Encryptie, of versleuteling, kan uitkomst bieden.

De cloud is inmiddels de hype voorbij. In 2013 maakte 28 procent van de Nederlandse bedrijven al gebruik van clouddiensten. Voor 2014 wordt een nog grotere acceptatie van de cloud verwacht. Maar is het delen van informatie in de cloud wel veilig?

Als je gevoelige data bewaart in een clouddienst die in Amerika staat, dan ben je helemaal niet zeker. Die overheid geeft ruime bevoegdheden om gegevens van derden te onderzoeken, zelfs zonder hun medeweten. Ook hackers kunnen hun slag slaan en gegevens stelen. Encryptie, of versleuteling, kan dan uitkomst bieden. Brenno de Winter is onderzoeksjournalist met als specialisatie beveiliging en privacy. Hij werkt onder andere voor nu.nl, bigwobber.nl, thepostonline.nl en diverse tijdschriften. “Alles wat openbaar mag worden kun je in een willekeurige cloud zetten, maar de rest niet. Daar zal je een gecontroleerde Nederlandse cloud of een eigen datacentrum voor moeten hebben. Waar dat om gaat varieert per bedrijf of dienst. En het classificeren is lastig. Want heb je te laag ingezet, dan is het lastig te verhogen. Je gegevens liggen dan al op straat.”

Privacy
Een groot risico is dus dat je concurrentiegevoelige informatie in handen komt van de Amerikaanse overheid. De Winter: “We worden al jaren in de gaten gehouden, het gaat tenslotte om een investering van 52,6 miljard dollar per jaar. Sinds de onthullingen van Snowden over het naar binnen trekken van informatie en inbreken op hardware, zal er in 2014 meer aandacht komen voor een gegronde beveiligingsaanpak.” Beschermingsmaatregelen worden steeds geavanceerder, waaronder de encryptiesleutels. Privacy en beveiliging zullen belangrijker worden voor bedrijven om voor een bepaalde cloudprovider te kiezen.

Eigen regie
“Maar als je zaken doet met Amerika, dan vallen je data onder de Amerikaanse wetgeving”, vervolgt De Winter. “Omgekeerd functioneert de AIVD ook volgens de Nederlandse wetgeving in het buitenland. Een bedrijf dat zich onttrekt aan de wetgeving en veel data vergaart, is interessant om in te breken. Je moet dus zelf regie voeren en eigen, niet gesloten software, over de clouddienst heen zetten. Ook moet je de broncode hebben van de programmatuur. De NSA heeft geïnvesteerd in het verzwakken van de beveiligingsprotocollen, dat heeft de infrastructuur onbetrouwbaarder gemaakt. Ook bij managed service security providers is eigen regie noodzakelijk. Maak een goede risico-inschatting: wie levert de diensten, krijg je inzage in hoe veilig de provider is, enzovoort.”

Spionage
Onze dienstverlening is zó afhankelijk van de informatievoorziening geworden, dat het belangrijk is als bedrijf eigen clouds te bouwen. Denk bijvoorbeeld aan de privacy en veiligheid in de gezondheidszorg bij het delen van medische dossiers. “Als zelfs handelsmissies gehackt worden, gaan economische belangen blijkbaar vóór politieke belangen en veiligheid. Bedrijven moeten zich realiseren dat ze de informatievoorziening tegen het licht houden. Denk niet te luchtig over het inkopen van een dienst. Het gaat niet over een paar metadata, maar over het voorkomen van economische spionage.”