Wereldwijd gaan zes organisaties onder de naam Cirrus samen met computergiganten, overheden en universiteiten gedurende twee jaar onderzoek doen naar het versterken, standaardiseren en certificeren van veiligheid in de cloud. De projectorganisatie is een gezamenlijk initiatief van de Europese Commissie en de industrie en gaat specifiek onderzoeken hoe het werken in de cloud veiliger en daardoor aantrekkelijker kan worden. Vanuit Nederland is Grant Thornton Forensic & Investigation Services betrokken bij de organisatie. Grant Thornton zal het deelgebied forensisch it-onderzoek binnen de cloud voor zijn rekening nemen.
Werken in de cloud betekent werken in een netwerk van computers waarop informatie staat. De gebruiker hoeft op deze manier geen eigenaar te zijn van de software of hardware en is ook niet verantwoordelijk voor onderhoud of veiligheid. De data van de gebruiker staan veelal verdeeld over servers die fysiek in verschillende landen over de wereld staan.
Cloud computing wordt steeds populairder, mede vanwege kostenreductie en efficiëncyvoordelen. Tegelijkertijd zijn veel bedrijven en overheden huiverig voor de privacy- en veiligheidsrisico’s. Is informatie wel goed beschermd? Kunnen gegevens veilig van de ene cloud naar de andere cloud worden overgezet? Kan de organisatie op ieder moment beschikken over zijn ‘eigen’ data en hoe zit het met wetgeving en certificering? Vaak is er onvoldoende inzicht in de manier waarop cloudproviders omgaan met privégegevens en hoe risico’s worden gedekt.
Cirrus
Certification, InteRnationalisation and standaRdization in cloUd Security (Cirrus) is een projectorganisatie die de veiligheid van werken in de cloud onderzoekt. De naam Cirrus refereert aan een type wolk die hoog in de atmosfeer voorkomt. Hiermee verwijst de organisatie symbolisch naar het hoge niveau van activiteiten en standaarden dat wordt nagestreefd. Cirrus wil een voorzet geven voor een wereldwijde standaardisatie en bovendien ‘best practices’ delen uit de ict-industrie, de wetenschap, overheden/opsporingsdiensten en gebruikers. Het doel is om werken in de cloud veiliger, beter en aantrekkelijker maken.
Het consortium bestaat uit zes internationale organisaties, aangevoerd door Atos uit Spanje. Andere partners zijn Cloud Security Alliance, Austrian Standards Institute, Portakal Teknoloji uit Turkije, Information Technology Promotion Agency uit Japan en Grant Thornton Forensic & Investigation Services uit Nederland. In de internationale adviesraad zitten vertegenwoordigers van onder meer Google, Microsoft en IBM. Daarnaast zijn ook overheden en universiteiten uit Nederland, Canada, Ierland en Engeland betrokken.
Grant Thornton
Vanuit Nederland maakt Grant Thornton Forensic & Investigation Services deel uit van Cirrus. Het forensisch team van de accountants- en adviesorganisatie gaat onderzoek doen naar de manier waarop forensisch it-onderzoek in de cloud versterkt kan worden, onder meer door betere standaardisatie en certificatie.
‘Forensisch it-onderzoek in de cloud staat nog in de kinderschoenen’, zegt Mark Hoekstra, partner bij Grant Thornton en global leader forensic technology bij Grant Thornton International. ‘Voor opsporingsdiensten, maar ook voor privaat onderzoek is het de vraag of gegevens die op lokale servers van organisaties of personen staan óók beschikbaar zijn voor (fraude)onderzoek als deze gegevens in de cloud staan. Denk daarbij aan verwijderde bestanden en loggegevens. Iedere organisatie kan verplicht worden informatie aan justitie te overhandigen in het kader van een onderzoek.’
Anderzijds hebben organisaties volgens Hoekstra behoefte aan volledige toegang tot eigen gegevens zonder enige beperking. ‘Gegevens bevinden zich vanuit juridisch oogpunt in een complexe, virtuele omgeving. Het is niet altijd duidelijk in welk land gegevens zich bevinden of wie vanuit welke locatie gegevens heeft gewijzigd, gewist of gemanipuleerd. Welke jurisdictie bepaalt de juridische context waarbinnen het gegevensonderzoek plaats moet vinden en onder welke voorwaarden toegang mogelijk is? En als die toegang er al is, hoeveel tijd en internationale juridische procedures zijn noodzakelijk om de data feitelijk te krijgen? Kortom, er is behoefte aan standaarden als het gaat om forensisch it-onderzoek in de cloud.’
Dit wordt inderdaad een grote stap in 2013.
Het is een goed bericht dat een deel van dit fenomeen ‘Cloud’ door deze samenwerking dichterbij eenstandaardisatie gebracht wordt. Misschien dat door deze aanpak en later de resultaten, de wildgroei in bedrijven die zich cloudbegeleider noemen afgeremd wordt. Nu ben ik benieuwd wie de komende tijd het initiatief neemt om de technische kant van cloud naar standaardisatie te brengen!
Na het lezen van dit artikel komen de volgende vragen bij me op:
– Waarom heb je hiervoor twee jaar nodig? Dit is veel te lang in de ict-wereld en lifecycle.
– Moeten de cloud-liefhebbers nog twee jaar wachten met hun overgang?
– Hoe verhoudt deze beweging zich tot dezelfde bewegingen die al op Europees niveau van start zijn gegaan? Word het wiel twee keer (of misschien nog vaker) uitgevonden?
– Wie erkent de standaarden en normen die door deze groep gedefinieerd worden?