Amazon kampte met problemen in verschillende diensten doorheen de jaren (met een bijzonder memorabel S3 'storage' voorval in 2011). Microsoft met een uitval van diensten op zijn Azure cloud-platform (zoals in augustus van dit jaar). De recente perikelen rond Apple's iCloud aanbod door gekaapte toegangsrechten. Pech voor wie hierdoor in problemen verzeilde, maar we zouden dankbaar moeten zijn dat die voorvallen uitgebreid in het nieuws kwamen.
...

Amazon kampte met problemen in verschillende diensten doorheen de jaren (met een bijzonder memorabel S3 'storage' voorval in 2011). Microsoft met een uitval van diensten op zijn Azure cloud-platform (zoals in augustus van dit jaar). De recente perikelen rond Apple's iCloud aanbod door gekaapte toegangsrechten. Pech voor wie hierdoor in problemen verzeilde, maar we zouden dankbaar moeten zijn dat die voorvallen uitgebreid in het nieuws kwamen. Het onderbrengen van toepassingen en diensten in een cloudomgeving - lokaal, hybride of publiek - heeft zo zijn voordelen. Meer flexibiliteit, sneller reageren op veranderende bedrijfsnoden, ruimere toegankelijkheid, minder investeringskosten (en niet zozeer lagere kosten in het algemeen)... Maar voorvallen bij cloudleveranciers, evenals aanbieders van diensten als Facebook, tonen aan dat hun bedrijfszekerheid evenwel alles behalve in steen staat gebeiteld. En de klant blijft hoe dan ook de eindverantwoordelijkheid (inclusief mogelijke strafrechtelijke gevolgen bij inbreuken, als bijvoorbeeld datalekken) houden voor het naleven van wettelijke verplichtingen inzake privacy, data- en systeemgovernance, evenals het verzekeren van een echte continuïteit van de bedrijfswerking. Dus moet de klant bijkomende maatregelen nemen, en de bijhorende investeringen opbrengen, met het oog op een echte (of althans grotere) zekerheid. Claims dat de kwaliteit van de beveiliging en beschikbaarheid bij een cloudleverancier beter is dan voordien bij de klant zelf, kunnen heus wel waarheid bevatten, maar 'beter' is niet noodzakelijk gelijk aan 'voldoende'. Zo kan de cloud fiks helpen bij die bedrijfszekerheid, maar is de cloud op zichzelf (of in de vorm van standaardcontracten) allicht onvoldoende. Gewoon de geruststelling van de leverancier aanvaarden en met de kredietkaart in de hand op het stippellijntje tekenen, is hoogst waarschijnlijk niet voldoende. De Cloud Security Alliance (CSA) heeft dan ook onder de titel 'The notorious nine' negen topdreigingen inzake cloud computing aangestipt, die niet aleen op security maar ook een bedrijfszekere werking slaan (met meer uitgebreide richtlijnen in de 'Security guidance for critical area's of focus in cloud computing' v3.0, vertaald in de 'Cloud control matrix' v3.0.1). Zo staan nog steeds de gevaren van datalekken en het verlies van data bovenaan. Niet alleen is er de mogelijkheid om de data te verliezen omdat deze buiten het onmiddellijke beheer van de klant vallen, maar tevens kunnen beveiligingsmaatregelen (zoals het versleutelen van data) ook gevaren meebrengen (het verlies van de sleutel). Ook moeten de 'business continuity' voorzieningen van de cloudleverancier worden getoetst, conform de verplichtingen van de klant. Grote cloudleveranciers kunnen op deze punten vaak stugger zijn dan kleinere, allicht meer lokale leveranciers. Wat de gevaren zijn van 'account' of 'traffic hijacking' zijn, werd onder meer geïllustreerd door het recente iCloud (de foto's van actrices) voorval, waar het uiteindelijk ging om gekraakte wachtwoorden. Ook onveilige api's bieden het gevaar op ongeoorloofde toegang tot accounts en data, evenals problemen in gedeelde technologiediensten (zoals caches etc). 'Denial of service' problemen zijn zowel voor de leverancier als de klant (die zo zijn eigen klanten niet kan bedienen) een probleem, evenals diefstal van ict middelen in de cloud. Daarbij zijn ook malafide insiders bij zowel leverancier als intern bij de klant (met ondoordacht cloud gebruik) een potentiële gesel - een klassiek probleem, dat onder meer met goede procedures, monitoring en audit wordt aangepakt. Gevaren die nog worden versterkt door onvoldoende eigen 'due diligence'! Dus doe uw huiswerk. Guy KindermansCloudklant behoudt eind-verantwoordelijkheid