooral open te staan voor verandering. Zijn presentatie van 150 dia’s trok in duizelingwekkende vaart aan de deelnemers voorbij. Big Data, Internet of Things, robots en zelfrijdende auto’s werden niet gepresenteerd als mogelijkheden, maar als feiten. Of we die volledig genetwerkte samenleving en álle innovaties moeten omarmen laat Duivestein in het midden. Voor de cloud ligt dat anders: “Ondernemingen kunnen zich op ICT-vlak het beste als start-up gedragen.” En daarmee was meteen de lont in het kruitvat gestoken binnen de groep van experts, waaronder een aantal gelauwerde security-dienstverleners.
>> Lees ook Alarm over IP: uitdaging
>> Lees ook Blog: Cloud- en netwerkbeveiliging
Bedreigingen van cloud services
Duivestein pakte na zijn presentatie nog even door op zijn standpunt: “Gooi out-of-the-box weg. Software is eating the World.” Daarmee refereerde hij aan de visie van Netscape-oprichter Marc Andreessen. Alles wordt IT. Accepteren we het vloeibaar worden van privacy of gaan we onszelf steeds meer afschermen? Het leven in de cloud draait immers om het koppelen en genereren van informatie. De aanwezigen richtten zich meteen op de reden waarom veel bedrijven in eerste instantie niet kijken naar voordelen als schaalbaarheid en flexibiliteit. Ze waren het erover eens dat zorgen over veiligheid de acceptatie van cloud-diensten het meest in de weg staan.
Gooi out-of-the-box weg; software is eating the World
Veiligheid sta-in-de-weg
Op het punt van veiligheid in de cloud barstte de discussie volledig los. Dát is namelijk de voornaamste invalshoek van de security-specialist. ‘Safety first’ klonk regelmatig tussen de regels door. De hedendaagse consument lijkt zich namelijk niet zo druk te maken over de veiligheid van zijn data. Als hij maar compliant is voor zijn dienstverlener. De gemiddelde producent stemt zijn beveiliging vooral dáár op af, meer dan op de dreiging van hackers. Verder krijgen bedrijven in de toekomst te maken met de jongere generaties van nu. Zij ‘weten niet beter’ dan hetgeen de cloud ze biedt. Zelfs hun tekstverwerkingsprogramma is een webservice, die uiteindelijk een profiel van de gebruiker genereert. Werkt je ‘Word’ eigenlijk nog wel als je alle ‘privacyvinkjes’ hebt uitgezet? Verder leken creditkaartmaatschappijen een bolwerk van betrouwbaarheid. Maar zij en de Ideals van deze wereld weten inmiddels ook alles van hun klanten. Deze ontwikkeling lijkt niet te stoppen, ook al zeggen financiële dienstverleners dat ze klantdata nooit in de cloud zullen onderbrengen. De 24-uurseconomie vraagt echter ook hen om flexibiliteit. Die vind je toch echt in de cloud, zo stelt een ICT-manager uit de retail. “Al zijn de omstandigheden voor een volledige overstap niet optimaal.” Meerdere aanwezigen benadrukken de beperkte dekking van verzekeringen bij identiteitsdiefstal en de problemen die het wissen van oude data oplevert. Geconcludeerd wordt dan ook dat de cloud een prima oplossing is ‘als je hem ook uit kunt zetten’. Sterker nog, meerdere security-specialisten geven aan dat dergelijke extra garanties een reden zijn om met cloud-leveranciers in zee te gaan en voor hun services te betalen. Maar het gaat uiteindelijk niet om geld, werpt één van de deelnemers tegen. “Een groot deel van ons moet zichzelf een spiegel voorhouden. Hoe heb je de privacy van eindgebruikers voor elkaar?” Volgens deze security-specialist hebben veel bedrijven een houding van ‘het zal wel’. Dat wordt direct tegengesproken. “Nee, daar kom je vandaag de dag niet meer mee weg.”
Privacy of cybercrime
De ‘echte veiligheid’, zoals je afdoende beschermen tegen cybercrime, lijkt het in de discussie af te leggen tegen privacyissues. “Zelfs in onze business zijn er binnen dat vakgebied maar een paar specialisten.” Daar lijkt iedereen het over eens te zijn. Hoe om te gaan met de gegevens van je klanten houdt de gemoederen meer bezig. “Ethiek en moraliteit zijn de belangrijkste thema’s van de komende jaren”, werd er gezegd. “Wat moet de zelfrijdende auto beslissen als er ineens een groep kinderen oversteekt. Kiest hij dan voor mijn of voor hun veiligheid?”, oppert Duivestein. “En zijn de algoritmen die de informatie in de cloud verwerken wel goed doorgerekend?” De vragen illustreren wat de deelnemers allang doorhebben: het spanningsveld tussen hun vakgebied en dat van een op de business georiënteerd ICT-beleid verdient veel aandacht.
Ethiek en moraliteit zijn de belangrijkste thema’s
Kostenplaatje
Over de stelling ‘cloud-diensten bieden meer schaalbaarheid en flexibiliteit dan traditionele oplossingen’ was iedereen gauw uitgepraat. Het werd als ‘non-stelling’ gekwalificeerd. Het kostenplaatje werd daarentegen wél als interessant aangemerkt. Hoeveel ben je bereid te betalen om je traditionele oplossing los te laten? En vertrouw je er dan op dat cloud-diensten veiliger zijn dan wat je in huis had? Er zitten immers louter security-specialisten aan de ‘ronde tafel’ en het bloed blijft kruipen waar het niet gaan kan: naar veiligheid.
Security straks via cloud
De laatste stelling – ‘Over vijf jaar worden alle security-systemen via cloud-diensten beheerd’ – veroorzaakte naarmate de discussie vorderde steeds meer scepsis. Over de kosten was iedereen het al eens: de prijzen in de cloud dalen, er is minder IT-staf nodig en iedereen is bereid voor ontzorgen te betalen. Daarnaast gaf maar één deelnemer aan met zijn organisatie volledig binnen de cloud te opereren. Gevaarlijk? De reacties daarop gingen zo ver als het aanhalen van elektromagnetische puls, de meest extreme vorm van stroomuitval. Voor een hoge uptime lijkt de cloud in ieder geval noodzakelijk. Mede daardoor lijkt de gang naar de cloud onvermijdelijk. “En de risicoacceptatie is zodanig geregeld, dat je niet afhankelijk bent van je leverancier, maar ook zelf snel kunt reageren”, oppert iemand. “Bovendien kun je zelf je private cloud bouwen.” Maar of dat allemaal binnen vijf jaar plaatsvindt? Een van de aanwezige ASIS-bestuurders verwoordt helder wat een grote rol speelt: “Wij als security-mensen zijn gewend op de rem te trappen. De business en de klanten willen gewoon door.” Duivestein sluit af met dat het allemaal zo’n vaart niet zal lopen. “Wat ze ook in Silicon Valley zeggen, vijf jaar is echt te snel.”
Dit artikel verscheen in Security Management 12/ 2015. Nieuwsgierig? Bestel een proefnummer!
> Bekijk ook de pagina over cybersecurity