Cloud Computing Risico’s en risicoreductie
Inleiding
In dit overzicht staan de verschillende aandachtspunten rond Cloud Computing gegroepeerd rond het thema risico’s en risicoreductie. Doel van het overzicht is helderheid te verschaffen over de punten waar een organisatie aan moet denken als die structureel gebruik gaat maken van Cloud Computing.
Bronnen
Bronnen voor dit overzicht zijn onder meer informatie uit documentatie van ENISA, Berkely University en de Cloud Security Alliance.
Cloud Computing
In dit overzicht gebruik ik de volgende definitie van Cloud Computing.
De Cloud scheidt applicatie en informatiebronnen van de onderliggende structuur en de mechanismen om ze te leveren. Deze definitie beperkt zich hier tot Software as a Service (SaaS). Andere XaaS Cloud Computing vormen zijn hiermee uitgesloten van de beschouwingen in dit overzicht.
De overgang naar Cloud Computing gaat gepaard met emotie. Een organisatie geeft zijn data ‘weg’ aan een externe partij en wat overblijft is een gevoel van verlies van controle. Control wil zeggen dat er deugdelijke controles aanwezig zijn en dat hun effectiviteit bewezen is. De rationele component bij een overgang naar Cloud Computing regelt dat er contracten zijn met mantelovereenkomsten en SLA’s, dat de beveiliging ingebouwd is en dat verantwoordelijkheden worden overgedragen.
Business belangen
Cloud Computing komt niet uit de lucht vallen en het is geen IT speeltje maar de business belangen spelen een grote rol. Toch moet goed worden beoordeeld in hoeverre de business belangen niet worden belemmerd door de overgang naar de Cloud. Dat kan door de verschillende bedrijfsprocessen en de daarmee gepaard gaande informatie te beoordelen op geschiktheid voor Cloud Computing. Ruwweg zijn er drie vormen mogelijk: geschikt, na aanpassing geschikt en ongeschikt. Verder zijn er verschillende vormen van Cloud Computing mogelijk tussen de beide uitersten Private Cloud en Public Cloud, denk hierbij aan Private Cloud (intern of on site), Private Cloud (extern, inclusief dedicated of gedeelde infrastructuur), Hybride omgevingen, Community en Public Cloud. De organisatie moet eerst per bedrijfsproces of -applicatie bepalen of dit geschikt is voor de Cloud. Daarna volgt de vaststelling welk type Cloud het meest geschikt is.
Voor het bepalen in hoeverre een bedrijfsproces of –applicatie geschikt is voor de Cloud, is de beantwoording van de volgende vragen essentieel.
CBP-SIOD: 1-0
In 2009 heeft het College Bescherming Persoonsgegevens (CBP) een onderzoek verricht bij de Sociale Inlichtingen en Opsporings Dienst (SIOD), onderdeel van het ministerie van SZW. De SIOD doet onderzoek naar fraude onder uitkeringsgerechtigden en maakt hierbij gebruik van gekoppelde bestanden met persoonsgegevens. Bij het onderzoek van het CBP werd de nadruk gelegd op een aantal aspecten uit de Wet bescherming persoonsgegevens (Wbp). Het rapport is leesbaar en bevat relevante informatie over de wijze waarop het CBP het onderzoek heeft uitgevoerd. Datzelfde rapport laat enkele vragen onbeantwoord. Vandaar dat ik wat dieper inga op de onderzoekswijze en op zoek ga naar onbeantwoorde vragen.
Toen de SIOD begon met het inrichten van een organisatie en het opstellen van een onderzoeksmethode om uitkeringsfraude te herkennen hebben zij het CBP hierbij betrokken. Dit wekt de indruk dat de onderzoeksmethode de initiële goedkeuring heeft van het CBP.
Het CBP heeft de uitgangpunten in de documenten van de SIOD getoetst. Daarnaast heeft het CBP een of meer huisbezoeken afgelegd en medewerkers op verschillende locaties geïnterviewd. Het conceptrapport met de bevindingen is gedeeld met het ministerie van SZW en op basis van (toelichtende) antwoorden is de definitieve versie vastgesteld. Dit lijkt mij een correcte wijze van onderzoeken, waarbij ik er gemakshalve van uit ga dat het CBP zich netjes heeft gemeld bij de SIOD met een verzoek om interviews af te mogen nemen en niet in het geniep heeft gehandeld.
Bij het lezen van het rapport vroeg ik mij meteen af wat de aanleiding is geweest voor het onderzoek. Zelfs als dit is afgesproken in het voorgaande traject, dan zou je hier nog steeds een verwijzing naar deze afspraak verwachten.
De onderzoekers zijn diep in de door de SIOD toegepaste werkwijze gedoken. Wat ik niet aantrof is een beoordeling van de mate waarin het geoorloofd is dat bestanden (van uitkeringsgerechtigden, waterverbruik en kadastergegevens) worden gekoppeld. Tevens blijkt nergens dat er toestemming is van de in deze registraties opgenomen personen, of dat zij over de koppeling geïnformeerd zijn. In het rapport staat wel een bevinding dat men over de koppeling voor het SIOD onderzoek geïnformeerd had moeten worden. Mijn punt gaat echter over de bronbestanden, vóór de koppeling. Daar heeft het CBP een kans laten liggen.
Een andere vraag waar het CBP niet over schrijft heeft betrekking op de doelbinding, proportionaliteit en subsidiariteit. Is de schending van de privacy wel voldoende beperkt en waren er geen lichtere middelen mogelijk om kennelijke frauduleuze praktijken in beeld te brengen? Zelfs als dit in orde is dan nog was het een goed punt geweest van de onderzoekers van het CBP om dit mee te nemen in de rapportage.
Ik zie nieuwe mogelijkheden (en risico’s, afhankelijk van je standpunt) voor de “slimme” elektriciteitsmeters die op afstand kunnen worden uitgelezen. Wie zegt dat big brother SIOD niet meeleest?
Clean desk voor beginners
Alles na werktijd opgeruimd en achter slot en grendel, is de vaak gehoorde vertaling van een clean desk policy. “O, daar heb je die veldwachter weer, met zijn moeilijke praatjes” is de reactie van het grootste deel van de gebruikersgroep als er gele kaarten worden uitgedeeld. De werkelijkheid ligt zoals gewoonlijk ergens in het midden.
Is het wel nodig om alles op te bergen na werktijd? Een organisatie moet goed nadenken over de verwachte veiligheidsopbrengst van een maatregel en over de wijze waarop deze wordt ingevoerd en gecontroleerd. Voor veel bedrijven zal het bij de meeste afdelingen geen grote noodzaak zijn om alles op te bergen – er ligt gewoon geen interessante informatie. Pas als je op financiële afdelingen, de voorraadadministratie, rekenkamer, Research & Development afdelingen, personeelszaken of bij IT beheer komt kun je bijzondere informatie aantreffen. Mocht daar een deel van in handen komen van (sensatie) journalisten of concurrenten, dan kan dat behoorlijke schade aanrichten voor de organisatie als geheel. Op dit soort afdelingen is men zich vaak wel bewust van de aard van de gegevens en wordt daarnaar gehandeld.
Desondanks wordt de clean desk policy vaak alleen na werktijd toegepast, terwijl de afdeling verlaten is tijdens de lunchpauze, afdelingsvergaderingen of productpresentaties.
Voor een goed uitgevoerd clean desk beleid is het wenselijk dat betrokkenen zich realiseren dat het om het belang van de informatie voor de organisatie gaat en niet om het op afstand houden van de lokale veldwachter. Als het kwartje eenmaal gevallen is zal de vertrouwelijke informatie nog beter beschermd worden en ook bij tussentijdse afwezigheid worden opgeborgen. Door medewerkers persoonlijk verantwoordelijk te maken voor het afsluiten van kasten en ladenblokken wordt de betrokkenheid vergroot. Afdelingen onderling met elkaar laten strijden voor de minste gele kaarten is een van de manieren om het doel (clean desk) te bereiken.
Voor deze maatregel geldt dat zichtbare betrokkenheidvan het management (geen vertrouwelijke informatie laten liggen) noodzakelijk is voor het slagen van de invoering. Zoals het spreekwoord gaat: “Zo de ouden zongen, piepen de jongen”.
En populair gezegd: “Apie ziet – Apie doet”.
Security in cloud computing
Cloud computing is “in”. Alleen een afspraak of contract met je directe leverancier, misschien nog een contactpersoon in je organisatie en alle techniek de deur uit. De ideale oplossing voor al je beheerproblemen – als alles werkt. In de praktijk zijn er veel haken en ogen te vinden bij cloud computing of outsourcing van je applicaties. Want bij intern beheer weet je bijvoorbeeld wie er aan je spullen zit. Je weet zeker dat je grootste concurrent niet zijn databases in hetzelfde datacenter heeft draaien als jij. Of als je applicatie het niet doet, dan weet je de verantwoordelijke manager snel te vinden. Verder weet je zeker dat je gegevens niet in andere landen terecht komen, waar andere regels gelden voor geheimhouding of schending van privacy.
Bij cloud computing is dat een ander verhaal. De beheerpartij kan de apparatuur weer ergens anders hebben onder gebracht en ook de datalijnen kunnen elders zijn uitbesteedt. Zelf kan de technische partij die de apparatuur huisvest een parallel datacentrum hebben in een land hier ver vandaan – buiten de EU en de daaraan verbonden wetgeving. Ongewild en ongeweten kun je zo risico’s lopen met de vertrouwelijkheid van je gegevens. De Amerikaanse wetgeving gaat heel anders om met privacybescherming en datastromen dan de EU wetgeving.
Voordat je je bedrijfskritische applicaties onderbrengt in ‘the cloud’ moet je je er van bewust zijn dat ook deze dienstenleveranciers fouten maken en dat je daar last van kunt ondervinden. Denk aan de storing in 2009 bij Google, waardoor Google-docs enkele uren niet beschikbaar was. Bij eigen beheer of intern beheer heeft een organisatie de mogelijkheid prioriteiten te stellen die van invloed (kunnen) zijn op de oplossingssnelheid van incidenten. Bij cloud applicaties (SAAS) ben je een van de vele klanten in de rij en kun je alleen afwachten en hopen dat de dienst weer snel beschikbaar wordt.
Ook al loop je met je hoofd in de cloud, let ook op de aardse zaken.
Geen contant geld meer?
De consumentenbond roept en Telfort doet – contant geld verdwijnt. Ondanks de lachwekkende complottheoriën die je aan een dergelijk bericht kunt ophangen wil ik hier wel op ingaan.
Het opheffen van de mogelijkheid tot contante betaling is in wezen een grote aanslag op de privacy. Door de geavanceerde kassystemen met automatische voorraadcontrole en het register van elektronische betalingen waar banken over beschikken (en daar mee de overheid – tegenwoordig zelfs letterlijk) is het steeds eenvoudiger om te zien waar iemand zijn geld aan heeft uitgegeven. Dit was natuurlijk al mogelijk met behulp van de RFID chips in de bankbiljetten, de gelduitgifte automaten en de pinpas combinatie, maar het wordt zonder contant geld veel eenvoudiger om iemand te volgen.
Het eerste dat bij mij opkomt is dat de ruilhandel het goed zal gaan doen. Wie onder de radar van de overheid wil blijven zal moeten ruilen om in leven te blijven. Een winkeloverval levert namelijk geen geld meer op – een prettige bijkomstigheid van het voorstel. Keerzijde is wel dat overvallen op woningen of voorbijgangers (waar waardevolle te ruilen artikelen te vinden zijn) vaker zullen voorkomen. Daarnaast wordt het betaalsysteem wel bijzonder kwetsbaar. Bij stroomstoringen is er geen alternatieve betaalwijze meer als de kassa’s zijn uitgevallen (vooropgesteld dat er nog cassières zijn die kunnen rekenen). Op eenvoudige wijze kunnen kwaadwillende sujetten de economie stilleggen, zeker een handelsnatie als Nederland kan lijden onder een grote storing in het betalingsverkeer.
In de praktijk zal blijken dat fysiek geld blijft bestaan, al was het maar voor het muntje in de winkelwagen, voor de Straatkrant of de kroket uit de muur. Voor microbetalingen in winkels hebben we de chipknip, voor de rest een pinpas of creditcard.
Zul je net zien, heeft de overheid een bank gekocht, gaan ze het geld afschaffen. Dat is pas kapitaalvernietiging!
Toezicht op EPD moeilijk?
Sinds de invoering van het Elektronisch Patiëntendossier (EPD) is er veel gedoe geweest rondom de borging van de privacy. Die leek namelijk op voorhand al niet gegarandeerd of waterdicht. Naar nu blijkt mogen er wel heel veel mensen kijken in het dossier, zolang de patiënt daar geen bezwaar tegen maakt. De standaard instelling is “iedereen mag kijken”. Hetgeen in in tegenstelling is tot een best-practice voor vertrouwelijke informatie, die normaal gesproken alleen op “need-to-know” basis toegankelijk is. Dit betreft niet alleen de directe zorgverleners , maar ook hun assistenten, en collega’s die gevraagd worden naar hun visie. Dat is nog wel verklaarbaar, maar ik het er meer moeite mee dat de secretariële ondersteuning, de functionele beheerders van het feitelijke dossier en de financiële afdeling ook inzage hebben in de patiëntendossiers. Dat kun je nauwelijks meer proportioneel noemen.
Aan deze ruimhartige toekenning van inkijkrechten is geen streng toezicht gekoppeld. In tegendeel, controle vindt alleen achteraf plaats. Maar omdat voor elke inzage in een dossier een registratieregel wordt geschreven levert dat onnoemelijk veel werk op. De mogelijke verantwoordelijke afdelingen van het ministerie van VWS (IGZ, NICTIZ) zijn, net als het CBP, te klein om deze taak naar behoren uit te kunnen voeren. De enige garantie tegen misbruik is het ethisch normbesef dat alle gebruikers moet het EPD moeten hebben. Wat je ook volgens het CBP niet erg goed kunt noemen.
Er is wel een manier om misbruik aan te tonen. Iedere burger heeft volgens de Wet bescherming persoonsgegevens het recht te weten wat er over hem is vastgelegd en wie zijn medische gegevens heeft geraadpleegd.
De bal ligt nu bij ons.
Function creep
We klagen op internet over big brother Google en we gebruiken dan maar Bing (van Microsoft) als alternatieve zoekmachine. We gebruiken (ok, soms tegen wil en dank) de OV chipcard en we klagen op voorhand over de kilometerheffingen de autokastjes die dit moeten regelen. Alle gegevens worden echter verzameld met een specifieke doelstelling zoals marketing, advertenties verkopen of (OV)reiskilometers verkopen.
Er zijn ook voorbeelden te bedenken van gegevensverzamelingen die van overheidswege worden aangelegd, maar waar niets mee wordt gedaan. Bijvoorbeeld de bewakingscamera’s in de straat, waar geen bewaker achter zit. Veel van de camerabeelden worden alleen bekeken als daar aanleiding voor is, naderhand meestal. GSM gegevens (lokatiegegevens en gespreksinformatie van mobiele telefoons) hebben als doel de telecomprovider van informatie te voorzien waarop hij zijn facturen kan baseren. Internet service providers moeten ook gegevens vastleggen en dat is speciaal om boeven te vangen die te stom zijn om encryptie toe te passen. Dit zijn allemaal duidelijke onderbouwingen voor specifieke doelen waarvoor (persoons)gegevens worden verzameld.
Het wordt een beetje bijzonder met de camerabeelden van particulieren. Denk hierbij aan de beelden van Yolante en Wesley in de parkeergarage. Hier was geen overheid verantwoordelijk voor de camera, de beelden en het gebruik ervan. En als er wat wat overheid aan te pas kwam dan was de uitvoering van het beleid ver beneden peil.
Bij de OVchipcard wordt op voorhand al aangegeven dat bij zwaarwegende noodzaak inzage in de database wordt gegeven voor andere doeleinden dan de primaire. Een van de discussies over het taxkastje in de auto bij de kilometerheffing gaat over de verzameling van gegevens. Het is nog niet bekend wát er allemaal wordt vastgelegd in het kastje.
De ondertoon in deze discussie is het gebrekkige vertrouwen in de minister (of de regering) die de kilometerheffing wil. Want dit kabinet kan wel mooi zeggen dat niemand zomaar inzage krijgt in de gegevens. Maar als er morgen of volgend jaar een nieuw kabinet is, wat zeggen die dan? Daarnaast zijn de gegevens wél voorradig. Dan is de invoering van een noodwetje of reparatiewet voldoende om het gebruik van deze grote database uit te breiden met nieuwe doeleinden. Dat heet function creep.
Maar ik vind het creepy.
Meldplicht voor gegevenslekken?
BOF stelt een uitbreiding van de Wet bescherming persoonsgegevens (Wbp) voor. Bewerkers van verzamelingen persoonsgegevens moeten het publiekelijk bekend maken als zij gegevens hebben gelekt. Ik vraag mij af wat hier de toegevoegde waarde van is. Behalve de onrust die een dergelijke melding zal of kan veroorzaken, en het daarbij behorende (terechte, begrijp mij niet verkeerd) ongemak van deze bewerker, levert het verder niets op. Bewerkers gaan door met het verzamelen en bewerken van persoonsgegevens. En als het meezit hebben ze de beveiliging een beetje (goed) op orde. Tegen een inside-job is geen organisatie bestand, net zoals stommiteiten ook in de strengst dichtgeregelde situaties voor kunnen komen.
Laten we ons eens buigen over de vraag waarom er zo paniekerig wordt gereageerd op verloren of gestolen persoonsgegevens. Primair is dat omdat ze veel waarde hebben. De gegevens hebben die waarde omdat ze eenvoudig te verhandelen zijn en daarna – met de juiste middelen – eenvoudig gebruikt kunnen worden. Bij veel aanhoudingen in bijvoorbeeld Amsterdam wordt geconstateerd dat de arrestant valse persoonsgegevens opgaf. Kennelijk is het met de goede informatie eenvoudig om je een andere identiteit aan te meten.
Het zwaartepunt van de bescherming van persoonsgegevens zou bij de voorkoming van illegaal hergebruik moeten liggen. Natuurlijk horen de gegevens met passende maatregelen te worden omgeven en beschermd te worden naar de actuele stand der techniek Maar vooral moet het veel moeilijker worden de gestolen gegevens opnieuw te gebruiken.
En dat melden dan? Dat moet wel worden gedaan. Je hebt tenslotte je persoonsgegevens afgegeven in goed vertrouwen van het beheer. Dan is het wel zo netjes om te melden dat je gegevens kwijt zijn geraakt.
Informatiebeveiliging 