De cloud – ICT in de wolken, benen op de grond.

Uw gegevens staan in de cloud. Is het niet uw cloud, dan wel die van een ander. Is dat eigenlijk veilig?

Geen wolk

De cloud is natuurlijk niet echt een wolk. Elke cloud staat uiteindelijk ergens op de grond in een kelder. Metaal en silicium. Het wolkje is ooit bedacht door IT-architecten die een manier zochten om in een netwerktekening aan te geven dat locatie en verbinding vaag waren.

“ICT in de wolken, benen op de grond. Lees meer over de (on)veiligheid van de cloud in opiniestuk @peterzinn”
Tweet this!

Als u gebruik maakt van de cloud dan staat uw data dus ergens anders. Of u gebruikt de rekenkracht van computers die ergens anders staan. Kan allebei. En die computers ergens anders, die kunt u volledig in eigen beheer hebben, maar u kunt ook gebruik maken van de software die de leverancier u levert. Of iets er tussenin.

De cloud is natuurlijk niet echt een wolk. Elke cloud staat uiteindelijk ergens op de grond in een kelder.

Het idee om het zware werk ergens anders te laten doen, is niet nieuw. In de begindagen van de computer bediende één mainframe een hele reeks gebruikers achter ‘dumb terminals’ – een beeldscherm en een toetsenbord.

Het kan voordelig zijn om bepaalde functionaliteiten uit te besteden. Als u wilt gaan klussen en u heeft een hamer nodig, dan heeft u die waarschijnlijk in huis. Maar een muursleuvenfrees, als u daar ooit al van gehoord heeft, heeft u waarschijnlijk niet. Het apparaat is duur, specialistisch, en u heeft het maar een keer nodig. Dus die huurt u.

“ICT onderhouden is zelden een hoofdtaak.”

Zo gaat dat ook met de cloud. U gebruikt wat u nodig heeft. En omdat u meestal ook het beheer uitbesteedt, heeft uw handen vrij voor uw echte werk. Want ICT onderhouden is zelden een hoofdtaak.

Veilig?

Maar hoe zit het nou met de veiligheid van de cloud? Helaas, uw IT security problemen zijn niet voorbij door uw bedrijfsgegevens in de cloud te zetten. Er komen zelfs een paar problemen bij.

Want onze ICT-infrastructuur bestaat uit complexe systemen die op ingewikkelde manieren aan elkaar geknoopt zijn. En complexe systemen bevatten fouten. Altijd. De cloud maakt die systemen alleen maar complexer. Synchronisatie, virtuele systemen, extra interfaces, datacenters in verschillende landen: dat alles maakt de cloud in principe gevoeliger voor fouten en aanvallen.

“Complexe systemen bevatten fouten. Altijd.”

Natuurlijk is de cloud ook een interessant doelwit voor hackers. Als het ze lukt om de cloud security te doorbreken, hebben ze niet één slachtoffer maar gelijk een heleboel.

Begin dit jaar werden de Spectre en Meltdown kwetsbaarheden gepubliceerd. Kwetsbaarheden in een slimme hardwaretruc die al twintig jaar gebruikt wordt. Hierdoor kan een kwaadaardig softwareprogramma de gegevens, van een ander programma dat op dezelfde processor draait, bemachtigen.

“Als het hackers lukt om de cloud security te doorbreken, hebben ze niet één slachtoffer maar gelijk een heleboel.”

Als uw eigen computer besmet wordt, zijn uw gegevens in de cloud ook niet langer veilig. Want de aanvaller die uw computer besmet heeft, kan uw cloudgegevens bemachtigen door een zogenaamde man in the cloud aanval:

  • Eerst steelt hij lokaal uw token – een pakketje dat bij uw cloud provider aangeeft dat u het bent. Uw token zet hij in de synchronisatiemap – die gebruikt uw cloudprovider om uw lokale bestanden en die in de cloud gelijk te houden.
  • Daarna verbindt hij vanaf uw computer met zijn eigen token met uw cloudprovider. Waardoor uw token wordt geüpload naar zijn
  • Tenslotte zet hij lokaal uw token weer op zijn plaats. Alles ziet er weer uit als vanouds, maar hij heeft nu uw token en kan meekijken met alles wat u doet.

Soms is het de aanvallers alleen om de rekenkracht van de cloud te doen en niet om de gegevens. Autofabrikant Tesla kwam daar in februari achter toen bleek dat hun Amazon cloud was gehackt en werd gebruikt om bitcoins te minen.

“Soms is het de aanvallers alleen om de rekenkracht van de cloud te doen en niet om de gegevens.”

Tenslotte biedt de cloud nog een heel nieuw scala aan niet-technische problemen. U vertrouwt uw gegevens immers toe aan een derde partij. Kunt u uw cloudprovider vertrouwen? Wie is er verantwoordelijk als er iets mis gaat? Waar staan uw gegevens, wie heeft er inzage en mag dat wel van de wet? Ook juridisch maakt de cloud uw gegevensopslag dus complexer.

Niet gebruiken dus, die cloud?

Niet zo snel. Want als we goede cloudoplossingen vergelijken met het zelf regelen van uw cybersecurity dan wint de cloud bijna altijd. Alleen heel grote organisaties kunnen het zich veroorloven om zelf hun ICT op orde te houden. En heel grote organisaties zijn meestal geografisch verspreid, zodat zelfs voor hen een cloudoplossing voor de hand ligt. Voor het midden- en kleinbedrijf is zelf de ICT op orde houden bijna ondoenlijk. Er is veel specialisme voor nodig, het kost tijd en energie, die u liever in uw kernactiviteiten steekt.

Voor het midden- en kleinbedrijf is zelf de ICT op orde houden bijna ondoenlijk.

Voor de cloudleverancier is het daarentegen zijn kernactiviteit. Hij levert de updates, de backups, de antivirus, de netwerkanalyse en al die andere dingen die nodig zijn om een systeem veilig te houden er gratis bij. En dat vergroot uw veiligheid. Maar dan moet u natuurlijk niet uw geboortedatum als wachtwoord gebruiken.

Cloudproviders zijn een veel aantrekkelijker doelwit voor cybercriminelen, maar ze leggen de lat ook een stuk hoger. Het is over het algemeen veel moeilijker om in te breken bij een cloud provider dan bij een bedrijf dat zijn eigen ICT beheert. Vergelijk het met het vliegtuig ten opzichte van de auto. Als een vliegtuig verongelukt zijn er veel slachtoffers en is het nieuws. Maar ondertussen verongelukken er veel meer auto’s. Dat is zelden nieuws, maar levert bij elkaar veel meer slachtoffers. Vliegtuigen zijn complexer maar toch veiliger.

Cloudproviders zijn een veel aantrekkelijker doelwit voor cybercriminelen, maar ze leggen de lat ook een stuk hoger.

En dus…

Gouden bergen bestaan niet. De cloud brengt risico’s met zich mee. Oude risico’s en nieuwe risico’s. En we hebben ze hier niet eens allemaal genoemd. Maar het past in een volwassen ICT aanpak. Met een goede cloud provider, een goed contract, een goede verzekering en een volwassen aanpak aan uw kant bent u met de cloud per saldo meestal beter af. Dus vooruit dan maar: ICT in de wolken. Maar: beentjes op de grond.


Peter is cybercrime expert en spreekt regelmatig over cyberveiligheid en cybercriminaliteit. In 2007 werd hij strategisch adviseur van het net opgerichte Team High Tech Crime van de politie. Outreach was een belangrijk onderdeel van zijn werk, met presentaties bij Interpol, Europol, Microsoft en vele andere organisaties. In 2016 startte hij zijn eigen bedrijf. Hier helpt hij organisaties de risico’s van cybercrime te begrijpen en erop in te spelen.


Tijdens onze cybersecurity serie delen wij regelmatig opiniestukken van onze sprekers.

Bekijk programma

Blijf op de hoogte!

Blijf op de hoogte!

Wil je op de hoogte blijven van toekomstige NRC Live events? Schrijf je dan in voor onze nieuwsbrief!

Suggesties voor een spreker?

Suggesties voor een spreker?

Ken jij iemand die goed zou kunnen spreken op een van onze events? Stel dan een spreker aan ons voor!