Journalistiek

Onpartijdig, onafhankelijk nieuws, uitsluitend in dienst van het branchebelang.

CSA: NSA en juridische valkuilen staan veilige cloud in de weg

  • Door
  • Rashid Niamat
  • geplaatst op
  • 14 april 2014 08:01 uur

omslag-secure-cloud2014-smallVorige week besteedde ISPam.nl al aandacht aan de CSA-conferentie Secure Cloud die op 1 en 2 april in Amsterdam werd gehouden. Deze keer kijken we – zoals aangekondigd – nogmaals terug, maar beperken ons daarbij tot de onderwerpen NSA en Legal.

De tweede dag van de conferentie werd geopend door Richard Clarke. Clarke is voorzitter van de door Obama in het leven geroepen ‘Review Group on Intelligence and Communications Technology’ (link). Simpel gezegd heeft hij met vier anderen onderzocht wat de NSA de afgelopen jaren heeft uitgespookt en op basis daarvan Obama advies gegeven. Trots meldde hij dat alle adviezen zijn opgevolgd en dat daarmee een betere situatie is gecreëerd.

Beter, want de NSA zal zich nu (beter) gaan houden aan regels. De procedures worden aangescherpt zodat misbruik van bevoegdheden wordt voorkomen. Het spreekt voor zich dat in een zaal met een internationaal publiek deze speech met de nodige achterdocht werd aangehoord. Clarke deed zijn best de zaal te overtuigen dat het écht nu veel beter was dan ooit tevoren. Hij gaf politici die sinds 9/11 hadden zitten slapen een paar keer een veeg uit de pan. Zij hebben immers de NSA losgelaten en opdrachten gegeven die wel tot de ongehoorde afluisterpraktijken moesten leiden. Hij gaf als voorbeeld de vraag (vertaald): de Amerikaanse politiek wil weten hoe politici in land X over ons denken De NSA is geen marktonderzoeksbureau dus het is logisch dat ze voor het beantwoorden teruggrijpen op het enige dat ze kunnen – namelijk afluisteren. De reacties op dit soort voorbeelden waren gemengd.

Waar Clarke echt iedereen mee op de kast kreeg, was de opmerking dat als je veiligheid van data nastreeft je beter in de VS kan hosten dan elders. In de VS heeft de NSA immers weinig mogelijkheden in tegenstelling tot in het buitenland. Die ‘suggestie’ kon op brede kritiek uit de zaal rekenen. Zelfs Amerikaanse partijen die internationaal opereren, gaven te kennen geen prijs te stellen op dit soort opmerkingen. Wie denkt dat Clarke alleen maar uit was op het goedpraten van de NSA vorige en huidige volmachten werd even later flink door elkaar geschud. In zijn slotwoord riep hij allen op te werken aan (letterlijk!) “roadblocks to prevent a policestate”. Dat na de 45 minuten van Clarke de zaal klaar wakker (en in verwarring) was, spreekt voor zich.

Certificering
In de daarop volgende presentaties werd veel aandacht besteed aan certificering. De link met juridische en contractuele aspecten van clouddienstverlening stond niet hoog op de agenda, maar kwam onvermijdelijk keer op keer ter sprake. Interessant waren vragen als, wat is mijn certificering nog waard als een deel van de waardeketen wordt verkocht (aan China bijvoorbeeld); hoe verhoudt zich certificering van de cloud met contracten op B2G-niveau en zijn er grenzen aan het ‘right to audit’. Niet alle vragen werden plenair beantwoord, deels door gebrek aan tijd, deels ook omdat niet alle stakeholders aanwezig waren. Wel duidelijk werd dat als je kijkt naar certificeringen (zowel als leverancier als afnemer!) je echt niet moet uitgaan van een vrijbrief. Blijf kritisch, blijf vragen stellen (ook hier: leverancier en afnemer) en weet vooral ook dat het slechts 1 aspect van een contract is.

Of het op voorhand de bedoeling was van de organisatie van Secure Cloud is niet bekend, maar de keynote van Clarke en de kritische geluiden over certificeringen hadden wel effect. De meeste aanwezigen – zo bleek al tijdens de pauzes – verlieten de conferentie met huiswerk. Velen gaven aan dat er nog een hoop werk aan de winkel is. De weg die leidt naar secure in relatie tot cloud is voor leveranciers en afnemers lang en bezaaid met valkuilen.

Voor wie denkt dat al deze zorgen zwaar overdreven zijn en dat cloud al gesettled is in het IT-landschap: dit weekend publiceerde PWC een rapport over het vertrouwen in de cloud. Om een cijfer te noemen: 47% van de Duitse MKB-bedrijven noemt cloud het de grootste securityrisico’s (op deze en andere  scores komt ISPam binnenkort nog terug).

Vraag van de dag

Hoe belangrijk is het dat een cloudprovider ISO 27001 gecertificeerd is?
Bekijk resultaten

Peter HJ van Eijk, 15 april 2014 8:49 am

Goed stuk Rashid, mijn perspectief op securecloud staat op mijn site clubcloudcomputing.com

Rashid Niamat, 15 april 2014 9:27 am

Peter,
mooi jij gaat nog wat dieper in op de andere aspecten van Clarke's wonderbaarlijke betoog.

Feedback!
Fill out my online form.
Laatste reacties

Bedankt voor het succes van ISPam.nl
Koen Stegeman, Editor-in-Chief & founder Hostingjournalist.com: Jammer Arnout, maar je hebt een mooie bijdrage aan de hosting industrie geleverd, en dat jaren lang....

Bedankt voor het succes van ISPam.nl
Dillard Blom: Jammer dat een 'instituut' verdwijnt, en daarmee een bron van informatie over actuele zaken (en opin...

Bedankt voor het succes van ISPam.nl
L.: Uit automatisme kijk ik toch nog steeds elke dag naar ispam.nl, toch de hoop dat er nog een berichtj...

Bedankt voor het succes van ISPam.nl
Toni Donkers: Arnout bedankt! ik ga het missen dat is een feit!

Bedankt voor het succes van ISPam.nl
Marcel Stegeman: Ik zie het nu pas. Inderdaad jammer maar ik kijk nu al uit naar het volgende project.