Regelgeving en veiligheid in de cloud

No comments »
AUTHOR:
CTO Dell EMC Nederland
CATEGORIES:

De cloud ontwikkelt zich in sneller tempo dan velen dachten. Ik heb het gevoel dat we vanuit de techniek de laatste jaren een grote steen de heuvel hebben opgerold die cloud mogelijk moest maken. Techniek op het gebied van virtualisatie, unified computing and networking en virtuele informatie infrastructuren. En nu lijkt de steen over de top heen en rolt op eigen kracht verder. Zelfs personen die elke dag met de techiek en toepassing van cloudcomputing bezig zijn, hebben af en toe moeite de ontwikkelingen bij te houden.

Echter de techniek maakt iets mogelijk en de eerste gebruikers gaan er enthousiast mee aan de slag. Maar er is meer nodig dan techniek om een volwaardig gebruik van de cloud mogelijk te maken: wet- en regelgeving. Regelgeving die aangeeft binnen welke kader deze nieuwe toepassing op ordentelijk manier kan worden gebruikt en getoetst en past binnen andere wettelijke kaders. En helaas op dat gebied moet nog een hele zware kei de heuvel opgeduwd te worden.

Consumenten en kleine jonge ondernemingen brengen al snel hun informatie en toepassing in de cloud. In die gevallen heeft men (nog) niet veel te maken met wettelijke kaders waarbinnen zij hun informatie moeten creeren, beheren, uitwisselen en bewaren. Echter zodra een bedrijf in een traject van formele verslaglegging, auditing en compliance komt, is regelgeving essentieel. En op dat gebied is nog heel veel werk te verrichten, zeker in een versnipperd Europa op het gebied van privacy, compliance en auditing. Data van het ene land naar het andere land brengen, is nu al een groot vraagstuk. Dit ‘onzichtbaar’ in de cloud laten gebeuren, maakt het alleen maar complexer.

Eurocloud is vorig jaar als Europese organisatie opgericht met als belangrijk doel ‘de cloud’ onder de aandacht te brengen van het Europees Parlement. Dat is de plaats waar de nieuwe voor cloud geschikte regelgeving ontwikkeld moet worden. Dit valt in de portefeuille van commissaris Kroes, die hiermee een grote uitdaging heeft om in de jungle van landelijke wetgeving een Europese structuur te brengen.

Langzaam zien we dat er stapjes vooruit zijn te ontdekken. Het FD spreekt intussen over de cloud, hetgeen leidt tot discussies over cloudcomputing op Board-level. De Telegraaf plaatste enkele weken geleden een groot artikel over de overheid die de cloud in wil. De Rijks-CIO Hillenaar spreekt over consolidatie van datacenters, virtualisatie en shared services en zegt ook serieus naar cloudtoepassingen te kijken. Op BNR wordt tijd besteed aan discussies over de cloud. Kortom, ook buiten de IT-wereld krijgt het begrip cloudcomputing meer aandacht.  Een goede zaak. Want daar is de cloud voor bedoeld, een laagdrempelig gebruik van ICT voor (bijna) iedereen, juist niet meer in een door ICT gedomineerde omgeving.

Laatst was ik aanwezig bij een discusieavond getiteld ‘Cloud en security’ bij Deloitte. De agenda was gericht op privacy en compliance van informatieprocessen die (deels) via de cloud plaatsvinden. Maar ook de potentiele problemen bij auditing van die processen kwamen aan de orde. Hoe ga je een keten van services die via de cloud wordt aangeboden degelijk auditen? En hoe veilig kan de cloud worden?

In het kader van veiligheid wil ik u een toen gevoerde discussie niet onthouden. Wat is veiliger, een eigen datacenter of gebruikmaken van een cloudleverancier? Voor- en tegenstanders. Toen kwam de vergelijking: ik kan met mijn gezin in mijn eigen veilige auto – als zeer ervaren chauffeur – naar mijn vakantiebestemming rijden. Ik heb alles ‘actief’ onder controle in dit transportproces. Of ik kan in een vliegtuig stappen, waarvan ik niet weet wie de piloot is, waarvan ik niet weet het onderhoud aan motoren en besturing heeft verricht en ‘passief’ gebruik maken van deze transportservice. Statistisch is bekend dat een vliegtuigkilometer vele malen veiliger is dan een autokilometer.

Is deze vergelijking geldig voor de cloud? Ik kan een eigen datacenter heel veilig inrichten, maar blijf beperkt in mijn mogelijkheden in relatie tot de kosten. Een grote cloudleverancier kan het risico niet lopen dat er een ongeval’ gebeurt. Voorpaginanieuws en verlies van klanten. Dus moeten cloudleveranciers via certificatie, auditing, compliance, interne regelgeving etc. een zeer betrouwbaar en doorzichtig process hebben om hun services aan te bieden. Bij de grote gebeurt dit ook en die zijn in mijn ogen veiliger dan welk klein datacenter dan ook. Echter, er zijn ook veel startende partijen die cloudservices aanbieden. Voorzichtigheid is dan geboden. Want, anders dan in de luchtvaartindustrie, heeft de overheid voor cloud computing helaas nog weinig voorwaarden, eisen en wetgeving ontwikkeld.

Leave a Reply

Your email address will not be published. Required fields are marked *