3min Security

De sprong in het diepe

De sprong in het diepe

Sinds kort heeft Brenno een jacuzzi. Die is keurig afgedekt met een warme deksel waar Branie, Otis en ik uren op kunnen zitten. Onlangs wilde Brenno in de jacuzzi en had hij zomaar – zonder overleg met ons – het deksel van de jacuzzi gehaald. Branie checkte niet goed en nam een reuzesprong… midden in het water.

Dat lijkt op zo’n sprong in het diepe wanneer organisaties en overheden de cloud ingaan. Dat levert schaalvoordelen en vaak ook kostenbesparingen op, maar tegelijkertijd maakt een organisatie zich voor bijna alles afhankelijk van één leverancier. Recent toonde een aanbieder van virtuele omgevingen weer eens aan dat ze tarieven ongestraft naar believen kunnen verhogen. Ondertussen is migreren zo kostbaar dat je juridisch dan misschien niet gegijzeld bent, maar dat in de praktijk wel zo voelt.

Niet zo lang geleden hadden criminelen een volledige omgeving overgenomen. Door het ‘dubbeltjes contract’ kon de organisatie hun cloudienstverlener niet bellen en werd de zaak pas na het weekend opgepakt. Ondanks de bemoeienis van overheidsinstanties, opsporingsdiensten en zakelijke relaties. Deze vertraging stelde de hackers in staat om ongestoord dienstverlening ter waarde van de jaaromzet van meerdere MKB-bedrijven weg te sluizen.

Dit incident bracht de afhankelijkheid van de cloud-leverancier pijnlijk helder aan het licht. Deze streek vanwege de trage reactie met de hand over het hart, en bracht slechts een deel van hun kosten in rekening. Voor de getroffen organisatie betekende dit het verschil tussen faillissement en een herstructurering van het bedrijf. Al met al een extreem dure les om te leren dat wat geboden wordt beperkte dienstverlening betreft. De risico’s met betrekking tot compliance en beveiliging blijven gewoon je eigen probleem.

Voor zaken met een nationaal belang komt er een ander probleem bij: de soevereiniteit die in het geding komt. Toen SIDN alle administratie voor het .nl-domein richting de Verenigde Staten pushte, waarschuwden velen dat heel Nederland met slecht één juridische sluwigheid offline te halen is. In het huidige geopolitieke klimaat met extreem hoge temperaturen is het een no-brainer dat dit een onacceptabel risico is.

Of het risico om overheidsdocumenten aan cloud-spelers toe te vertrouwen wel acceptabel is, is misschien wat moeilijker te beantwoorden. In een individueel geval hoeft dat niet veel uit te maken, zelfs als we weten dat nationale wetgeving van andere landen (economische) spionage op die documenten mogelijk maakt. Maar wanneer veel partijen hun hele hebben en houden in de handen van een niet-Europese leverancier leggen, dringt zich onvermijdelijk de vraag op of daarmee de soevereiniteit van Nederland niet in het geding is. De sprong naar de cloud kan dan zomaar een sprong in het diepe zijn.

De sprong in het diepe van Branie liep goed af. Zij had een exit-strategie: naar de kant zwemmen en zichzelf omhoog trekken. Ze kwam veilig op het droge en een uur later was ze weer helemaal droog. Heeft u ook een strategie om van uw sprong in het diepe weer op het droge te komen?

Tip: Blijf van mijn brokjes af!