Vroeger was het simpel: een bedrijf beheerde zijn eigen IT en was zelf verantwoordelijk voor de beveiliging ervan. In de cloud gelden andere afspraken. "Bij SaaS valt alleen de beveiliging van de data onder de verantwoordelijkheid van de klant", aldus analist Rik Turner van de Britse IT-beveiligingsspecialist Ovum tijdens een presentatie voor NetEvents, eerder dit jaar in Barcelona. "Bij PaaS moet de klant er ook de beveiliging van de applicatie bijnemen. Bij IaaS zelfs nog meer, zoals de middleware en het besturingssysteem. Alleen de beveiliging van virtualisatie, servers, storage en netwerk valt dan onder de verantwoordelijkheid van de provider."

Zolang iedereen op de hoogte is van die gedeelde verantwoordelijkheid, is er geen vuiltje aan de lucht. Alleen blijkt dat in de praktijk al eens anders uit te draaien. "Het succes van SaaS - denk aan Salesforce of Google Docs - is het gebruiksgemak ervan", legt Rik Turner uit. "De business ging er zelf mee van start, vaak zonder dat de IT-afdeling er iets van afwist." Het is in die context dat de cloud access security brokers op het toneel verschenen: partijen die in de context van SaaS alsnog voor de nodige beveiliging moesten zorgen. Intussen zien bedrijven hoe businessafdelingen aan de slag gaan met virtuele machines, containers en serverless toepassingen. Of beter: ze zien het niet. "Dat het allemaal zo snel gaat, maakt het moeilijk om de juiste bescherming te voorzien."

Chaos in de polynimbus

Maar wat is daarbij dan de echte uitdaging? "Bedrijven gebruiken de cloud als excuus", zegt Jan Guldentops van het Belgische IT-consultingbedrijf BA Test Labs. "Ze hebben problemen met security en stappen naar de cloud in de hoop van die problemen af te raken. Zo werkt het natuurlijk niet." Volgens Guldentops schuilt het grootste vraagstuk in het feit dat security vandaag nog altijd bolt-on is, en niet by design. "In de realiteit lopen cloudimplementaties vooral uit op chaos. De polynimbus (multicloud, nvdr.) is een realiteit, maar tegelijk weten maar weinig bedrijven echt waarmee ze bezig zijn."

"Dat beeld klopt", zegt Peter Galvin, chief strategy & marketing officer bij het Britse nChipher Security. "Bedrijven willen niet langer investeren in een eigen datacenter en zien de cloud als een alternatief. Tegelijk ontstaat er veel schaduw-IT, net omdat het zo makkelijk is om met SaaS te starten. Bedrijven denken er dan blijkbaar niet meer aan dat ze hun data moeten beschermen." Het is inderdaad opvallend: organisaties hebben het almaar vaker over cloud first, zonder stil te staan bij de implicaties op het vlak van security. "De bedrijven weten heus wel dat ze meer zouden moeten inzetten op pakweg encryptie en zero-trust netwerken", vervolgt Peter Galvin. "Alleen: in de praktijk gebeurt het niet."

Zonder einde

In tegendeel: die bedrijven investeren nog maar eens in een firewall. "Mensen kopen nu eenmaal graag een illusie", zegt Jan Guldentops. "Om de zoveel tijd schaffen ze zich een nieuwe magische kogel aan, denken ze toch. Meestal houden ze vast aan oude technologie." Want ook al faalde die technologie in het verleden, blijkbaar geloven veel bedrijven dat ze met de nieuwe versie van dezelfde technologie uit de gevarenzone raken. Of toch voor even. Want dat is natuurlijk de grootste uitdaging van allemaal: de risico's veranderen voortdurend - en dus de oplossingen ook. "Wat vandaag voor degelijke encryptie doorgaat, is over een jaar of vijf wellicht makkelijk te kraken", aldus nog Jan Guldentops. Het geeft nog maar eens aan dat security een strijd is zonder einde. "Uiteindelijk kan en zal alles falen, hoe streng je het ook beveiligt."