Certificeren van “i-cloudoplossingen” schijnzekerheid?

 in IT-recht

Certificeren en dan denk ik voor de IT-branche aan standaarden als ISO 9001, ISO 27001 en 2, Nen 7510, en ISAE 3402 type 1, 2, of 3, waarmee de kwaliteit van de dienstverlening, de inhoudelijke correcte werking van systemen, veiligheid en dergelijke kan worden aangetoond is zeker zinvol. Het geeft geen zekerheid maar het is in ieder geval een basis. Het betrokken (i-cloud) management wordt ten minste gestimuleerd bepaalde belangrijke veiligheids- en continuïteitsaspecten actief in de gaten te houden. Niets is zeker in het leven en we lopen altijd risico’s. Het gaat erom dat je wel het liefst alle risico’s onderkent en vervolgens kiest voor een verantwoorde werkwijze om met die risico’s om te gaan. Met een certificaat kun je dan vervolgens achteraf aantonen dat je dat steeds hebt gedaan.

Angst voor Amerikanen die je privacy schenden of Chinezen, die er met je software vandoor gaan kun je ondervangen door de bijvoorbeeld SAAS-oplossing in een duidelijke en werkelijk afgeschermde Europese cloud te houden. Voor delicate systemen wordt in de praktijk nog steeds gekozen voor dedicated private cloud oplossingen.

Echte specifieke certificaten voor i-cloud oplossingen zijn nog niet voorhanden, maar dat zal niet lang meer duren. In de VS zie je dat het NIST (National Institute of Standards and Technology) bijvoorbeeld flink aan de weg timmert met standaardisatie voor veiligheidsassessments en checklists voor het inkopen en monitoren van cloud-diensten. De Europese commissie heeft het ook opgepakt en onderzoekt de mogelijkheden voor cloud-certificering, en dat zal ongetwijfeld ook gepaard gaan met nieuwe wetgeving. Er zijn nog veel meer initiatieven van bijvoorbeeld de stichting Euro Cloud Nederland die dit proces om te komen tot cloud-certificering ondersteunen.

Waar je je niet echt afdoende tegen kan beveiligen ondanks allerlei maatregelen en certificaten, zijn de aanvallen op systemen van criminele organisaties maar ook inlichtingendiensten, waarbij bijvoorbeeld zoals in de Diginotar -case een land als Iran je systemen heimelijk binnendringt. Daar worden hele teams van IT-specialisten opgezet die maandenlang bezig zijn om dit binnendringen technisch mogelijk te maken. Daar helpt geen certificaat of audit tegen, die had Diginotar echt wel. Er zijn inmiddels al zoveel voorbeelden van data inbraken, denk aan Linkedin recent, Sony-Playstation, KPN en alle creditcardmaatschappijen, dat de praktijk ook keihard aantoont dat het een illusie is om te denken dat je dit soort zaken altijd kan voorkomen. Daar moeten we vooral ook niet paniekerig mee omgaan, zoals de Nederlandse overheid deed met Diginotar.

Door de High Tech Crime Unit van het KLPD zijn sinds 2006 32 cyberaanvallen op Nederlandse bedrijven onderzocht. Daarbij werden tenminste 144.000 datarecords gestolen, aldus het Data Breach Investigations Report van beveiliger Verizon. De meeste aanvallen vonden plaats op financiële instellingen en op bedrijven met 10.000 tot 100.000 werknemers. De aanvallen waren vooral hacking-aanvallen maar ook het gebruik van malware kwam vaak voor. Driekwart van de aanvallen kwam van georganiseerde bendes.

Niet alleen criminelen, maar vooral zogenoemde hacktivisten maken zich schuldig aan computerinbraak en grootschalige data-diefstal. In tegenstelling tot de cybercriminelen willen de activisten geen geld, maar een statement maken. In 2011 waren ze goed voor 58% van de totaal ontvreemde data.  Dat blijkt uit een recenter onderzoek van provider Verizon, de Amerikaanse Secret Service en verschillende andere instellingen uit onder meer Ierland, Australië en Londen. Ook de Nederlandse tech-crime eenheid van de politie werkte mee. Ze onderzochten 855 data-inbraken waarbij 174 miljoen bestanden werden gestolen. Aanvallen op netwerken komen vanuit de hele wereld. Desondanks is er een regio die eruit springt: Oost-Europa. 70% van alle cybercrime wordt door de voormalige Oostbloklanden georganiseerd.

De behoefte aan goede certificaten voor i-cloudoplossingen alhoewel geen afdoende oplossing voor beveiliging van data is er natuurlijk onverkort. Het is ook van belang aan te kunnen tonen dat je i-cloudomgeving bijvoorbeeld voldoet aan de risicoprofielen die de Wet Bescherming Persoonsgegevens aan bedrijven en hun opdrachtgeefsters oplegt. Je kunt je aansprakelijkheid mogelijk beperken doordat je kunt aantonen in ieder geval de minimale of maximale beveiligingsnormen in acht te hebben genomen. Een elektronisch patiëntendossier is natuurlijk niet denkbaar zonder goede beveiligingsnormen en afdoende certificering. Overheden eisen ook veelal certificaten van hun opdrachtnemers bij aanbestedingen.  Die beveiligingsnormen die voor i-cloudoplossingen gecompliceerder zijn dan voor standaard meer klassiekere IT-producten, moeten nog grotendeels worden ontwikkeld. Belangrijk zijn praktisch gezien natuurlijk ook de technische ontwikkeling op beveiliging en het verbeteren van SSL producten en daarmee vergelijkbare producten. Het aanpakken en vervolgen van cybercrime door justitie en politie laat ook nog veel te wensen over zo zien wij helaas in de praktijk.

Als u vragen heeft over certificering kunt u zich wenden tot Bob Cordemeyer, Bob@cslaw.nl

 

Recent Posts

Plaats een reactie