Cyberdialoog ΙV, 17 januari 2014 ‘ Trust in the Cloud’ Op 17 januari jl. vond de vierde cyberdialoog plaats. De ‘cloud’ is een fenomeen omgeven met enig mysterie en roept veel nieuwe vragen op. Kunnen we de cloud wel vertrouwen? Kunnen we iets doen om de cloud betrouwbaarder en vertrouwenwekkender te maken? En zo ja, wie zijn er dan aan zet? Deze kwesties rondom het thema ‘Trust in the Cloud’ werden tijdens de vierde dialoogbijeenkomst besproken. Aan het begin van de dialoog werden de deelnemers gevraagd om suggesties voor de agenda van research, investment, security en miscellaneous, die niet ter sprake kwamen tijdens de dialoog, op te schrijven op post-its. Het is mogelijk om de suggesties hier te bekijken. Enkele opvallende punten uit de dialoog:
Transparantie en accountability zijn cruciaal voor het vertrouwen in de cloud. De overheid heeft ook een rol bij het vertrouwen in de cloud door de manier waarop de overheid zelf omgaat met het verzamelen en de opslag van data van burgers. Nederland is kansrijk als aanbieder van cloud infrastructuur. Het is belangrijk om cloud kwesties op Europese niveau te coördineren, maar het is problematisch om goede wetgeving vanuit de EU te formuleren zoals blijkt met het dataprotectie framework.
Inleiding door Ian Brown De dialoog werd afgetrapt met een lezing door Ian Brown, Associate Director van het Cyber Security Centre van Oxford University en senior onderzoeker bij het Oxford Internet Institute. Brown begon zijn presentatie met een definitie van de cloud (zie ook de PowerPoint presentatie). Hij gaf aan dat elasticiteit de meest kenmerkende eigenschap van de cloud is: de cloud is er op elk schaalniveau en nuttige cloud diensten zullen drastisch groeien. Er zijn publieke, community, hybride en private clouds. Een community cloud is typisch een voorbeeld van een hybride cloud, het heeft de schaal van een private cloud en de voordelen van een publieke cloud. Brown maakt een onderverdeling in vier soorten cloud diensten:
Dataopslag (vb. Dropbox) Software (vb. Gmail) Platform (vb. IBM Websphere) Infrastructuur (vb. Amazon’s Elastic Compute Cloud)
Wat zijn de mogelijkheden en risico’s van de cloud? Mogelijkheden van de cloud zijn onder andere minder kapitaalinvesteringen voor kleine en middelgrote bedrijven en bedrijfscontinuïteit, er wordt een grote economische impact verwacht. De Europese Commissie voorspelt bijvoorbeeld een cumulatieve impact op het GDP van €957 miljard. Een groot risico is dat inlichtingendiensten en anderen toegang tot de data kunnen verkrijgen, een risico dat na de recente NSA onthullingen wel evident is. Door encryptie nauwkeurig te gebruiken wordt dit risico verminderd en hebben inlichtingendiensten wettelijke bevoegdheden nodig om de data te verkrijgen. Problematisch is wel dat overheden in veel landen deze wettelijke bevoegdheden om informatie te verkrijgen ten behoeve van de nationale veiligheid ook daadwerkelijk hebben. Vervolgens gaf Brown een aantal opties en voorbeelden om de risico’s van de cloud te verkleinen en het vertrouwen in de cloud te vergroten. Volgens de Europese Commissie vormen de zorgen om dataprotectie de belangrijkste drempel voor cloud computing. Om dit te verbeteren streeft de commissie naar het vaststellen van technische standaarden, het ontwikkelen van een model voor veilige een eerlijke contractvoorwaarden tussen het cloudbedrijf en de gebruiker en een European cloud partnership. Frankrijk is aan het investeren in een ‘soevereine cloud’. Een Frans privaat bedrijf is bezig om een cloud te ontwikkelen gebaseerd op open source software. Industrieel beleid zou er volgens Brown op gericht moeten zijn om autonome cloud capaciteit te ontwikkelen gebaseerd op open source software en niet op systemen van de Verenigde Staten. Een laatste optie is het gebruik van persoonlijke en vertrouwde clouds. Door bijvoorbeeld een app naar je eigen vertrouwde infrastructuur te brengen en de app niet ergens anders te laten draaien verminder je risico’s.
De dialoog Kansen en risico’s De dialoog begint met de vraag hoe er wordt gekeken naar de kansen en risico’s rondom het centrale begrip de cloud. Een aantal deelnemers noemt de economische voordelen en de mogelijkheden tot innovatie als kansen van de cloud. Een risico is dat bij een focus op de grote cloud providers er hoge barrières ontstaan voor kleinere bedrijven om zich op de cloud markt te begeven. Een deelnemer brengt daar tegen in dat we met een ander perspectief moeten kijken, niet naar internetbedrijven, maar naar de digitale infrastructuur. Kleine bedrijven hebben voordeel van een goede digitale infrastructuur. Een ander risico dat wordt genoemd is dat mensen niet bewust zijn van security en geen kennis hebben van hoe ze moeten omgaan met security kwesties doordat veel in de cloud wordt geplaatst. Als security naar de cloud wordt ge-outsourced, komt er geen bewustzijn op het niveau van bedrijven en consumenten.
Is vertrouwen mogelijk? Een deelnemer geeft aan dat de vraag niet is of we de cloud kunnen vertrouwen, maar of we onze regelgeving kunnen vertrouwen . De overheid heeft een grote rol in het reguleren. Er komt een suggestie dat de overheid misschien wel sneller en flexibeler moet zijn met regulering om het tempo van de ontwikkelingen en de innovatie bij te kunnen houden . Iemand anders merkt op dat het er aan ligt welk probleem je wilt oplossen. Wil je de economie een flinke boost geven, dan moeten we ons ontdoen van alle regelgeving. Willen we de privacy beschermen, dan is regulering juist belangrijk. Er wordt gesteld dat het echte probleem is hoe de overheid handelt en hoe de overheid zich gedraagt. Dat heeft gevolgen voor vertrouwen. De overheid heeft een imagoprobleem, overheden verzamelen data en we weten niet precies wat ze daarmee doen. De overheid draagt een grote verantwoordelijkheid in hoe ze omgaat met de data die ze verzamelt en opslaat. Hebben de onthullingen van de NSA directe effecten gehad op het vertrouwen van mensen in de cloud? Twee private partijen geven aan dat er vragen werden gesteld door klanten, maar dat uitleg, goede communicatie en transparantie werkte om het vertrouwen van klanten te behouden. Een kanttekening is dat ‘de cloud’ in termen van beveiliging misschien wel minder veilig is dan andere IT oplossingen. Een deelnemer geeft aan dat overheden ook verantwoordelijk moeten worden gesteld. Hierop komt de reactie dat vertrouwenskwesties niet zozeer gerelateerd zijn aan overheden, door de aansprakelijkheid van bedrijven te verhogen zal het vertrouwen wellicht toenemen en zullen kleine bedrijven sneller gebruik maken van de cloud. Het is belangrijk dat bedrijven transparant zijn. Hoeveel klanten van Dropbox weten bijvoorbeeld dat Dropbox geen eigen servers heeft en gebruik maakt van de servers van Amazon? Met wie sluit men eigenlijk een contract af? Concurrentie is de voornaamste drijfveer voor transparantie: het moet mogelijk zijn om private bedrijven met elkaar te vergelijken. Wanneer je je voor bepaalde diensten naar de cloud verplaatst zijn er echter diensten die alleen Google en Microsoft kunnen leveren, en waar geen andere concurrenten zijn. Dit is een ander soort risico dan die eerder zijn genoemd. Het is belangrijk dat nieuwelingen toegang tot de markt hebben, anders zullen accountability en transparantie niet werken. Internet heeft de neiging om oligarchieën te creëren. Kunnen we nog wel terug naar een situatie van een competitieve markt met partijen die elkaar beconcurreren? Federaties zoals de universiteiten of een Europese cloud zijn een antwoord op de grote aanbieders van cloud diensten uit de Verenigde Staten.
Het Nederlandse perspectief Waarom worden cloud diensten in Silicon Valley ontwikkeld, en niet hier? Silicon Valley heeft historisch gezien een enorme capaciteit en veel servers, waardoor de grote cloud
aanbieders zich daar bevinden. Europa is voorzichtig, maar wil wel met de grote jongens concurreren. Een deelnemer merkt op dat Nederland als facilitator en aanbieder van infrastructuur – in tegenstelling tot mogelijkheden voor software clouds – wel degelijk een hele grote speler is in het internationale veld, onder andere door AMS-IX, maar dat de diensten uit de Verenigde Staten komen. We kunnen daarom misschien voortbouwen op onze infrastructuur. Nederland heeft een relatief kleine markt, maar op het gebied van innovatie kan Nederland een grote speler worden. Er is echter een groot verschil tussen Silicon Valley en Nederland volgens één van de deelnemers. In Silicon Valley wordt het internet en software gezien als een engine for growth. In Nederland heeft men een wat angstige houding ten aanzien van wetmatigheid, men denkt eerst na over de regels, terwijl de regels continu veranderen. De Amerikaanse houding is meer van we doen het gewoon en we zien wel wat er op ons pad komt. ‘Software eats the world’. Nederlanders hebben de neiging om eventuele toekomstige problemen overmatig te analyseren. Wel worden grote Amerikaanse bedrijven enigszins beperkt doordat ze gebonden zijn aan de nationale wetten en markten van landen waarin ze opereren, dat is iets waar deze bedrijven mee om moeten gaan. Iemand anders vraagt of dit verschil tussen de Amerikaanse en Nederlandse houding ook een verschil is tussen de NSA en de AIVD.
Wat te doen? Het is belangrijk om onderscheid te maken tussen het vertrouwen van consumenten in cloudbedrijven en de kwestie van vertrouwen in overheden en wat zij doen met de data die zij verzamelen. Vanwege de vele private partijen aan tafel wordt het vertrouwen van consumenten in cloudbedrijven besproken. Moeten we daar iets aan doen? Of laten we de concurrentie het werk doen? Iemand vindt het bijzonder dat er momenteel geen gedragscode is voor bedrijven. Consumenten begrijpen het simpelweg niet en daarom is tegenwicht nodig, bij Dropbox begrijpen mensen bijvoorbeeld niet dat ze eigenlijk gebruik maakten van Amazon. Transparantie is belangrijk. Er is voor bedrijven geen wettelijke verplichting om rekening te houden met privacy en er is ook geen marktdynamiek die dit regelt. Consumenten – ook kleine en middelgrote ondernemingen – weten niet wat er gebeurt in de cloud. Veel bedrijven passen geen encryptie toe vanwege de kosten. Daar is een business case voor nodig. Iedereen verwacht dat een ander de security regelt. Niemand wil ervoor betalen. Kunnen we cloud computing beschouwen als een opkomende markt waarin veel kwesties nog niet opgelost zijn? De business case is cruciaal en voor sommige zaken is het goed om standaarden te bepalen. Het is lastig om vanuit het perspectief van privacybescherming tot meer vertrouwen te komen, het dataprotectie framework van de EU zal daar in elk geval niet voor zorgen. Er is bezorgdheid over de kwaliteit van de
Europese wetgeving en er wordt enigszins sceptisch gedacht over regulering. Iemand vraagt zich daarom af wat de alternatieven zijn? Eén van de suggesties is geen voorschriften over hoe je security moet regelen, maar wel voorschrijven dàt je het moet doen is. Een andere suggestie is meer onderzoek naar de cloud markt, de dynamiek, de kansen en de mogelijkheden. Nog enkele andere suggesties: de verplichting voor een bedrijf om een data breach te melden geeft bedrijven een prikkel om te verbeteren. Opleiding van ethische hackers is belangrijk, om data op een goede manier te kunnen beschermen moet een hacker denken als een crimineel. Het NCTV is hiermee bezig en daarnaast is de responsible disclosure een groot succes.
Reacties Wat nemen de deelnemers van deze bijeenkomst mee naar huis? Een greep uit de reacties:
De cyber security strategie zit op de goede weg. Wat nog mist en waar op gestuurd moet worden is het promoten van keuzes en zelfhulp. Echte transparantie en marktvergelijking maakt keuzes mogelijk. Er is nog veel werk voor mij te doen (wetenschapper). Cloud is niet technologisch, maar een economisch model, waar we mee om moeten leren gaan. Moeilijk. Een beetje teleurgesteld, ik had gehoopt op een meer strategisch en lange termijn perspectief als het gaat om vertrouwen, machtsrelaties en technologie.
Conclusie door Ian Brown Brown geeft aan dat hij het een interessante discussie vond en het interessant was om het Nederlandse perspectief te horen. Zijn conclusie bestaat uit drie punten:
Het genereren van een vraag naar veiligheid is altijd een probleem, omdat niemand de kosten en aansprakelijkheid op zich wil nemen. Het onderwijs van hackers is van belang om ze te trainen in cybersecurity. Het Verenigd Koninkrijk heeft bijvoorbeeld fondsen om vijftien doctoraal studenten per jaar op te leiden. De kwesties moeten door de Europese Unie worden gecoördineerd en niet door individuele lidstaten. De dataprotectie en cyber security strategie van de Europese Unie moeten beter met elkaar worden geïntegreerd.
De agenda’s http://padlet.com/wall/4uzku3s8gw Research: Een aantal suggesties voor een research agenda gaat over het ontwikkelen van de cloud zelf, zoals waarom ontwikkelen clouds zich niet hier en wel in de Verenigde Staten? Wat zijn de barrières om toe te treden tot de cloudmarkt? Andere suggesties zijn vooral gericht op het vertrouwen en de veiligheid van de cloud. Hoe ontwikkelt vertrouwen zich onder cloud gebruikers? Hoe bereik je accountability en transparantie? Of ervoor zorgen dat er empirische data beschikbaar komen over wat acceptabele niveaus van informatieveiligheid zijn. Er worden ook suggesties gedaan voor onderzoek naar de externe effecten van de cloud, zoals de effecten op mensenrechten. Of nationale clouds leiden tot Balkanization van het internet en of Balkanization een probleem is. Investment: Er zijn suggesties om te investeren in databescherming, transparantie en accountability. Daarnaast zijn er suggesties om te investeren in de cloudmarkt, om te zorgen voor een open markt en te investeren in de infrastructuur. De overheid moet zorgen voor een gunstig innovatieklimaat en “software as engine for growth”. Er is ook een pijl geplaatst die wijst van investment naar research, oftewel we moeten investeren in onderzoek. Security: Veel suggesties gaan over de noodzaak van accountability en transparantie. Zoals: de accountability van overheden en veiligheidsdiensten is cruciaal, en accountability is essentieel voor leveraars van clouddiensten en overheden. Er wordt ook een aantal suggesties gedaan over regelgeving, zoals versnel de regelgeving, en rechtsregels moeten openbaar worden gemaakt. Daarnaast is er nog een aantal andere suggesties, zoals encryptie moet standaard te zijn, en er is een verschil tussen publieke en private clouds. Miscellaneous: De suggesties variëren erg, bijvoorbeeld “whishful thinking vs. real solutions”, bevorder keuze, het Nederlandse perspectief, minder aarzelen bij het verkrijgen van rechterlijke uitspraken, dwing regelgeving af bij grote spelers uit de VS.
