Certificeren van “i-cloudoplossingen” schijnzekerheid?

 in IT-recht

Certificeren en dan denk ik voor de IT-branche aan standaarden als ISO 9001, ISO 27001 en 2, Nen 7510, en ISAE 3402 type 1, 2, of 3, waarmee de kwaliteit van de dienstverlening, de inhoudelijke correcte werking van systemen, veiligheid en dergelijke kan worden aangetoond is zeker zinvol. Het geeft geen zekerheid maar het is in ieder geval een basis. Het betrokken (i-cloud) management wordt ten minste gestimuleerd bepaalde belangrijke veiligheids- en continuïteitsaspecten actief in de gaten te houden. Niets is zeker in het leven en we lopen altijd risico’s. Het gaat erom dat je wel het liefst alle risico’s onderkent en vervolgens kiest voor een verantwoorde werkwijze om met die risico’s om te gaan. Met een certificaat kun je dan vervolgens achteraf aantonen dat je dat steeds hebt gedaan.

Angst voor Amerikanen die je privacy schenden of Chinezen, die er met je software vandoor gaan kun je ondervangen door de bijvoorbeeld SAAS-oplossing in een duidelijke en werkelijk afgeschermde Europese cloud te houden. Voor delicate systemen wordt in de praktijk nog steeds gekozen voor dedicated private cloud oplossingen.

Echte specifieke certificaten voor i-cloud oplossingen zijn nog niet voorhanden, maar dat zal niet lang meer duren. In de VS zie je dat het NIST (National Institute of Standards and Technology) bijvoorbeeld flink aan de weg timmert met standaardisatie voor veiligheidsassessments en checklists voor het inkopen en monitoren van cloud-diensten. De Europese commissie heeft het ook opgepakt en onderzoekt de mogelijkheden voor cloud-certificering, en dat zal ongetwijfeld ook gepaard gaan met nieuwe wetgeving. Er zijn nog veel meer initiatieven van bijvoorbeeld de stichting Euro Cloud Nederland die dit proces om te komen tot cloud-certificering ondersteunen.

Waar je je niet echt afdoende tegen kan beveiligen ondanks allerlei maatregelen en certificaten, zijn de aanvallen op systemen van criminele organisaties maar ook inlichtingendiensten, waarbij bijvoorbeeld zoals in de Diginotar -case een land als Iran je systemen heimelijk binnendringt. Daar worden hele teams van IT-specialisten opgezet die maandenlang bezig zijn om dit binnendringen technisch mogelijk te maken. Daar helpt geen certificaat of audit tegen, die had Diginotar echt wel. Er zijn inmiddels al zoveel voorbeelden van data inbraken, denk aan Linkedin recent, Sony-Playstation, KPN en alle creditcardmaatschappijen, dat de praktijk ook keihard aantoont dat het een illusie is om te denken dat je dit soort zaken altijd kan voorkomen. Daar moeten we vooral ook niet paniekerig mee omgaan, zoals de Nederlandse overheid deed met Diginotar.

Door de High Tech Crime Unit van het KLPD zijn sinds 2006 32 cyberaanvallen op Nederlandse bedrijven onderzocht. Daarbij werden tenminste 144.000 datarecords gestolen, aldus het Data Breach Investigations Report van beveiliger Verizon. De meeste aanvallen vonden plaats op financiële instellingen en op bedrijven met 10.000 tot 100.000 werknemers. De aanvallen waren vooral hacking-aanvallen maar ook het gebruik van malware kwam vaak voor. Driekwart van de aanvallen kwam van georganiseerde bendes.

Niet alleen criminelen, maar vooral zogenoemde hacktivisten maken zich schuldig aan computerinbraak en grootschalige data-diefstal. In tegenstelling tot de cybercriminelen willen de activisten geen geld, maar een statement maken. In 2011 waren ze goed voor 58% van de totaal ontvreemde data.  Dat blijkt uit een recenter onderzoek van provider Verizon, de Amerikaanse Secret Service en verschillende andere instellingen uit onder meer Ierland, Australië en Londen. Ook de Nederlandse tech-crime eenheid van de politie werkte mee. Ze onderzochten 855 data-inbraken waarbij 174 miljoen bestanden werden gestolen. Aanvallen op netwerken komen vanuit de hele wereld. Desondanks is er een regio die eruit springt: Oost-Europa. 70% van alle cybercrime wordt door de voormalige Oostbloklanden georganiseerd.

De behoefte aan goede certificaten voor i-cloudoplossingen alhoewel geen afdoende oplossing voor beveiliging van data is er natuurlijk onverkort. Het is ook van belang aan te kunnen tonen dat je i-cloudomgeving bijvoorbeeld voldoet aan de risicoprofielen die de Wet Bescherming Persoonsgegevens aan bedrijven en hun opdrachtgeefsters oplegt. Je kunt je aansprakelijkheid mogelijk beperken doordat je kunt aantonen in ieder geval de minimale of maximale beveiligingsnormen in acht te hebben genomen. Een elektronisch patiëntendossier is natuurlijk niet denkbaar zonder goede beveiligingsnormen en afdoende certificering. Overheden eisen ook veelal certificaten van hun opdrachtnemers bij aanbestedingen.  Die beveiligingsnormen die voor i-cloudoplossingen gecompliceerder zijn dan voor standaard meer klassiekere IT-producten, moeten nog grotendeels worden ontwikkeld. Belangrijk zijn praktisch gezien natuurlijk ook de technische ontwikkeling op beveiliging en het verbeteren van SSL producten en daarmee vergelijkbare producten. Het aanpakken en vervolgen van cybercrime door justitie en politie laat ook nog veel te wensen over zo zien wij helaas in de praktijk.

Als u vragen heeft over certificering kunt u zich wenden tot Bob Cordemeyer, Bob@cslaw.nl

 

Recent Posts
  • 20 juni 2017

    Einde oefening voor werknemer na liegen over klantbezoek en het uiten van dreigementen

    Marion Hagenaars
    Een ontslag op staande voet is vaak wikken en wegen. Zijn de gedragingen ernstig genoeg? Kunnen de gedragingen worden bewezen? Zijn er (privé) omstandigheden die de gedragingen rechtvaardigen? Gaat het niet te ver om de werknemer loon en uitkering te ontnemen? Maar soms maakt een werknemer het zo bont dat een ontslag op staande onvermijdelijk
    Lees verder
  • 13 juni 2017

    Zelfstandig werken onder eigen voorman, toch StiPP

    Marion Hagenaars
    Voor uitleners blijft het spannend. Nederland kent dan wel geen algemene pensioenverplichting, maar via het verplicht gesteld bedrijfstakpensioenfonds voor personeelsdiensten kan deze verplichting toch bestaan. De gevolgen zijn verstrekkend. Ongevraagd met terugwerkende kracht aangesloten worden, over jaren premies afdragen met soms faillissement tot gevolg, dubbele pensioenvoorzieningen met alle fiscale gevolgen van dien. Het is dan
    Lees verder
  • 8 juni 2017

    Thuiswerkdag recht of gunst?

    Marion Hagenaars
    De meeste werkgevers hebben er wel begrip voor: thuiswerken om efficiënter te kunnen werken, reistijd te beperken of werk en zorg beter te kunnen combineren. Maar soms slaat de twijfel toe. Worden de overeengekomen arbeidsuren wel gemaakt? En werkt thuiswerken disfunctioneren niet in de hand? En kan bij deze twijfel de thuiswerkdag zomaar weer worden
    Lees verder

Plaats een reactie