Hoe veilig is de cloud voor jou? PDF Afdrukken E-mailadres

 

...de Amerikaanse overheid verregaande bevoegdheden heeft om informatie te verzamelen over iedereen die zij verdacht vindt, inclusief informatie die op servers en netwerken staat... ...Voor veel Aziatische en Europese ondernemingen die gevoelige informatie willen opslaan, is dit een brug te ver...

 

 

Hoe veilig is de cloud voor jou?

Donderwolken

23 juni 2014 | Frederic Petitjean

 

De dagen dat je al je foto’s, documenten, muziek en filmpjes op je eigen harde schijf bewaarde, liggen stilaan achter ons. Heel veel pc-gebruikers hebben tegenwoordig een (al dan niet betalend) abonnement op clouddiensten als Dropbox, Google Drive of iCloud. En waarom ook niet? Het is gemakkelijk, je kan overal aan je bestanden en je hoeft je geen zorgen te maken dat je harde schijf vol loopt. Als je meer plaats nodig hebt, neem je gewoon een duurder abonnement.

In de keuze voor een cloudprovider geven zaken als het aantal megabyte dat je gratis krijgt, de prijs voor een betalend abonnement en het aantal apps dat beschikbaar is voor mobiele apparaten meestal nog de doorslag. De veiligheid van de bestanden wordt veel minder vaak in overweging genomen. En dat is jammer. Want hoe je het ook draait of keert, als je data naar de cloud stuurt, geef je al je gegevens in handen van iemand anders. Hoe en waar ze opgeslagen en beveiligd worden of wat er daarna mee gebeurt, daar heb jij niets meer over te beslissen en dat is toch een serieuze sprong in het donker.

Fysieke toegang

Uiteraard beweren alle cloudproviders bij hoog en bij laag dat je data bij hen in veilige handen is. Vaak is dat ook wel zo, maar “veiligheid” is een heel veelzijdig begrip. Wie dus echt heel gevoelige of bedrijfskritieke data naar de cloud stuurt en absoluut zeker wil zijn dat niemand daar aan kan, moet dan ook heel wat zaken in overweging nemen bij zijn keuze voor een provider.

Zo is er de fysieke toegang tot de datacenters. Amazon bijvoorbeeld (dat onder andere een groot deel van de infrastructuur levert voor Dropbox) gaat er prat op dat zijn datacenters op haast militaire wijze beveiligd worden. De centers zelf huizen in anonieme gebouwen zonder enige verwijzing naar Amazon en hangen tjokvol camera’s. Externe bewakingsfirma’s controleren verschillende malen alle personeelsleden alvorens ze toegang krijgen tot de werkvloer. Alle toegang wordt ook uitvoerig gelogd en regelmatig nagekeken. Dat klinkt allemaal prima, maar als individuele gebruiker is dit natuurlijk haast onmogelijk te controleren. Hier komt dus, alweer, een stuk vertrouwen bij kijken.

Daarnaast is het natuurlijk ook belangrijk om te weten hoe goed je data geback-upt wordt. Van een serieuze cloudprovider mag je verwachten dat hij verschillende, redundante kopieën van je data op verschillende fysieke locaties bewaart. Als alles op dezelfde plaats staat en de boel brandt af of loopt onder water, dan sta je immers net even ver als wanneer er helemaal geen back-up was.

Veilig, veiliger, veiligst

De manier waarop je data naar je provider stuurt, moet uiteraard ook beveiligd worden, zo niet is er een kans dat hackers je gegevens onderweg onderscheppen. Let er dus op dat je webverbinding versleuteld is. Dat kan je zien door de https voor het webadres, de “s” duidt er op dat je een beveiligde http-verbinding hebt. Als je een apart programma gebruikt om met je cloudprovider te communiceren, kijk je best even na of deze ook een versleuteling gebruikt; bij de meeste cloudproviders is dat zo.

Wil je nog meer veiligheid, ga dan in zee met een provider die voorziet in tweestapsverificatie. Daarbij moet je niet alleen je gebruikersnaam en je wachtwoord intikken, maar ook een steeds wisselende code die bijvoorbeeld via sms naar je gsm gestuurd wordt of die gegenereerd wordt met een speciale app. Zelfs als je wachtwoord dan op straat ligt, kan er nog niet ingelogd worden zonder de code in te geven.

Natuurlijk gelden in dit geval ook alle regels wat betreft het kiezen van een goed wachtwoord. Gebruik geen wachtwoord dat gemakkelijk te raden valt zoals de naam van je hond, je geboortedatum of, nog erger, 1 2 3 4. Zelfs een echt woord (“taartbeslag”, “kanonskogel” of “landbouwmachine”) is geen goed idee. Hackers gebruiken immers alfabetische lijsten met woorden die stuk voor stuk ingetikt worden tot ze beet hebben. Beter is om een willekeurige reeks van letters, cijfers en leestekens te gebruiken die geen enkele betekenis heeft, zoiets als “Ki5ps4!X0&$” dus. Ja, deze zijn inderdaad een stuk moeilijker te memoriseren, maar wel veel veiliger.

I know nothing...
Het probleem met wachtwoorden is dat de meeste cloudproviders deze lokaal opslaan en lokaal versleutelen. Dat wil zeggen dat de sleutels om de wachtwoorden terug tevoorschijn te halen, in het bezit zijn van de provider. Werknemers die het niet goed menen of slimme hackers zouden in theorie dus die sleutels kunnen aanwenden om je data in te kijken.

Enkele cloudproviders zijn daarom beginnen te werken via het zogenaamde “zero knowledge”-principe. Hierbij gebeurt de volledige versleuteling van de data die je doorstuurt op je eigen computer. De cloudprovider ziet enkel een hoop nullen en enen in zijn datacenter verschijnen die hij niet kan uitlezen. Hij weet zelfs niet over welke bestandstypen het gaat of hoe de bestanden heten. Providers die deze dienst aanbieden, zijn onder meer Wuala en SpiderOak. Let wel: als je bij hen je wachtwoord vergeet, is er geen enkele manier om je data weer op te vissen…

Uncle Sam leest mee (maar Europa doet niet veel beter)

Toen George W. Bush in oktober 2001 de zogenaamde Patriot Act invoerde, had hij waarschijnlijk geen idee dat deze wet meer dan tien jaar later nog een serieuze invloed zou hebben op de wereld van de datacenters en cloud computing. De wet werd meteen ingevoerd na de aanval op de Twin Towers in New York en moest een krachtig wapen worden in Bush’s War on Terrorism. Om helemaal de puntjes op de i te zetten: de Patriot Act was eigenlijk zelfs geen echte wet op zich, maar versterkte en breidde bestaande wetten uit die al jarenlang in voege waren in de V.S.

Het eindresultaat is echter ontegensprekelijk dat de Amerikaanse overheid verregaande bevoegdheden heeft om informatie te verzamelen over iedereen die zij verdacht vindt, inclusief informatie die op servers en netwerken staat. De Amerikaanse bedrijven die deze netwerken beheren, moeten aan deze onderzoeken meewerken en zijn dus, op eenvoudig verzoek, verplicht om bijvoorbeeld opgeslagen data over te dragen aan Justitie. Het opmerkelijke is dat deze wet hoegenaamd geen rekening houdt met landsgrenzen. Ze geldt voor buitenlandse bedrijven in Amerika, maar ook voor Amerikaanse dochterbedrijven in andere landen. Een Iers, Japans of Braziliaans filiaal van Google of Microsoft valt evenzeer onder de Patriot Act als het lokale Google-filiaal in San Francisco of New York.

Voor veel Aziatische en Europese ondernemingen die gevoelige informatie willen opslaan, is dit een brug te ver. De roep om een “pure” Europese cloud wordt dan ook steeds luider. Sommige bedrijven proberen uit die onvrede ook al commerciële garen te spinnen. Een bedrijf als Belgacom bijvoorbeeld laat het niet na om expliciet te vermelden dat de dataservers van haar clouddiensten in Europa staan en niet in de Verenigde Staten.

Dit kan echter een vals gevoel van veiligheid geven: ook Europese landen als het Verenigd Koninkrijk, Frankrijk en Spanje beschikken immers, naast strenge privacywetten, over een uitgebreide antiterrorismewetgeving met bevoegdheden die echt niet zo ver van die van Uncle Sam liggen. Het Duitse BKA (het BundesKriminalAmt, zeg maar het “Duitse FBI”) heeft bijvoorbeeld het recht om in bepaalde gevallen virussen op de servers van cloudproviders los te laten om bepaalde klanten in de gaten te houden. De zogenaamde G-10-wet laat de Duitse veiligheidsdiensten dan weer toe om zonder gerechtelijk bevel alle telecommunicatie van bepaalde personen af te luisteren wanneer deze verdacht worden van bijvoorbeeld terrorisme.

bron: zdnet