AMSTERDAM-LIENDEN, Het KNP:
“Steeds meer organisaties gebruiken hardware, software en infrastructuren van aanbieders via internet. Dit wordt cloud computing genoemd, naar een synoniem voor internet: de ‘wolk’ die computers met elkaar verbindt. Cloud computing kan organisaties veel geld besparen. Er zijn dan bijvoorbeeld geen kostbare programmalicenties, serveromgevingen of datacapaciteiten meer nodig en ook het interne ICT-beheer kan er overbodig door worden. Het is dan ook niet verwonderlijk dat dit fenomeen de laatste jaren sterk groeit. Maar hoe aantrekkelijk cloud computing ook klinkt, het kan zeer riskant zijn.”, zo meldt het blad Hoffmann Recherchetips, een uitgave van Hoffmann, een organisatie die onder andere fraude en bedrijfsspionage bestrijdt.

Cloud computing gaat een ernstige bedreiging voor de privacy vormen. Gegevens worden in andere landen opgeslagen waar andere privacywetten gelden. De databanken die met name in de Verenigde Staten zijn gesitueerd vormen een interessant onderzoeksobject voor allerlei inlichtingen- en veiligheidsdiensten.

“Software, geheugen, rekenkracht het zit niet langer meer op je eigen computer. Het bevindt zich nu in de cloud. (…) Je koopt geen software meer, nee, je neemt een abonnement voor het gebruik van die software. Je huurt de software en een gedeelte van de server. Opslag en verwerking van data worden online aangeboden en uitgevoerd op talloze geschakelde computers in grote datacentra. Een computer met internetverbinding is het enige wat we nog nodig hebben”, aldus het dagblad Trouw eerder dit jaar.

Niet alleen essentiële bedrijfsgegevens van bijvoorbeeld multinationals, of uitgebreide klantenbestanden, maar ook de ‘gewone’ PC gebruiker kan al zijn foto’s, zijn bankafschriften, zijn creditcardgegevens en sollicitatiebrieven via de cloud op het internet zetten. Wachtwoorden, surfgegevens en browsergeschiedenis, alles wordt elders bewaard. Je eigen foto’s bewerken bijvoorbeeld. Je zit thuis achter je computer, maar de foto zelf ligt opgeslagen ergens in het buitenland. Maar de bestanden en de gegevens vallen dan wel onder de wetten en regels van dat land.

In april dit jaar organiseerde de Faculteit der Wijsbegeerte van de Universiteit van Cambridge een conferentie over cloud computing. Cloud computing vervangt de software in je PC door een service die je niet op je computer hoeft te installeren, maar die je via het internet gebruikt. Je koopt dus rekentijd en geheugen in. Net als vroeger. Software wordt zoiets als water, gas en elektriciteit: een vorm van dienstverlening in plaats van een product dat je in een winkel koopt. En ongemerkt maken velen gebruik van zulke diensten. Steeds meer, wereldwijd.

En wat te doen met databestanden van de overheid, politie, leger en belastingdiensten? En wat te denken van juridische en medische bestanden die elders worden opgeslagen? Er zijn ongekende risico’s aan cloud computing verbonden.

Het wordt een nieuw en veelbelovend jachtgebied voor internetcriminelen, hackers, spionnen en de georganiseerde misdaad. “De cloud is een luilekkerland voor hackers”, zo waarschuwt de directeur van Bits of Freedom in Nederland.

“De opslag en verwerking van gegevens vinden plaats in grote datacentra die overal op de wereld gebouwd zijn. Een centrum bestaat uit enorme hallen, elk zo groot als een voetbalveld, waar computers met elkaar verbonden zijn”. “Bij een storing in zo’n centrum raak je als consument niet je foto kwijt. Je kunt er zelfs gewoon bij. Je foto is namelijk voor de zekerheid op een heleboel verschillende plaatsen opgeslagen. Als er een storing in Oregon is, of als het daar toevallig even spitsuur is, dan kan ik toch nog bij mijn data omdat ze ook in North Carolina staan”.

Een clouddienst draait dus op meerdere servers. “Maar dat betekent wel dat de data ondergebracht zijn in datacentra op Amerikaanse bodem en dus kan de Amerikaanse overheid simpel toegang krijgen tot iemands data”. Of in China, dat zich inmiddels ook aanbiedt als Cloud Service Provider (CSP). “De controle over de toegang tot die gegevens ligt bij de cloud-aanbieder. Je bent afhankelijk geworden van diens beleid”.

In het dagblad Trouw stond recentelijk: “Overheden moeten andere, buitenlandse overheden, beter niet in de verleiding brengen om hun eigen bedrijven toegang te geven tot marktgevoelige informatie over Nederlandse bedrijven. Wanneer die informatie in de cloud terechtkomt, kun je dat niet uitsluiten”.

Een organisatie die cloud computing via internet aanbiedt heet een Cloud Service Provider (CSP). Deze is verantwoordelijk voor het beheer en opslag van de data. Bedrijfsgegevens verlaten de relatief veilige omgeving van een intern netwerk en bedrijfspand. Een CSP speelt dus een belangrijke rol.

Belangrijke vragen moeten hierbij beantwoord worden: Hoe waarborgt de CSP bijvoorbeeld dat alleen bevoegden toegang tot uw informatie verkrijgen en hoe wordt het uitlekken van strategische en vertrouwelijke gegevens voorkomen? Wie is er aansprakelijk voor de beveiliging van de data? Beschikken de beheerders over de juiste kwalificaties en zijn ze gescreend? Wanneer heeft er voor het laatst een security-audit plaatsgevonden? Krijgt men inzage in de rapportage van deze audit? Is het back-upmanagement van de CSP goed geregeld? En zijn de servers redundant, ofwel dubbel uitgevoerd, zodat bij een crash de bedrijfsvoering geen schade oploopt? De CSP kan op een bepaald moment overgenomen worden of failliet gaan. Is er in dat geval nog steeds de beschikking over de gegevens? Zijn de data in een alternatieve applicatie of database te importeren en daarna nog steeds bruikbaar?

Met cloud computing is het waarschijnlijk dat belangrijke data feitelijk in het buitenland worden opgeslagen, in veel gevallen Amerika. Daarom moet een CSP met de andere partij heel duidelijk laten vastleggen wie aansprakelijk is voor de opslag en het beheer, maar ook voor eventueel verlies en schade van de data. De beveiliging wordt dus uitbesteed aan een private onderneming.

Volgens de Britse filosofe Onora O’Neill tevens onafhankelijk lid van het Britse Hogerhuis “schort het burgers aan essentiële informatie over cloud computing”. Je persoonlijke data worden namelijk niet alleen veilig opgeslagen, maar ook doorzocht en geanalyseerd”. Er wordt, aldus O’Neill, datamining gepleegd. Maar helaas, consumenten weten dat niet.

Overigens kan de consument dat wel weten, want wanneer hij software downloadt of zich bij een website registreert, moet hij altijd een licentieovereenkomst ondertekenen. Alleen leest niemand die. “Je vinkt ze zonder na te denken aan. En ook al zou je ze lezen, dan nog zou je er weinig van begrijpen.”

Ook Gmail, het e-mailprogramma van producent Google is niet echt veilig. “Als je een mailtje stuurt van of naar een Gmailadres –of naar een Hotmail-account –dan wordt de inhoud opgeslagen in de cloud. En in dit geval weten we heel precies welk deel daarvan: de datacentra van Google of Microsoft.
Behalve dat die berichten worden doorgeplozen op bepaalde termen die Gmail in staat stellen om gebruikers gericht met reclameboodschappen te confronteren, worden de email berichten in de VS opgeslagen en vallen daarmee onder de jurisdictie van de VS.
“Die mailtjes zijn dus gemakkelijk toegankelijk voor Amerikaanse inlichtingendiensten. Dat is een reëel gevaar. Er zijn aanwijzingen dat deze diensten alle Gmail-correspondentie al onderzoeken.”, aldus Trouw. “We weten niet precies wat bedrijven als Amazon, Google of Microsoft met onze gegevens doen. Daarom kunnen we die bedrijven niet zomaar vertrouwen”.

Ook gegevens van gebruikers van Facebook, Foursquare, LinkedIn en andere sociale mediasites, van Skype, Dropbox (een andere online opslagservice) en Flickr staan opgeslagen op grote servers in Amerika. Van iedereen is een digitale schaduw beschikbaar. “De Cloud is taking over”, zo laat het Tilburgse universiteitsblad dreigend weten. En ook je muzieksmaak is via de dataopslag bij www.spotify.com bekend.

Begin dit jaar verscheen een rapport met de titel “Lost in the Cloud – Google and the US Government”. Daarin wordt onder andere melding gemaakt van samenwerking van Google met het Pentagon, de NASA en een aantal Amerikaanse inlichtingendiensten, waaronder de meest geheime: de National Security Agency.

Er is sprake van een flink aantal geheime overeenkomsten tussen deze twee. De NSA heeft de bevoegdheid om persoonlijke gegevens van gebruikers zoals die bij Google zijn opgeslagen, te vorderen. Maar beide organisaties doen hier zeer geheimzinnig over. Betrekkingen tussen beiden gaan terug tot 2003. Meer te vinden over deze samenwerking is er op: http://www.washingtonpost.com/wp-dyn/content/article/2010/02/03/AR2010020304057.html?hpid=topnews.

De Amerikaanse inlichtingendiensten zijn zelf ook groot voorstander van cloud computing. Maar de dataservers moeten dan wel in eigen land blijven, dat spreekt voor zich uiteraard.

Op 20 april van dit jaar stuurde minister Donner van Binnenlandse Zaken een brief naar de Tweede kamer over de ‘Cloud Strategie’. Hij schrijft dat hij voor de veiligheid van informatie die buiten de landsgrenzen ligt opgeslagen, niet kan instaan. Daarom wordt cloud computing nog niet toegestaan binnen de Nederlandse overheid. Nog niet……. En het blad Media Planet schreef in september dit jaar: “100 procent veiligheid is een illusie”.

Lienden, 30 december 2011