Hoe veilig is de cloud?
Auteur: Miranda van Elswijk en Jan-Willem van Elk
Steeds meer softwarediensten zijn altijd en overal beschikbaar via internet. Deze diensten worden cloud services genoemd. Onderwijs- en onderzoeksinstellingen ontdekken de mogelijkheden van cloud computing, maar hebben vragen over de beveiliging van hun gegevens. Hoe veilig is de cloud nu eigenlijk? Waar moet je aan denken wanneer je in zee wilt gaan met een leverancier van clouddiensten? Dit artikel, dat is gebaseerd op een checklist van SURFnet, biedt een eerste antwoord op dergelijke vragen. Onderwijs- en onderzoeksinstellingen ontdekken de mogelijkheden van cloud computing. Studenten maken gebruik van een webmailprogramma, docenten ontmoeten elkaar op een samenwerkingsplatform en de administratiemedewerkers houden de gegevens van studenten bij in een online tool. Gegevens die in de cloud worden opgeslagen, zijn niet meer onder volledige controle van de instelling. Wat betekent dat voor de veiligheid van die gegevens? Cloud computing kent op hoofdlijnen drie leveringsmodellen, elk met andere mogelijkheden tot risicobeheersing: ● Software as a Service (SaaS) In dit model is nagenoeg alles uitbesteed en is de provider verantwoordelijk voor nagenoeg alle beveiligingsaspecten, met uitzondering van het beheren van gebruikers en gebruikersrechten (functioneel beheer). Een afnemer heeft maar beperkt de mogelijkheid om beveiligingsmaatregelen toe te voegen, aan te passen en te controleren. ● Platform as a Service (PaaS) In dit model liggen de beveiligingsopties redelijk vast binnen de ontwikkelomgeving en het platform. Hierbij hebben de provider en de afnemer beide een verantwoordelijkheid. ● Infrastructure as a Service (IaaS) In dit model is de afnemer voor een groot deel zelf verantwoordelijk voor het adequaat implementeren van beveiligingsmaatregelen. De provider is echter nog steeds verantwoordelijk voor de fysieke beveiliging en de hardware en kan optreden als ‘verkeersregelaar’ voor het netwerk dat gedeeld wordt door alle afnemers. Onder druk van hun concurrenten breiden leveranciers van clouddiensten hun producten uit. SaaSproviders voegen PaaS-diensten toe, IaaS- en PaaS-leveranciers experimenteren met SaaSdiensten. Elke uitbreiding verhoogt de kans op onacceptabele zwakheden in het systeem. Overigens zijn de risico’s van clouddiensten (bijvoorbeeld op het gebied van toegang tot de gegevens, privacy en stabiliteit van de leverancier) vergelijkbaar met andere extern geleverde ICT-diensten. Maar clouddiensten brengen specifieke risico’s met zich mee; zo kan een cloud provider gebruikmaken van diensten van derden, waarmee de klant geen afspraken heeft gemaakt op het gebied van beveiliging. Daarnaast zijn clouddiensten locatieonafhankelijk, waardoor niet altijd duidelijk is waar de gegevens zijn opgeslagen en daarmee welke juridische bepalingen gelden. Cloud computing kent natuurlijk niet alleen beveiligingsrisico’s, maar ook –voordelen. Door de schaalvoordelen zijn beveiligingsmaatregelen door cloud providers goedkoper te implementeren. Ook kunnen cloud providers beveiligingsmiddelen sneller en dynamischer inzetten. Tot slot beschikken cloud providers vaak over diep inhoudelijke beveiligingskennis die aan de afnemerszijde ontbreekt.
2
Voorbereiding besluitvorming Voordat er gesproken wordt met cloud providers, is belangrijk om een goed en scherp beeld te definiëren van de gewenste dienstverlening. Om welke functionaliteiten gaat het? Bestaan er normenkaders? Welke service levels zijn gewenst? Bij clouddiensten verdient het aanbeveling om naast functionele eisen ook niet-functionele eisen op het gebied van beveiliging te formuleren. Denk daarbij aan eisen voor beschikbaarheid (in termen van continuïteit en prestaties), integriteit, vertrouwelijkheid, onweerlegbaarheid en bedienbaarheid. Een business case kan inzicht bieden in de beslissing om wel of niet voor een cloud provider te kiezen. In de business case vergelijkt de instelling de situatie ‘zelf doen’ met ‘afnemen van een cloud provider’. In de vergelijking wordt gekeken naar de mate waarin de oplossing de geformuleerde eisen afdekt en wat de Total Cost of Ownership (TCO) is. Een TCO is een integrale afweging van kosten, waarbij de zichtbare / directe én de verborgen / indirecte kosten worden meegenomen. De beveiliging van gegevens brengt kosten met zich mee; denk aan het voorkomen en oplossen van beveiligingsincidenten, backup en herstel. En denk bij het afnemen van een SaaS-clouddienst ook aan eventuele kosten om bij het structureel wegvallen van de dienstverlening van de provider toch nog toegang te blijven houden tot de dienstverlening en de eigen gegevens. Besef dat ook het gebruikersgedrag van grote invloed is op het feitelijke beveiligingsniveau. Bij de overstap naar cloud computing is het verstandig om het huidige gebruikersgedrag te analyseren. Hoe bewust zijn de gebruikers zich van de risico’s? Hoe gaan ze om met hun wachtwoorden? Weten ze wat ze met welke data mogen? Wanneer het bewustzijn laag is, kan de instelling een bewustwordingscampagne overwegen. Tot slot spelen de eigen inkoopvoorwaarden een rol. Zijn deze voldoende met de tijd meegegaan? Bij gesprekken met cloud providers is het aan te bevelen om belangrijke voorwaarden te bespreken. Eisen aan de cloud provider Wanneer helder is welke dienstverlening gewenst is en er een positieve business case voor cloud computing is, dan is de volgende stap het selecteren van een cloud provider. Nadat getoetst is of een provider de gewenste functionaliteit kan leveren, is het zaak om de volgende aspecten nader te onderzoeken: ● Stabiliteit Hierbij gaat het om de continuïteit van de provider als organisatie: de mate van zekerheid dat de cloud provider gedurende de verwachte contractduur blijft bestaan. Faillissementen en overnames hebben meestal een negatieve impact op de dienstverlening. ● Affiniteit met het onderwijs Voor een goede samenwerking is het prettig wanneer de cloud provider affiniteit en ervaring met het onderwijs heeft. Toets zijn reputatie en referenties, het marktaandeel in het (Nederlandse) onderwijs en de relatie met SURFnet en Kennisnet. ● Certificatie De Internationale Organisatie voor Standaardisatie (ISO) is een internationale organisatie die normen vaststelt. ISO 27001 is een standaard voor informatiebeveiliging. Daarnaast kennen we SAS 70 en ISAE 3402, bedoeld om inzicht te krijgen in de interne beheersing van een organisatie. Hoe nieuwer en complexer de onderliggende technologie is, hoe kleiner de kans dat assessments als SAS70, ISO 27001 en ISAE3402 alle relevante risico’s kunnen identificeren. Vraag daarom inzage in de auditrapporten voor deze certificaten. Bij het beoordelen van de cloud provider is het verder verstandig te letten op de procesorganisatie van de provider (bijvoorbeeld de beveiligingsprocessen), de screening en de kwalificaties van de medewerkers en aanvullende beveiligingsrichtlijnen.
3
●
Open standaarden Het gebruik van open standaarden bevordert de koppelbaarheid met andere systemen en biedt een zekere mate van onafhankelijkheid ten opzichte van de provider. In welke mate draagt de provider bij aan de ontwikkeling van open standaarden? Welke open standaarden heeft de provider op zijn naam staan? ● Bedrijfsethiek Mogelijk streeft de onderwijsinstelling bepaalde doelen op het vlak van duurzaamheid na. Wanneer dit het geval is, is het van belang om de bedrijfsethiek van de provider nader te beschouwen. Is er een code of conduct? Zijn er duurzaamheidsverklaringen? Is er een maatschappelijk jaarverslag beschikbaar? Deze en andere punten zijn uitgewerkt in de “Checklist Cloud Security” van SURFnet. Dienstverleningsaspecten Bij de uiteindelijke selectie kan de feitelijke dienstverlening van de cloud provider doorslaggevend zijn. Eén van de aspecten daarin is de levering van de functionaliteit. Hoe snel kan de provider wijzigingen in de diensten doorvoeren, bijvoorbeeld als er nieuwe gebruikers zijn of als er nieuwe functionaliteiten nodig zijn? Hoe ontwikkelt de dienstverlening zich? Hoe is de betrokkenheid van de gebruikersgroep?
Verder is het goed om aandacht te besteden aan de verantwoordelijkheid voor de integriteit en vertrouwelijkheid van de gegevens. Let er bijvoorbeeld op hoe de aansprakelijkheid geregeld is als er na een calamiteit sprake is van dataverlies. Ook is het goed om te kijken naar de garanties bij het doorvoeren van wijzigingen (zijn de gegevens echt verwijderd als u daarvoor kiest?) en de garanties voor back-up en recovery. Verder moet u letten op het intellectueel eigenaarschap van de gegevens (zo krijgt Facebook het copyright over geplaatste foto’s). Zorg dat u weet wat de geografische plaats is waar de gegevens in de cloud worden opgeslagen en of de leverancier uw gegevens (al dan niet geanonimiseerd) mag doorverkopen of doorspelen aan derden. En zorg dat u weet welke data voor welke periode bewaard blijven en welke richtlijnen gelden ten aanzien van beveiliging en andere afspraken waaraan uw leverancier gehouden is. Onderhandel over voorwaarden en leg deze contractueel vast in een Service Level Agreement. Probeer van de leverancier in elk geval de volgende basale punten bevestigd te krijgen: 1. De leverancier zal uw gegevens niet delen met anderen 2. De leverancier bewaart uw gegevens zolang u wilt 3. De leverancier verwijdert uw gegevens zodra u dat wilt 4. De leverancier stelt u in staat uw gegevens terug te nemen en elders onder te brengen Ga na wat uw leverancier op dit punt aan waarborgen biedt en in hoeverre dat voldoende is. Bedenk dat ook in dit geval de leverancier er belang bij heeft om uw gegevens zorgvuldig te behandelen, want ook op dit punt lijdt de leverancier grote imagoschade als hij onzorgvuldig omgaat met gegevens. Een ander aandachtspunt is de operationele dienstverlening, zoals de afhandeling van calamiteiten en storingen. Let op de service van de helpdesk: wat zijn de openingstijden, hoe snel krijgt u een reactie en hoe snel worden calamiteiten en storingen afgehandeld? Verder is het belangrijk om te letten op de transitie; dit betreft de migratie van de bestaande ICToplossing naar de dienstverlening van de provider. Welke procedures, standaarden en ondersteuning hanteert de leverancier? Na afloop van het contract met de cloud provider moeten de opgeslagen gegevens in een of andere vorm toegankelijk blijven voor de instelling. Het is dus goed om een uitstapscenario te hebben, met procedures, standaarden en ondersteuning bij datamigratie. Spreek dit al af bij het afsluiten van het contract!
4
Eigen verantwoordelijkheden van de instelling Bij beveiliging geldt het adagium: “een keten is zo sterk als de zwakste schakel”. Het is dan ook niet voldoende om alleen te kijken naar de kwaliteit en de maatregelen van de cloud provider. Ook de instelling zelf moet beveiliging goed organiseren en uitvoeren. Uit onderzoek blijkt dat nalatigheid door het eigen personeel (door verlies van laptops, USB-sticks en andere gegevensdragers) de voornaamste reden is dat gegevens op straat belanden. Besteed daarom in de instelling aandacht aan het ‘opvoeden’ en informeren van de gebruikers: medewerkers, leerlingen/studenten en soms ook ouders. Wat wordt van hen verwacht op het gebied van beveiliging? Welke verantwoordelijkheden hebben zij in de omgang van gegevensdragers en het beheren van wachtwoorden? Leg de verantwoordelijkheden met betrekking tot privacy en beveiliging van de provider, de instelling en dus ook de gebruikers zo nodig helder vast in een richtlijn of protocol. Daarmee geeft de instelling ook vertrouwen richting medewerkers, studenten en ouders! Kijk ook kritisch naar de infrastructuur en beheerorganisatie van de instelling. Is de infrastructuur goed beveiligd (externe dataverbinding, draadloos netwerk, toegang tot serverruimtes, toegang tot systemen, toegang tot PC’s)? Is het identity management op orde? Is er een vorm van incidentmanagement? Tot slot: nuchter bekijken Besef dat een grote cloudleverancier meestal veel meer expertise in huis heeft dan uw organisatie om de beveiliging van gegevens goed te regelen. De cloud leverancier is een professionele speler, met vaak uitstekende technici en systeembeheerders. Men mag dan ook wel enig vertrouwen hebben in de continuïteit van de dienst!
Meer informatie Dit artikel is gebaseerd op de ‘Checklist Cloud Security’ van SURFnet en de publicatie ‘Cloud computing in het onderwijs’, van het SURFnet/Kennisnet Innovatieprogramma. Kijk op www.surfnetkennisnetproject.nl/innovatie/cloudcomputing voor meer informatie over cloud computing. Zo kunt u hier de publicaties ‘Cloud computing in het onderwijs’, ‘Dataportabiliteit voor Cloud Computing’ en ‘De Wolk in het onderwijs’ gericht op de juridische aspecten van cloud computing downloaden. Ook vindt u hier de publicatie ‘Checklist Cloud Security’ van SURFnet.
5
