Certificeren van “i-cloudoplossingen” schijnzekerheid?

 in IT-recht

Certificeren en dan denk ik voor de IT-branche aan standaarden als ISO 9001, ISO 27001 en 2, Nen 7510, en ISAE 3402 type 1, 2, of 3, waarmee de kwaliteit van de dienstverlening, de inhoudelijke correcte werking van systemen, veiligheid en dergelijke kan worden aangetoond is zeker zinvol. Het geeft geen zekerheid maar het is in ieder geval een basis. Het betrokken (i-cloud) management wordt ten minste gestimuleerd bepaalde belangrijke veiligheids- en continuïteitsaspecten actief in de gaten te houden. Niets is zeker in het leven en we lopen altijd risico’s. Het gaat erom dat je wel het liefst alle risico’s onderkent en vervolgens kiest voor een verantwoorde werkwijze om met die risico’s om te gaan. Met een certificaat kun je dan vervolgens achteraf aantonen dat je dat steeds hebt gedaan.

Angst voor Amerikanen die je privacy schenden of Chinezen, die er met je software vandoor gaan kun je ondervangen door de bijvoorbeeld SAAS-oplossing in een duidelijke en werkelijk afgeschermde Europese cloud te houden. Voor delicate systemen wordt in de praktijk nog steeds gekozen voor dedicated private cloud oplossingen.

Echte specifieke certificaten voor i-cloud oplossingen zijn nog niet voorhanden, maar dat zal niet lang meer duren. In de VS zie je dat het NIST (National Institute of Standards and Technology) bijvoorbeeld flink aan de weg timmert met standaardisatie voor veiligheidsassessments en checklists voor het inkopen en monitoren van cloud-diensten. De Europese commissie heeft het ook opgepakt en onderzoekt de mogelijkheden voor cloud-certificering, en dat zal ongetwijfeld ook gepaard gaan met nieuwe wetgeving. Er zijn nog veel meer initiatieven van bijvoorbeeld de stichting Euro Cloud Nederland die dit proces om te komen tot cloud-certificering ondersteunen.

Waar je je niet echt afdoende tegen kan beveiligen ondanks allerlei maatregelen en certificaten, zijn de aanvallen op systemen van criminele organisaties maar ook inlichtingendiensten, waarbij bijvoorbeeld zoals in de Diginotar -case een land als Iran je systemen heimelijk binnendringt. Daar worden hele teams van IT-specialisten opgezet die maandenlang bezig zijn om dit binnendringen technisch mogelijk te maken. Daar helpt geen certificaat of audit tegen, die had Diginotar echt wel. Er zijn inmiddels al zoveel voorbeelden van data inbraken, denk aan Linkedin recent, Sony-Playstation, KPN en alle creditcardmaatschappijen, dat de praktijk ook keihard aantoont dat het een illusie is om te denken dat je dit soort zaken altijd kan voorkomen. Daar moeten we vooral ook niet paniekerig mee omgaan, zoals de Nederlandse overheid deed met Diginotar.

Door de High Tech Crime Unit van het KLPD zijn sinds 2006 32 cyberaanvallen op Nederlandse bedrijven onderzocht. Daarbij werden tenminste 144.000 datarecords gestolen, aldus het Data Breach Investigations Report van beveiliger Verizon. De meeste aanvallen vonden plaats op financiële instellingen en op bedrijven met 10.000 tot 100.000 werknemers. De aanvallen waren vooral hacking-aanvallen maar ook het gebruik van malware kwam vaak voor. Driekwart van de aanvallen kwam van georganiseerde bendes.

Niet alleen criminelen, maar vooral zogenoemde hacktivisten maken zich schuldig aan computerinbraak en grootschalige data-diefstal. In tegenstelling tot de cybercriminelen willen de activisten geen geld, maar een statement maken. In 2011 waren ze goed voor 58% van de totaal ontvreemde data.  Dat blijkt uit een recenter onderzoek van provider Verizon, de Amerikaanse Secret Service en verschillende andere instellingen uit onder meer Ierland, Australië en Londen. Ook de Nederlandse tech-crime eenheid van de politie werkte mee. Ze onderzochten 855 data-inbraken waarbij 174 miljoen bestanden werden gestolen. Aanvallen op netwerken komen vanuit de hele wereld. Desondanks is er een regio die eruit springt: Oost-Europa. 70% van alle cybercrime wordt door de voormalige Oostbloklanden georganiseerd.

De behoefte aan goede certificaten voor i-cloudoplossingen alhoewel geen afdoende oplossing voor beveiliging van data is er natuurlijk onverkort. Het is ook van belang aan te kunnen tonen dat je i-cloudomgeving bijvoorbeeld voldoet aan de risicoprofielen die de Wet Bescherming Persoonsgegevens aan bedrijven en hun opdrachtgeefsters oplegt. Je kunt je aansprakelijkheid mogelijk beperken doordat je kunt aantonen in ieder geval de minimale of maximale beveiligingsnormen in acht te hebben genomen. Een elektronisch patiëntendossier is natuurlijk niet denkbaar zonder goede beveiligingsnormen en afdoende certificering. Overheden eisen ook veelal certificaten van hun opdrachtnemers bij aanbestedingen.  Die beveiligingsnormen die voor i-cloudoplossingen gecompliceerder zijn dan voor standaard meer klassiekere IT-producten, moeten nog grotendeels worden ontwikkeld. Belangrijk zijn praktisch gezien natuurlijk ook de technische ontwikkeling op beveiliging en het verbeteren van SSL producten en daarmee vergelijkbare producten. Het aanpakken en vervolgen van cybercrime door justitie en politie laat ook nog veel te wensen over zo zien wij helaas in de praktijk.

Als u vragen heeft over certificering kunt u zich wenden tot Bob Cordemeyer, Bob@cslaw.nl

 

Recente berichten
  • 9 december 2019

    Wet arbeidsmarkt in balans (WAB) en slapende dienstverbanden

    Marion Hagenaars
    Met ingang van 1 januari 2020 treedt de Wet arbeidsmarkt in balans (WAB) in werking. Het doel van deze wet is om de balans tussen vaste en flexibele arbeidsovereenkomsten te verbeteren. Opnieuw wijzigt het arbeidsrecht op belangrijke onderdelen. Verder heeft de Hoge Raad zich recent uitgelaten over de slapende dienstverbanden. In dit bericht wordt achtereenvolgens
    Lees verder
  • 9 december 2019

    Uitnodiging bijeenkomst: Actualiteiten arbeidsrecht voor HR-professionals 14 januari 2020

    Marion Hagenaars
    Nieuwe wet- en regelgeving volgen elkaar in hoog tempo op met grote gevolgen voor de HR-praktijk. Tijdens deze bijeenkomst worden de belangrijkste arbeidsrechtelijke ontwikkelingen van 2019 en het nieuwe recht per 1 januari 2020 besproken. Hierbij worden praktische handvatten voor uw dagelijkse praktijk aangeboden. Wat staat er op het programma: de Wet Arbeidsmarkt in Balans
    Lees verder
  • 31 oktober 2019

    Uw ziekmelding wordt niet geaccepteerd! Of toch wel?

    Marion Hagenaars
    Lastige gesprekken met werknemers. Over functioneren, samenwerkingsproblemen, houding en gedrag. En dan – u had het al voorzien – een ziekmelding. Soms met een enkel WhatsApp bericht. U bent geen arts, maar bij een ziekmelding in dergelijke omstandigheden plaatst u vraagtekens. Er lijkt immers meer sprake te zijn van een “vlucht in ziekte”. U besluit
    Lees verder

Plaats een reactie

Top