Massale Cloud-migratie slecht voor onze onafhankelijkheid

In een open brief, geschreven door een aantal hoogleraren op het vakgebied van informatiebeveiliging worden, onzes inziens, terecht een aantal zorgen geuit over de groeiende Cloud-migratie. We zien vanuit Beschermheren ook dat steeds meer bedrijven opteren voor Cloud-opslag. Dit is best te relativeren. De laatste tijd hebben we veel (succesvolle) aanvallen gezien op Microsoft Exchange mailservers waarin steeds nieuwe fouten worden gevonden. Het alternatief in de Cloud is Microsoft 365, dit is goedkoper, het is veiliger en je data is ongeacht waar je je bevindt toegankelijk. Dat is het voordeel van die wolk. Die beweegt gewoon met je mee boven je hoofd. Zou die als je een slecht humeur hebt ook gaan donderen? Ik dwaal af. Deze Cloud-migratie mag dan wel te verklaren zijn, het heeft ook veel haken en ogen waar ‘men’ aan voorbij lijkt te gaan.

In december 2019 werd er in de volkskrant door rectoren van de Nederlandse Universiteiten opgeroepen om een grens te trekken teneinde onze afhankelijkheid van de Amerikaanse Tech bedrijven te verminderen. Een goed initiatief, gelet op het feit dat steeds meer ‘Nederlandse’ data een digitale verhuizing richting de US of A doormaakte. Echter, een anderhalf jaar later lijkt dat niet meer te gelden. Het is alsof het oplossen van operationele problemen op korte termijn belangrijker is dan het vasthouden aan deze ideologie. Volgens de auteurs van de eerder benoemde open brief kan dit op termijn vergaande gevolgen hebben. En dat is iets dat wij vanuit Beschermheren dan ook altijd in ons achterhoofd houden.

Politieke spanningen en data gaan over het algemeen slecht samen

In hoeverre hebben we namelijk nog wel echt de controle over onze data wanneer deze naar de Cloud verhuisd? Er is iemand in de VS die heeft volledige beheer rechten en kan er, omwille welk motief dan ook, voor kiezen om deze data openbaar te maken. Hier is slechts 1 druk op de knop voor nodig. En motieven zijn er genoeg. Denk bijvoorbeeld aan eventuele politieke spanningen? Stel je even voor dat China en Amerika weer een spelletje ‘wie heeft de grootste?’ gaan doen. In dat geval is alle data over China en diens inwoners een flinke troefkaart. Toevalligerwijs is er een Nederlands bedrijf dat heel veel zaken doet met China en daarom veel informatie heeft opgeslagen hierover in de Cloud. En waar bevindt deze Cloud zich? Juist ja, Amerikaans grondgebied. In hoeverre is de privacy van data dan nog gewaarborgd of wordt dit dan door de vingers gezien vanwege ‘grotere, politieke belangen’?

Ondanks dat de Cloud niet tastbaar is, behalve in mijn fantasie dan, bevinden deze zich wel degelijk buiten Europees grondgebied en dus buiten de Europese wetgeving. En ja, er is zoiets als het ‘Privacy Shield verdrag’, maar afgelopen zomer hebben rechters van het Europese hof besloten dat dit verdrag niet voldoet aan de Europese wetgeving. Er is dus best een reële kans dat er binnenkort een verbod komt voor Nederlandse bedrijven om data in de Amerikaanse Cloud op te slaan. Migreren lijkt momenteel dus niet handig, toch heeft dit tot op heden niet geleidt tot een afname van migratie.  En om onszelf potentieel nog meer te beperken zien we dat veel bedrijven ook de bijbehorende autorisatie en ICT-diensten onderbrengen bij deze zelfde Cloud-giganten. Als je erover nadenkt verheffen we als het ware de Facebooks, Googles en Amazons hiermee tot grenspolitie van data. Mocht de NSA besluiten tot een juridische grondslag kan de, tot op dat moment volledig veilige data, plots ‘legaal’ worden ingezien en gemonitord.

“We zouden op Schiphol ook geen andere natie de verantwoordelijkheid geven over de uitgifte van paspoorten. Met onze data in de Cloud doen we dat wel”

Wegen de voordelen daadwerkelijk op tegen de (potentiële) gevaren?

Het is een lastig vraagstuk. Voor bedrijven zijn er zoals eerder gezegd veel voordelen te behalen. En als we iets hebben geleerd is dat organisaties sneller kiezen voor operationele voordelen op korte termijn dan strategische zetten voor de lange termijn. Ditmaal is het echter wel een keuze die mogelijk vergaande, impactvolle gevolgen kan hebben. Naast bovenstaande voordelen moet er ook niet vergeten worden dat we ons tegenwoordig (bijna uitsluitend) alleen nog maar digitaal kunnen authentiseren. Ook dit verloopt via de Cloud. Wat als hiermee geknoeid wordt en je niet meer bij je DigiD kunt? Plots besta je niet meer en dan zijn de rapen echt gaar. En wat als er op grote schaal Artifical Intelligence zal worden toegepast? Dan kan het zomaar zo zijn dat deze software zelf een conclusie trekt om een deel van jouw data te verwijderen omdat dit ‘logischer’ is volgens de AI.

Er zijn genoeg redenen te bedenken waarom een volledige migratie naar de Cloud niet altijd wenselijk is. Helaas wordt daar niet genoeg bij stilgestaan en wordt het maar gewoon gedaan. Want er wordt geld bespaard en er wordt ‘veiliger’ geopereerd. Vanuit Beschermheren geven we onze klanten dan ook altijd mee dat bij een dergelijke migratie, goed risicomanagement essentieel is. Hierbij wordt de nadruk gelegd op een gedegen fall-back scenario.

Zorg voor een fall-back scenario, een plan B

Stel je nou eens voor dat je morgen niet meer bij je data in de Cloud kunt? Wat zijn dan je opties? Heb je voorzorgsmaatregelen genomen waardoor de bedrijfsvoering snel weer kan worden opgestart? Of zou je dan eigenlijk niet weten wat je moet doen. Het is belangrijk om dit voor te zijn. Het lijkt namelijk haast onvermijdelijk te zijn dat er ooit iets flink mis gaat met al deze kritische data in de Cloud. Wees dit voor en zorg dat je altijd een plan paraat hebt voor wanneer dit scenario zich zal afspelen. Ben je benieuwd hoe jouw organisatie ervoor staat? Zitten jullie al in de Cloud of wordt dit overwogen en ben je benieuwd hoe dit op een ordelijke en veilige manier kan? Neem eens contact met ons op en we helpen je graag verder.