Hoe volwassen is Cloud Security? Cloud Computing wordt gezien als een van de belangrijkste thema’s in de ICT voor de komende jaren, samen met Mobile, Big Data en Social Business. Het is evident dat Cloud Computing vele voordelen kan bieden voor organisaties en daarover is al veel gepubliceerd. Om één van de belangrijkste te noemen biedt Cloud Computing de mogelijkheid om investeringen terug te brengen (CAPEX) en om te zetten naar operationele kosten (OPEX) die bovendien een stuk lager kunnen uitvallen. Veel organisaties kijken naar de mogelijkheden om hun systemen of applicaties in de cloud te ‘zetten’, maar twijfelen om de daad bij het woord te voegen vanwege de vele onzekerheden die het thema omringen. Een van de belangrijkste daarvan is Cloud Security. In tegenstelling tot wat cloudleveranciers ons willen doen geloven heeft Cloud Computing in het algemeen en Cloud Security in het bijzonder het volwassenheidsplateau nog niet bereikt1. Het is daarom verstandig dit aspect grondig te onderzoeken vóórdat concrete stappen worden ondernomen.
Wie zich verdiept in Cloud Security krijgt de indruk alsof niets veilig is en iedere maatregel omzeild kan worden voor wie kwaadwillend is en dat daarom een afwachtende houding de beste is. Cloud Computing is echter een voldongen feit en veel organisaties maken er al gebruik van, zonder zich daarvan bewust te zijn. De drempel voor medewerkers om ook zakelijke informatie in de cloud te plaatsen is erg laag en dit gebeurt dan ook op grote schaal. Eenvoudige voorbeelden hiervan zijn ‘Dropbox’, ‘Skydrive’ en ‘GoogleDocs’ die het mogelijk maken op zeer eenvoudige wijze documenten onafhankelijk van plaats, tijd of apparaat uit te wisselen tussen collega’s onderling of zelfs met externe contacten. Organisaties die m.b.t. Cloud Computing geen beleid geformuleerd hebben zien zich geconfronteerd met een werkelijkheid die moeilijk terug te draaien is. Het is daarom zaak zo vroeg mogelijk bewuste keuzes te maken, die vast te leggen en te communiceren naar alle betrokkenen. Cloud Security is daarbij niets anders dan een nieuw aspect van informatiebeveiliging in het algemeen, een thema dat bij veel organisaties al veel langer, meer of minder prominent, aandacht heeft. Veel van de begrippen, procedures, analyses en standaarden die te maken hebben met informatiebeveiliging zijn óók van toepassing op Cloud Security. 1 Hype cycle for cloud computing, augustus 2012
Bel ons op +31 (0) 43 358 1880 Of bezoek onze website op www.innervate.nl voor meer informatie
BEVEILIGINGSVOORDELEN VAN CLOUD COMPUTING Cloud security is niet alleen een aspect van Cloud Computing dat maant tot voorzichtigheid, het kan ook beveiligingsvoordelen bieden om gebruik te maken van Cloud Computing. Organisaties die zélf hun IT systemen huisvesten en beheren dienen dit óók op een veilige manier te doen. Door de complexiteit van IT is dat niet altijd een eenvoudige opgave, zeker niet in deze tijd van crisis en beperkte financiële middelen. Cloudleveranciers bedienen veelal een groot aantal klanten en zijn daardoor gedwongen werk te maken van informatiebeveiliging. Bovendien geldt ook voor beveiligingsmaatregelen dat schaalgrootte kostenvoordelen biedt. Het is mogelijk groot in te kopen en specialisten aan te trekken voor complexe taken. Ook huisvesting van servers kan efficiënt gebeuren in datacenters die speciaal daarvoor zijn ingericht en optimaal kunnen worden beveiligd tegen incidenten en calamiteiten. Vaak is dit een argument dat voorstanders van Cloud Computing (terecht) binnen hun organisatie gebruiken. Binnen de risico-analyse geldt echter nog steeds het uitgangspunt:
RISICO = KANS x SCHADE Weliswaar is bij cloudleveranciers de kans op een veiligheidsincident (veel) kleiner dan bij andersoortige organisaties, de schade die ieder incident kan toebrengen aan de vele klanten is echter potentieel enorm. Talloze kleinere en grotere incidenten van de laatste jaren hebben dat ten overvloede bewezen (zie kaders). Iedere organisatie die plannen heeft om (delen) van haar IT in de cloud onder te brengen dient daarom altijd de veiligheidsrisico’s van cloudcomputing af te wegen tegen de voordelen. Hiervoor bestaan geen universele waarheden. Iedere situatie is anders. In de navolgende paragrafen zal dieper in worden gegaan op een aantal belangrijke aspecten van deze afweging. Opgemerkt moet worden dat het hier in géén geval een uitputtende lijst betreft. VERANTWOORDELIJKHEID Door persoonlijke data op servers op afstand te zetten wordt het risico gelopen de controle over deze data te verliezen, maar wie is uiteindelijk verantwoordelijk? Het antwoord hierop is even eenvoudig als ontnuchterend : de organisatie zélf blijft altijd eindverantwoordelijk voor haar data!
In een ‘Open Letter to RSA customers’ heeft RSA toegegeven het slachtoffer te zijn geworden van een zogenaamde ‘Advanced Persistent Thread’. Bij deze cyberaanval zijn gegevens van RSA betreffende ‘two factor authentication’ producten gecopieerd.
Een sprekend voorbeeld daarvoor is de privacywetgeving. De belangrijkste wet in dat kader is de Wet Bescherming Persoonsgegevens (Wbp). Deze Wbp definieert twee rollen, namelijk de ‘Verantwoordelijke’: de rechtspersoon die het doel en de middelen voor verwerking van persoonsgegevens vaststelt en de ‘Bewerker’: degene die ten behoeve van de Verantwoordelijke persoonsgegevens verwerkt. Belangrijk bij de vraag of deze Wbp geldt is de vestigingslocatie van de Verantwoordelijke, oftewel de zetel van de Rechtspersoon. Is deze zetel Nederlands grondgebied, dan geldt de Wbp onverkort. Is de zetel van de Rechtspersoon een EU-lidstaat, dan is de Europese richtlijn van toepassing.
Bel ons op +31 (0) 43 358 1880 Of bezoek onze website op www.innervate.nl voor meer informatie
De Bewerker, in de context van dit artikel de cloudprovider, bepaalt niet het doel en de middelen voor de verwerking van persoonsgegevens, maar handelt slechts in opdracht van de Verantwoordelijke. Dit betekent dat de Verantwoordelijke (lees ‘cloudgebruiker’) de plicht heeft zich ervan te verzekeren dat de Bewerker (lees: ‘cloudleverancier’) alle maatregelen treft én ook handhaaft, om de veiligheid van persoonsgegevens te garanderen. GELDENDE WET- EN REGELGEVING Iedere organisatie is gebonden aan Wet- en Regelgeving en dient in zijn handelen daaraan te voldoen. Ook bestaande certificeringen kunnen verlopen of worden ingetrokken zodra een organisatie niet meer voldoet aan de eisen die bijvoorbeeld audits stellen. In dat kader kan bijvoorbeeld gedacht worden aan HKZ certificering in de Gezondheidszorg of aan ISO27001 certificeringen in het kader van informatiebeveiliging. Voordat gebruik wordt gemaakt van clouddiensten dient daarom in kaart te worden gebracht aan welke Wet- en Regelgeving en certificeringen een organisatie dient te voldoen. Dit dient zeer nauwgezet te gebeuren, omdat het over het hoofd zien van plichten vérstrekkende gevolgen kan hebben voor de gehele organisatie. CLASSIFICATIE VAN DATA Niet alle elektronische data die binnen een bedrijf gegenereerd of gebruikt wordt is even belangrijk. Patiëntgegevens binnen de gezondheidszorg hebben een geheel andere betekenis als de correspondentie van de afdeling inkoop van een willekeurig bedrijf. Dit lijkt een open deur, maar dit soort classificaties worden veelal alleen gemaakt in de hoofden van medewerkers. Zelden is er een degelijke inventarisatie van soorten gegevens beschikbaar, laat staan dat deze ingedeeld zijn in categorieën die bepalen hoe ermee omgegaan dient te worden. Toch is deze classificatie van informatie harde noodzaak voordat verantwoorde keuzes gemaakt kunnen worden voor clouddiensten. De classificatie van gegevens bepaalt namelijk direct welke beveiligingseisen er gesteld dienen te worden aan de cloudleverancier en deze eisen bepalen in hoge mate prijsstelling en aard van clouddiensten.
In april 2011 treedt er een grote storing op in de cloud van Amazon, waardoor veel websites die daar worden ge-host geruime tijd niet meer bereikbaar zijn. De imago schade voor Amazon zelf en Cloud Computing in het algemeen is groot. Achteraf blijkt tevens dat een kleine hoeveelheid data voorgoed verloren is gegaan.
CERTIFICERING VAN CLOUDLEVERANCIERS Binnen overheid en bedrijfsleven is het doorlopen van een breed scala van certificeringen langzamerhand gemeengoed geworden. Dit geldt ook voor het vakgebied informatiebeveiliging. Waarom zou een potentiële gebruiker van clouddiensten niet gewoon van een cloudleverancier kunnen eisen dat deze voldoet aan een ‘cloudcertificatie’ ? Geen gedoe met Wet- en Regelgeving, juridische teksten , classificatie van data, etc. etc.! Helaas is de werkelijkheid ook hier weerbarstiger dan de theorie. Er bestaan weliswaar een aantal veelgenoemde normen op dit gebied, die soms aangeduid worden als ‘certificering’, maar bij nader inzien kunnen deze niet blind van toepassing worden verklaard. De belangrijkste zullen we de revue laten passeren.
Bel ons op +31 (0) 43 358 1880 Of bezoek onze website op www.innervate.nl voor meer informatie
ISAE3402 Binnen de financiële sector gold de SAS-701 tot 2011 als dé standaard op het gebied van zogenaamde assurance2 rapportages van interne controle mechanismen. SAS70 is echter vanaf 15 juni 2011 vervangen door de zogenaamde ISAE3402 norm, opgesteld door de IAASB3 en ook in Nederland geaccepteerd. De Verenigde Staten hebben deze norm overigens met een aantal kleine wijzigingen overgenomen als SSAE16. Binnen de ISAE3402 worden zogenaamde Service Organisatie Control (SOC) rapporten gedefinieerd. Een SOC beschrijft het transactiesysteem van een service-organisatie en (belangrijk!) hoe dit wordt beheerst. De ISAE3402 kent twee typen SOC rapportages. Type I beschrijft het proces en de beheersmaatregelen en is feitelijk een momentopname, oftewel een oordeel van de desbetreffende auditor. Deze beschrijving zegt niets over de daadwerkelijke operationele situatie. Daarvoor is Type II in het leven geroepen, die een langere periode omvat, meestal 6 maanden tot een jaar en het proces en de beheersingsmaatregelen beschrijft, zoals die gedurende die periode hebben gewerkt. De auditor toetst daarvoor de beheersingsmaatregelen en of deze in de praktijk werken conform de beschrijving. Een in dit kader overigens belangrijk verschil met de oudere SAS70 is, dat een ISAE3402 rapportage vergezeld moet gaan van een zogenaamd ‘written statement of assertion’ door het management. In deze managementverklaring laat het management zich uit over het bestaande beheersingsraamwerk en legt daarover dus verantwoording af! Hiermee wordt duidelijk dat een SOC Type II rapport géén certificaat is in de zin van het woord. Een certificaat beschrijft in algemene zin een situatie/proces/toestand en wordt verstrekt aan een organisatie indien deze daaraan voldoet. Een SOC Type II rapportage geeft zekerheid dat een proces en de beheersingsmaatregelen, zoals beschreven, daadwerkelijk functioneren. M.a.w. het ligt er helemaal aan welk proces en welke beheersingsmaatregelen bedoeld worden in een ISAE3402 rapportage! De basis voor de norm zijn financiële processen, bedoeld voor het genereren en beheersen van financiële rapportages en is dus niet primair bedoeld als IT gerelateerde norm. De ISA3402 laat echter ruimte om ook nietfinanciële rapportages op te stellen en daarom wordt hieraan ook in het kader van Cloud Computing vaak gerefereerd.
1 2 3
Statement on Auditing Standard no. 70: Service Organisations Een assurance rapportage heeft als doel het vertrouwen van een gebruiker van informatie te versterken door controle door een derde partij. Een sprekend voorbeeld is de alom bekende ‘acoountantsverklaring’. International Auditing and Standards Board; een overkoepelende accountancy organisatie.
Bel ons op +31 (0) 43 358 1880 Of bezoek onze website op www.innervate.nl voor meer informatie
ISO 27001/27002 De ISO/IEC 27001 en 27002, ook wel ‘code voor informatiebeveiliging’ genoemd zijn twee internationale standaarden (oorspronkelijk voortgekomen uit de Britse BS 7799) die algemeen erkend worden als dé basis voor informatiebeveiliging. ISO27001 behandelt een management-systeem (het Information Security Management System) om informatiebeveiliging als een proces te borgen binnen een organisatie, gebaseerd op de bekende Deming1 cirkel. ISO27002 geeft een groot aantal praktische handreikingen om informatiebeveiliging binnen een organisatie op orde te krijgen. Tevens bevat de 27002 een elftal categorieën aan beveiligingsmaatregelen die geïmplementeerd kunnen worden. Daarbij dient een vooraf uitgevoerde risico-analyse helderheid te geven over wèlke maatregelen van toepassing zijn voor een organisatie. De ISO27001/2 kan gebruikt worden om cloudleveranciers de maat te nemen op het gebied van informatiebeveiliging. Auditeringen zijn mogelijk tegen de ISO27001, maar cruciaal is hierbij welk beveiligingsniveau de cloudleverancier hanteert. Voor een cloudleverancier gelden immers niet dezelfde (aantallen) maatregelen als voor een willekeurig ander bedrijf of instelling. Er dient dus een selectie plaats te vinden, afhankelijk van o.a. het soort klanten en de diensten die aangeboden worden. Ook hier geldt dus dat een uitspraak als ‘Compliant met ISO27001/2’ of ‘ISO27001/2 gecertificeerd’ niet zo veel zegt als er niet meer achtergronden gegeven worden. Meer duidelijkheid op dit gebied kan overigens gegeven worden door architectuurmodellen zoals de ‘Open Security Architecture’ of ‘OSA’. OSA is een open beveiligingsarchitectuur voor IT. Daarbij is een indeling gehanteerd naar een aantal zogenaamde ‘Security Patterns’ die elk een deelgebied behandelen. Per deelgebied worden een aantal noodzakelijke security functies gedefinieerd en de wijze waarop die gerealiseerd kunnen worden. Zo is er een ‘Cloud Computing Pattern SP-011’ waarbij tevens een mapping is aangegeven naar maatregelen uit de ISO17799, de voorganger van de huidige ISO270022. Op deze wijze kan men een goed beeld krijgen van welke maatregelen een cloud-leverancier minimaal geïmplementeerd zou moeten hebben om het gewenste beveiligingsniveau te halen. Een andere uitstekende bron is een publicatie van de ‘European Network and Information Security Agency’ (ENISA) die een (zeer) uitgebreide risk-assessment geeft van Cloud Computing. Per risico wordt o.a. aangegeven wat de impact is, de kans van optreden en wat eraan gedaan kan worden. NEN7510 De NEN7510 is feitelijk een afgeleide van de ISO27001/2 en is specifiek toegesneden op de eisen van de Gezondheidszorg. Binnen de context van dit artikel kunnen beide standaarden als gelijkwaardig worden beschouwd.
1 2
Deze cyclus bestaat uit 4 stappen Plan-Do-Check-Act en gaat op voor zeer veel managementprocessen. Beide standaarden zijn goed met elkaar te vergelijken
Bel ons op +31 (0) 43 358 1880 Of bezoek onze website op www.innervate.nl voor meer informatie
CONCLUSIES Gezien het groeiende aanbod van Cloud Computing oplossingen kan geen enkele organisatie het zich meer veroorloven géén beleid geformuleerd te hebben voor cloudcomputing. Organisaties die dit verzuimen, worden door de werkelijkheid ingehaald en zijn niet meer ‘in control’ wat betreft Cloud Computing. Het staat buiten kijf dat cloudcomputing voor veel organisaties significante voordelen kan bieden, maar het zomaar op afstand plaatsen van bedrijfsinformatie vormt een risico dat niemand zich kan veroorloven in een wereld die in een steeds hoger tempo ‘digitaliseert’. Binnen het Cloud Computing beleid dient dan ook aandacht besteed te worden aan het aspect ‘Cloud Security.’ Daarbij dienen m.b.t. een aantal aspecten afwegingen gemaakt te worden, die bij de selectie van een cloudleverancier zeer belangrijk zijn. Een voorbeeld daarvan is classificatie van de informatie in kwestie waarmee bepaald kan worden welke eisen gesteld dienen te worden aan de cloudleverancier op het gebied van o.a. beschikbaarheid en vertrouwelijkheid. Een ander aspect is van toepassing zijnde wet- en regelgeving die voor iedere organisatie anders is, maar wel een grote wissel trekt op de verantwoordelijkheden die een organisatie heeft t.a.v. haar bedrijfsinformatie. Certificeringen van cloudleveranciers kunnen helpen om beslissingen omtrent de selectie van een cloudleverancier eenvoudiger te maken, maar ontslaan de gebruiker helaas niet van een grondige analyse vooraf.
Dit artikel is geschreven door Rob Braam, Principal Consultant van Innervate, op basis van zijn uitgebreide kennis en ervaring rondom Enterprise Architecture & Information Management.
© Innervate september 2013
Bel ons op +31 (0) 43 358 1880 Of bezoek onze website op www.innervate.nl voor meer informatie
