De cloud kent geen grenzen

No comments »
AUTHOR:
CTO Dell EMC Nederland
CATEGORIES:

Afgelopen weken had ik enkele interessante gespreken over het verschil tussen cloud gebruik in de US en Europa. De grootste publieke cloud-aanbieders zijn allemaal Amerikaanse bedrijven als Amazon, Google en Microsoft. Daarnaast zijn zowel in Amerika als in Europa overheden bezig te definiëren hoe zij gebruik kunnen gaan maken van cloud-diensten.

De Amerikaanse Rijks- CIO, Steven VanRoekel, die ik enkele weken geleden al in een blog citeerde, heeft FedRAMP ontwikkeld: het Federal Risk and Authorization Management Program. Een overheidsbreed beleidsprogramma dat een gestandaardiseerde aanpak voorschrijft in het kader van security assessment, autorisatie, inkoop en monitoring van cloud-diensten voor overheden. Daarnaast is de EU onder leiding van Eurocommissaris Neelie Kroes bezig een soortgelijk programma op te zetten dat voor alle EU-landen handvatten bevat voor een veilig en uniform gebruik van cloud-diensten in Europa.

Het Amerikaanse programma kwam tot stand op basis van een routekaart die het NIST (National Institute of Standards and Technology) had ontwikkeld als potentiële ‘Journey to the Cloud’ voor overheden. Hierin stond onder meer beschreven hoe cloud- architecturen zouden moeten passen binnen eisen van informatiebeveiliging en interoperabiliteit. Daarin is ook aangegeven hoe risk assessments kunnen worden uitgevoerd en hoe moet worden omgegaan met mogelijke beveiligings- en privacy-inbreuken. Of het jaarlijks verkrijgen van een compliance-certificaat.

Nationale veiligheid versus privacy
Inhoudelijk goede documenten waar we allemaal gebruik van kunnen maken. We moeten immers niet steeds opnieuw het wiel willen uitvinden. Maar toch blijkt dat er tussen Amerika en Europa enkele fundamentele verschillen zitten wat betreft de uitgangspunten voor beleid. In de VS is de eerste prioriteit de nationale veiligheid. Wetgeving als de Patriot Act is bedoeld om in eerste instantie de veiligheid van de VS – als land – te borgen, daarna pas komt de persoonlijke privacy aan de orde. Dit in tegenstelling tot Europa, waar persoonlijke privacy een hoog goed is en nationale veiligheid een nadere, vaak lagere prioriteit lijkt te krijgen.

Dit fundamentele verschil wordt nog versterkt door het gegeven dat in de VS iedere burger het recht heeft zich met wapens te verdedigen, terwijl in Europa grondwettelijk het recht op het uitoefenen van geweld bij de overheid is neergelegd. Als we dit verschil zouden gaan uitleggen voor cybersecurity, zou men kunnen stellen dat een Amerikaan het recht heeft zich actief te verdedigen tegen cyberaanvallen, door bijvoorbeeld de provider – via wie de aanval komt – met een tegenaanval plat te leggen.

Dit in tegenstelling in Europa waar de staat het monopolie op geweld heeft, en waarbij een burger of organisatie zijn overheid moet vragen hem actief te verdedigen tegen aanvallen. Een fundamenteel andere benadering. Die ook zijn weerslag zal hebben op het gebruik van allerlei cybersecurity ontwikkelingen; in hoeverre mag een particulier zich in de cyberwereld actief verdedigen. Spreken we dan ook over ‘proportioneel geweld’ als er gewonden of doden vallen ? En hoe gaan we dat dan vervolgen?

Verschillen
Kortom, zowel in de ontwikkeling van cloud, als een standaard utility voor allerlei informatiediensten, als bij de ontwikkeling van de cyberwereld van aanval en verdediging, verschillen de grote mogendheden op basis van grondwet en politiek. Naast het verschil tussen Amerika en Europa, zijn natuurlijk de verschillen met Rusland, China en andere grote mogendheden eveneens aanzienlijk. Hoewel internet een globale ontwikkeling is, is de implementatie in de verschillende culturen principieel anders, zeker wat betreft security, privacy en de juridische kaders waarbinnen burgers en organisaties moeten werken.
De komende weken houden we binnen Eurocloud enkele ronde tafelgesprekken over dit onderwerp. Tijdens die gesprekken stellen we bovengenoemde verschillen, alsmede de vraag welke rol onze eigen overheid zou moeten spelen in de cybersecurity aan de orde.

Met voortgaande virtualisatie is cloud computing mogelijk geworden. En de eerste stappen naar de cloud zijn eenvoudig. Maar als we eenmaal ‘in de cloud’ zijn, moeten we ook weer gecontroleerd kunnen terugkomen naar de fysieke wereld. Ik vergelijk het wel eens met het besturen van een vliegtuig: opstijgen en in de wolken komen, is niet het moeilijkste. Veilig terugkeren op de grond, dat is de uitdaging!

Leave a Reply

Your email address will not be published. Required fields are marked *