Certificeren van “i-cloudoplossingen” schijnzekerheid?

 in IT-recht

Certificeren en dan denk ik voor de IT-branche aan standaarden als ISO 9001, ISO 27001 en 2, Nen 7510, en ISAE 3402 type 1, 2, of 3, waarmee de kwaliteit van de dienstverlening, de inhoudelijke correcte werking van systemen, veiligheid en dergelijke kan worden aangetoond is zeker zinvol. Het geeft geen zekerheid maar het is in ieder geval een basis. Het betrokken (i-cloud) management wordt ten minste gestimuleerd bepaalde belangrijke veiligheids- en continuïteitsaspecten actief in de gaten te houden. Niets is zeker in het leven en we lopen altijd risico’s. Het gaat erom dat je wel het liefst alle risico’s onderkent en vervolgens kiest voor een verantwoorde werkwijze om met die risico’s om te gaan. Met een certificaat kun je dan vervolgens achteraf aantonen dat je dat steeds hebt gedaan.

Angst voor Amerikanen die je privacy schenden of Chinezen, die er met je software vandoor gaan kun je ondervangen door de bijvoorbeeld SAAS-oplossing in een duidelijke en werkelijk afgeschermde Europese cloud te houden. Voor delicate systemen wordt in de praktijk nog steeds gekozen voor dedicated private cloud oplossingen.

Echte specifieke certificaten voor i-cloud oplossingen zijn nog niet voorhanden, maar dat zal niet lang meer duren. In de VS zie je dat het NIST (National Institute of Standards and Technology) bijvoorbeeld flink aan de weg timmert met standaardisatie voor veiligheidsassessments en checklists voor het inkopen en monitoren van cloud-diensten. De Europese commissie heeft het ook opgepakt en onderzoekt de mogelijkheden voor cloud-certificering, en dat zal ongetwijfeld ook gepaard gaan met nieuwe wetgeving. Er zijn nog veel meer initiatieven van bijvoorbeeld de stichting Euro Cloud Nederland die dit proces om te komen tot cloud-certificering ondersteunen.

Waar je je niet echt afdoende tegen kan beveiligen ondanks allerlei maatregelen en certificaten, zijn de aanvallen op systemen van criminele organisaties maar ook inlichtingendiensten, waarbij bijvoorbeeld zoals in de Diginotar -case een land als Iran je systemen heimelijk binnendringt. Daar worden hele teams van IT-specialisten opgezet die maandenlang bezig zijn om dit binnendringen technisch mogelijk te maken. Daar helpt geen certificaat of audit tegen, die had Diginotar echt wel. Er zijn inmiddels al zoveel voorbeelden van data inbraken, denk aan Linkedin recent, Sony-Playstation, KPN en alle creditcardmaatschappijen, dat de praktijk ook keihard aantoont dat het een illusie is om te denken dat je dit soort zaken altijd kan voorkomen. Daar moeten we vooral ook niet paniekerig mee omgaan, zoals de Nederlandse overheid deed met Diginotar.

Door de High Tech Crime Unit van het KLPD zijn sinds 2006 32 cyberaanvallen op Nederlandse bedrijven onderzocht. Daarbij werden tenminste 144.000 datarecords gestolen, aldus het Data Breach Investigations Report van beveiliger Verizon. De meeste aanvallen vonden plaats op financiële instellingen en op bedrijven met 10.000 tot 100.000 werknemers. De aanvallen waren vooral hacking-aanvallen maar ook het gebruik van malware kwam vaak voor. Driekwart van de aanvallen kwam van georganiseerde bendes.

Niet alleen criminelen, maar vooral zogenoemde hacktivisten maken zich schuldig aan computerinbraak en grootschalige data-diefstal. In tegenstelling tot de cybercriminelen willen de activisten geen geld, maar een statement maken. In 2011 waren ze goed voor 58% van de totaal ontvreemde data.  Dat blijkt uit een recenter onderzoek van provider Verizon, de Amerikaanse Secret Service en verschillende andere instellingen uit onder meer Ierland, Australië en Londen. Ook de Nederlandse tech-crime eenheid van de politie werkte mee. Ze onderzochten 855 data-inbraken waarbij 174 miljoen bestanden werden gestolen. Aanvallen op netwerken komen vanuit de hele wereld. Desondanks is er een regio die eruit springt: Oost-Europa. 70% van alle cybercrime wordt door de voormalige Oostbloklanden georganiseerd.

De behoefte aan goede certificaten voor i-cloudoplossingen alhoewel geen afdoende oplossing voor beveiliging van data is er natuurlijk onverkort. Het is ook van belang aan te kunnen tonen dat je i-cloudomgeving bijvoorbeeld voldoet aan de risicoprofielen die de Wet Bescherming Persoonsgegevens aan bedrijven en hun opdrachtgeefsters oplegt. Je kunt je aansprakelijkheid mogelijk beperken doordat je kunt aantonen in ieder geval de minimale of maximale beveiligingsnormen in acht te hebben genomen. Een elektronisch patiëntendossier is natuurlijk niet denkbaar zonder goede beveiligingsnormen en afdoende certificering. Overheden eisen ook veelal certificaten van hun opdrachtnemers bij aanbestedingen.  Die beveiligingsnormen die voor i-cloudoplossingen gecompliceerder zijn dan voor standaard meer klassiekere IT-producten, moeten nog grotendeels worden ontwikkeld. Belangrijk zijn praktisch gezien natuurlijk ook de technische ontwikkeling op beveiliging en het verbeteren van SSL producten en daarmee vergelijkbare producten. Het aanpakken en vervolgen van cybercrime door justitie en politie laat ook nog veel te wensen over zo zien wij helaas in de praktijk.

Als u vragen heeft over certificering kunt u zich wenden tot Bob Cordemeyer, Bob@cslaw.nl

 

Recent Posts
  • 16 januari 2018

    Waadi voor IT detacheerders groot risico

    Marion Hagenaars
    Stel: als IT ondernemer detacheert u eigen werknemers bij klanten. Met deze werknemers heeft u een relatiebeding gesloten met boeteclausule. U hoeft er dus niet bang voor te zijn dat deze werknemers gedurende het relatiebeding bij uw relaties gaan werken. Dit zou immers verlies van opdrachten en opdrachtgevers kunnen betekenen en dus aanzienlijke schade. Of
    Lees verder
  • 10 januari 2018

    “Je bent net een ijsje, ik zou je van onder tot boven willen likken”

    Marion Hagenaars
    Seksuele intimidatie op het werk. Hoe te voorkomen? “Ik moet even tussen je benen grabbelen”, “I’m not looking at your tits”, “Ik heb ook nog een paar lekkere noten”, Facebook-vriendschappen met scholieren, ongepaste uitspraken via WhatsApp en borsten en billen die worden vastgepakt. Grensoverschrijdend gedrag dat ontslag rechtvaardigt of passend binnen de bestaande “knuffelcultuur”? #MeToo
    Lees verder
  • 28 december 2017

    De bewijskracht van blockchain

    Wouter Huisman
    De laatste tijd gebeurde weer genoeg in het land van de cryptocurrencies. Zo steeg de waarde van bitcoin tot maar liefst 20.000 dollar, gaf de Amerikaanse toezichthouder CFTC groen licht voor de handel van futures in cryptovaluta, maar verloor de digitale coin rond de kerst weer bijna een derde van zijn waarde. Terwijl de koers
    Lees verder

Plaats een reactie