De toename van het gebruik van de cloud doet ook meer vragen over veiligheid bovenborrelen. Wat kun je zelf doen aan beveiliging en wat kan een hosting provider of datacenter voor je betekenen? Branchevereniging Nederland ICT ziet in haar eigen cijfers de bestedingen aan cloudoplossingen de afgelopen jaren steeds met dubbele cijfers groeien. Het gaat dan zowel om het vervangen van servers door cloudservers als de vraag naar compleet nieuwe cloudbased diensten. De vereniging is enthousiast over de mogelijkheden die de cloud biedt. “De groei van de Nederlandse economie zal voor een groot deel digitaal zijn. De cloud is daar een van de dragende technologieën voor”, aldus woordvoerder Tim Toornvliet.
Hij denkt dan zowel aan leden die zelf een deel van de cloud als dienst aanbieden, maar juist ook aan kleinere bedrijven die via de cloud toegang hebben tot een hoogwaardig aanbod van diensten. Daarnaast kan de cloud volgens Nederland ICT een belangrijke rol spelen bij de groeiambities van bedrijven, omdat veel efficiënter dan vroeger kan worden opgeschaald. Locatie is minder van belang dan vroeger. Een goed stuk software van Nederlandse bodem kan nu bijvoorbeeld veel eenvoudiger worden aangeboden in China dan vroeger het geval was.
Huisleverancier en adviseur cloud computing
De ontwikkeling van cloudtechnologie stelt het bedrijfsleven wel voor nieuwe vraagstukken. “Vroeger had je vaak een huisleverancier voor je IT die alles op dat vlak oploste”, zegt Ruud Alaerds, directeur van de Dutch Hosting Providers Association (DHPA). “Nu nemen hostingproviders meer die rol op. Zij kunnen je persoonlijk adviseren over infrastructuur, of je die nu in een Nederlands datacenter hebt, of internationaal, in een publieke cloud.” Hij ziet dat bedrijven er vaak voor kiezen om bepaalde zaken on premise of in een private cloud te organiseren en andere zaken weer in de publieke cloud. De hostingprovider zorgt voor de ontsluiting, een veilig beheer en een soepel gebruik. Een publieke cloud hoeft niet minder veilig te zijn dan een private. De andere opzet vereist alleen wel andere maatregelen, aldus DHPA. Een cloudpartij kan het niet maken dat zijn beveiliging niet op orde is. Dat zou het einde van de dienst betekenen. Sourcing is heel belangrijk: waar plaats je het beheer van je diensten en gegevens? Alaerds pleit voor een datacenter: alle hulpbronnen die je kunt gebruiken, zijn daar gebundeld, hosters zijn er actief, je hebt een geoptimaliseerde computerafdeling.
Stijn Grove, directeur van de Dutch Datacenter Association (DDA) is het daar uiteraard mee eens. “Alle cloud staat in een datacenter. Die plek is een ecosysteem, een marktplaats geworden waar je veilig en schaalbaar jouw diensten kunt koppelen aan verschillende platformen voor cloud computing, waaronder Nederlandse partijen, via veilige VPN-verbindingen (virtual private network).” Veel datacenters bieden meerdere diensten aan die ze zelf leveren, aldus Grove, of ze hebben betrouwbare partners die zaken voor je kunnen doen, waarmee ze een directe veilige verbinding hebben. Letterlijk korte lijntjes, een logische opbouw van je infrastructuur. Keep it simple, dat is wat hem betreft al een groot onderdeel van veiligheid. In een datacenter komt alle cloud, IT en digitale verkeer veilig samen.
Beveiliging is maatwerk
Net als alle beveiliging begint de beveiliging van je cloud met goed in kaart hebben wat voor gegevens je hebt. Welke informatie is bijvoorbeeld essentieel voor je bedrijfsvoering? Zorg dat je dit soort gegevens goed beveiligt. Dat is volgens Nederland ICT vaak maatwerk. Het hangt af van diverse factoren: hoe vaak gebruik je de gegevens, wie hebben er allemaal toegang nodig, wat gebeurt er als je er onverhoopt niet bij kunt? Daarnaast vraagt de wetgever om goede beveiliging van persoonsgegevens van werknemers, klanten en leveranciers. Die moet voldoen aan bijvoorbeeld de Wet Bescherming Persoonsgegevens en de Wet Meldplicht Datalekken. Alaerds noemt een paar beveiligingsvoorbeelden: sterke wachtwoorden in combinatie met bijvoorbeeld een sms of een andere manier van tweestapsverificatie. VPN-verbindingen: virtual private network, encryptie van data zodat als dieven de data hebben ze er niets mee kunnen. En verder moet je je medewerkers goed trainen in het veilig omgaan met infrastructuur, hardware en gegevens. Daarbij is er altijd een trade-off tussen gebruikersgemak en veiligheid. De fysieke beveiliging van een datacenter doet ook een duit in het zakje, aldus Grove. Beveiligers controleren iedereen die naar binnengaat. Er is altijd een paspoortverificatie en die is ook gekoppeld aan nationale databases. De meeste datacenters maken ook gebruik van biometrie voor toegang.
Privacy Shield in cloud computing
De afgelopen jaren was er, zeker wat betreft cloud computing, veel te doen om Safe Harbor: een set afspraken tussen de Amerikaanse overheid en de Europese Commissie. Onder welke wet vallen gegevens in de cloud? Eind vorig jaar zette het Europees Hof een streep door Safe Harbor. De opvolger, Privacy Shield, is sinds kort van kracht. Dit vrijwillige programma moet ervoor zorgen dat de datauitwisseling van bedrijven verloopt volgens de voorwaarden die de Europese privacywetgeving hieraan stelt. “Positief aan Privacy Shield is het feit dat de afspraken steeds worden geëvalueerd”, aldus Toornvliet. “Zo ontstaat er een dialoog over de beste manier om veilig en privacyvriendelijk data uit te wisselen tussen landen. Dat past bij deze snel veranderende tijd en zorgt ervoor dat het verdrag langer houdbaar blijft. Voor bedrijven betekent dat meer zekerheid.” Het betekent echter niet dat de discussie tussen techbedrijven en overheden voorbij is.
Toegang opeisen
Afgelopen voorjaar eiste de FBI bijvoorbeeld dat een grote telefoonaanbieder de telefoon van een schutter bij een aanslag zou openmaken. Het bedrijf was hier resoluut op tegen omdat het bedrijf dan een master key moest maken die autoriteiten ook in andere gevallen zouden kunnen toepassen. De FBI wilde de rechter inschakelen, maar wist uiteindelijk de bewuste telefoon zelf te kraken. Hoe het ook zij. Volgens Nederland ICT en de DDA zijn de internationale stromen van data en dus ook de afspraken daarover zoals in Privacy Shield van groot belang voor de economie. De kracht van de digitale globalisering ligt volgens hen in wereldwijde verbondenheid en niet in nationale eilandvorming. We moeten we ons blijven realiseren dat het vrije verkeer van data niet alleen uitdagingen op het gebied van privacy met zich meebrengt, maar ook kansen op tal van andere gebieden. Onderzoeksbureau McKinsey becijferde onlangs dat het globale bbp de afgelopen tien jaar met tien procent is gestegen door de wereldwijde toename van datastromen.