- Door
- Rashid Niamat
- geplaatst op
- 8 december 2014 08:01 uur
De vraag die elke cloudaanbieder onvermijdelijk te horen krijgt is: hoe veilig is de oplossing die mij wordt aangeboden? Je ziet dat er voor het beantwoorden van die vraag nogal wat tijd wordt gestoken in het uitleggen van de achterliggende techniek. Dat lijkt te werken, want cloudaanbieders groeien als kool. Maar is de vraag daarmee ook echt beantwoord?
Het antwoord is – uiteraard – nee, want de definitie van veilig is nergens gegeven. Wie verder in de materie duikt, ziet dat er anno 2014 nog steeds betrekkelijk weinig onderzoek beschikbaar is naar de veiligheidsaspecten die een rol spelen bij welke vorm van cloud dan ook. Eigenlijk is een van de beste onderzoeken op dit vlak nog steeds het rapport uit 2013 van de CSA “Cloudcomputing, Vulnerability Incidents, A Statistical Overview” (PDF). Laat je niet afschrikken door het jaartal of de mededeling dat het betrekking heeft op de periode 2008-2012. De opzet is namelijk nog steeds valide en de bevindingen blijven bruikbaar.
Wat de onderzoekers hebben gedaan is 39 (online) bronnen doorzoeken op begrippen die verwijzen naar cloudincidenten. Dat leverde 11.491 artikelen over incidenten op. Dat klinkt enorm veel, ook over een periode van 5 jaar. Wat blijkt echter, het aantal unieke échte cloudincidenten bedroeg in die periode slechts 172. De eerste conclusie is daarmee: er wordt veel van elkaar overgeschreven en er wordt regelmatig “Help! cloudincident!” geroepen, terwijl dat niet het geval is.
Een andere bevinding is dat in 75% van de gevallen de cloudaanbieders de oorzaak van het incident hebben genoemd, terwijl er geen wettelijk basis is om dat te moeten doen. Dit bewijst dat de meeste cloudproviders al langer doorhebben dat transparante communicatie loont.
Op basis van deze twee bevindingen kan gesteld worden dat het lang niet zo beroerd is gesteld met veiligheid van cloud als sommige doemdenkers verkondigen. Maar hoe maak je dat verder duidelijk? Het onderzoeksteam heeft daarom een voorstel gedaan cloudincidenten beter te categoriseren. Er zijn twaalf oorzaken van incidenten benoemd en concrete gevallen waarin dat een rol speelde. Overigens blijkt daar nadrukkelijk uit dat cloudincidenten niet uitsluitend een technische oorzaak hoeven te hebben!
Iedereen die aan klanten, eindgebruikers of partners wil uitleggen waarom zijn cloud veilig is, kan dat doen aan de hand van deze lijst. In de VS (CSA heeft roots in de VS) zijn er cloudproviders die het gewoon in de FAQs en dienstspecificaties hebben opgenomen. Makkelijker kan het tegengaan van ruis als gevolg van onjuiste klantperceptie en verkeerd gebruik van jargon bijna niet. Waarom doen Nederlandse cloudproviders dat nog niet?