Lees hier het volledige verslag.

Cyberdialoog ΙV, 17 januari 2014
‘ Trust in the Cloud’
Op 17 januari jl. vond de vierde cyberdialoog plaats. De ‘cloud’ is een fenomeen
omgeven met enig mysterie en roept veel nieuwe vragen op. Kunnen we de cloud wel
vertrouwen? Kunnen we iets doen om de cloud betrouwbaarder en
vertrouwenwekkender te maken? En zo ja, wie zijn er dan aan zet? Deze kwesties
rondom het thema ‘Trust in the Cloud’ werden tijdens de vierde dialoogbijeenkomst
besproken. Aan het begin van de dialoog werden de deelnemers gevraagd om suggesties
voor de agenda van research, investment, security en miscellaneous, die niet ter sprake
kwamen tijdens de dialoog, op te schrijven op post-its. Het is mogelijk om de suggesties
hier te bekijken. Enkele opvallende punten uit de dialoog:




Transparantie en accountability zijn cruciaal voor het vertrouwen in de cloud.
De overheid heeft ook een rol bij het vertrouwen in de cloud door de manier
waarop de overheid zelf omgaat met het verzamelen en de opslag van data van
burgers.
Nederland is kansrijk als aanbieder van cloud infrastructuur.
Het is belangrijk om cloud kwesties op Europese niveau te coördineren, maar het
is problematisch om goede wetgeving vanuit de EU te formuleren zoals blijkt met
het dataprotectie framework.
Inleiding door Ian Brown
De dialoog werd afgetrapt met een lezing door Ian Brown, Associate Director van het
Cyber Security Centre van Oxford University en senior onderzoeker bij het Oxford
Internet Institute. Brown begon zijn presentatie met een definitie van de cloud (zie ook
de PowerPoint presentatie). Hij gaf aan dat elasticiteit de meest kenmerkende
eigenschap van de cloud is: de cloud is er op elk schaalniveau en nuttige cloud diensten
zullen drastisch groeien. Er zijn publieke, community, hybride en private clouds. Een
community cloud is typisch een voorbeeld van een hybride cloud, het heeft de schaal van
een private cloud en de voordelen van een publieke cloud. Brown maakt een
onderverdeling in vier soorten cloud diensten:




Dataopslag (vb. Dropbox)
Software (vb. Gmail)
Platform (vb. IBM Websphere)
Infrastructuur (vb. Amazon’s Elastic Compute Cloud)
Wat zijn de mogelijkheden en risico’s van de cloud? Mogelijkheden van de cloud zijn
onder andere minder kapitaalinvesteringen voor kleine en middelgrote bedrijven en
bedrijfscontinuïteit, er wordt een grote economische impact verwacht. De Europese
Commissie voorspelt bijvoorbeeld een cumulatieve impact op het GDP van €957 miljard.
Een groot risico is dat inlichtingendiensten en anderen toegang tot de data kunnen
verkrijgen, een risico dat na de recente NSA onthullingen wel evident is. Door encryptie
nauwkeurig te gebruiken wordt dit risico verminderd en hebben inlichtingendiensten
wettelijke bevoegdheden nodig om de data te verkrijgen. Problematisch is wel dat
overheden in veel landen deze wettelijke bevoegdheden om informatie te verkrijgen ten
behoeve van de nationale veiligheid ook daadwerkelijk hebben.
Vervolgens gaf Brown een aantal opties en voorbeelden om de risico’s van de cloud te
verkleinen en het vertrouwen in de cloud te vergroten. Volgens de Europese Commissie
vormen de zorgen om dataprotectie de belangrijkste drempel voor cloud computing. Om
dit te verbeteren streeft de commissie naar het vaststellen van technische standaarden,
het ontwikkelen van een model voor veilige een eerlijke contractvoorwaarden tussen het
cloudbedrijf en de gebruiker en een European cloud partnership. Frankrijk is aan het
investeren in een ‘soevereine cloud’. Een Frans privaat bedrijf is bezig om een cloud te
ontwikkelen gebaseerd op open source software. Industrieel beleid zou er volgens Brown
op gericht moeten zijn om autonome cloud capaciteit te ontwikkelen gebaseerd op open
source software en niet op systemen van de Verenigde Staten. Een laatste optie is het
gebruik van persoonlijke en vertrouwde clouds. Door bijvoorbeeld een app naar je eigen
vertrouwde infrastructuur te brengen en de app niet ergens anders te laten draaien
verminder je risico’s.
De dialoog
Kansen en risico’s
De dialoog begint met de vraag hoe er wordt gekeken naar de kansen en risico’s rondom
het centrale begrip de cloud. Een aantal deelnemers noemt de economische voordelen
en de mogelijkheden tot innovatie als kansen van de cloud. Een risico is dat bij een focus
op de grote cloud providers er hoge barrières ontstaan voor kleinere bedrijven om zich
op de cloud markt te begeven. Een deelnemer brengt daar tegen in dat we met een
ander perspectief moeten kijken, niet naar internetbedrijven, maar naar de digitale
infrastructuur. Kleine bedrijven hebben voordeel van een goede digitale infrastructuur.
Een ander risico dat wordt genoemd is dat mensen niet bewust zijn van security en geen
kennis hebben van hoe ze moeten omgaan met security kwesties doordat veel in de
cloud wordt geplaatst. Als security naar de cloud wordt ge-outsourced, komt er geen
bewustzijn op het niveau van bedrijven en consumenten.
Is vertrouwen mogelijk?
Een deelnemer geeft aan dat de vraag niet is of we de cloud kunnen vertrouwen, maar
of we onze regelgeving kunnen vertrouwen . De overheid heeft een grote rol in het
reguleren. Er komt een suggestie dat de overheid misschien wel sneller en flexibeler
moet zijn met regulering om het tempo van de ontwikkelingen en de innovatie bij te
kunnen houden . Iemand anders merkt op dat het er aan ligt welk probleem je wilt
oplossen. Wil je de economie een flinke boost geven, dan moeten we ons ontdoen van
alle regelgeving. Willen we de privacy beschermen, dan is regulering juist belangrijk. Er
wordt gesteld dat het echte probleem is hoe de overheid handelt en hoe de overheid zich
gedraagt. Dat heeft gevolgen voor vertrouwen. De overheid heeft een imagoprobleem,
overheden verzamelen data en we weten niet precies wat ze daarmee doen. De overheid
draagt een grote verantwoordelijkheid in hoe ze omgaat met de data die ze verzamelt en
opslaat.
Hebben de onthullingen van de NSA directe effecten gehad op het vertrouwen van
mensen in de cloud? Twee private partijen geven aan dat er vragen werden gesteld door
klanten, maar dat uitleg, goede communicatie en transparantie werkte om het
vertrouwen van klanten te behouden. Een kanttekening is dat ‘de cloud’ in termen van
beveiliging misschien wel minder veilig is dan andere IT oplossingen. Een deelnemer
geeft aan dat overheden ook verantwoordelijk moeten worden gesteld. Hierop komt de
reactie dat vertrouwenskwesties niet zozeer gerelateerd zijn aan overheden, door de
aansprakelijkheid van bedrijven te verhogen zal het vertrouwen wellicht toenemen en
zullen kleine bedrijven sneller gebruik maken van de cloud. Het is belangrijk dat
bedrijven transparant zijn. Hoeveel klanten van Dropbox weten bijvoorbeeld dat Dropbox
geen eigen servers heeft en gebruik maakt van de servers van Amazon? Met wie sluit
men eigenlijk een contract af? Concurrentie is de voornaamste drijfveer voor
transparantie: het moet mogelijk zijn om private bedrijven met elkaar te vergelijken.
Wanneer je je voor bepaalde diensten naar de cloud verplaatst zijn er echter diensten
die alleen Google en Microsoft kunnen leveren, en waar geen andere concurrenten zijn.
Dit is een ander soort risico dan die eerder zijn genoemd. Het is belangrijk dat
nieuwelingen toegang tot de markt hebben, anders zullen accountability en transparantie
niet werken. Internet heeft de neiging om oligarchieën te creëren. Kunnen we nog wel
terug naar een situatie van een competitieve markt met partijen die elkaar
beconcurreren? Federaties zoals de universiteiten of een Europese cloud zijn een
antwoord op de grote aanbieders van cloud diensten uit de Verenigde Staten.
Het Nederlandse perspectief
Waarom worden cloud diensten in Silicon Valley ontwikkeld, en niet hier? Silicon Valley
heeft historisch gezien een enorme capaciteit en veel servers, waardoor de grote cloud
aanbieders zich daar bevinden. Europa is voorzichtig, maar wil wel met de grote jongens
concurreren. Een deelnemer merkt op dat Nederland als facilitator en aanbieder van
infrastructuur – in tegenstelling tot mogelijkheden voor software clouds – wel degelijk
een hele grote speler is in het internationale veld, onder andere door AMS-IX, maar dat
de diensten uit de Verenigde Staten komen. We kunnen daarom misschien voortbouwen
op onze infrastructuur. Nederland heeft een relatief kleine markt, maar op het gebied
van innovatie kan Nederland een grote speler worden.
Er is echter een groot verschil tussen Silicon Valley en Nederland volgens één van de
deelnemers. In Silicon Valley wordt het internet en software gezien als een engine for
growth. In Nederland heeft men een wat angstige houding ten aanzien van
wetmatigheid, men denkt eerst na over de regels, terwijl de regels continu veranderen.
De Amerikaanse houding is meer van we doen het gewoon en we zien wel wat er op ons
pad komt. ‘Software eats the world’. Nederlanders hebben de neiging om eventuele
toekomstige problemen overmatig te analyseren. Wel worden grote Amerikaanse
bedrijven enigszins beperkt doordat ze gebonden zijn aan de nationale wetten en
markten van landen waarin ze opereren, dat is iets waar deze bedrijven mee om moeten
gaan. Iemand anders vraagt of dit verschil tussen de Amerikaanse en Nederlandse
houding ook een verschil is tussen de NSA en de AIVD.
Wat te doen?
Het is belangrijk om onderscheid te maken tussen het vertrouwen van consumenten in
cloudbedrijven en de kwestie van vertrouwen in overheden en wat zij doen met de data
die zij verzamelen. Vanwege de vele private partijen aan tafel wordt het vertrouwen van
consumenten in cloudbedrijven besproken. Moeten we daar iets aan doen? Of laten we
de concurrentie het werk doen? Iemand vindt het bijzonder dat er momenteel geen
gedragscode is voor bedrijven. Consumenten begrijpen het simpelweg niet en daarom is
tegenwicht nodig, bij Dropbox begrijpen mensen bijvoorbeeld niet dat ze eigenlijk
gebruik maakten van Amazon. Transparantie is belangrijk. Er is voor bedrijven geen
wettelijke verplichting om rekening te houden met privacy en er is ook geen
marktdynamiek die dit regelt. Consumenten – ook kleine en middelgrote ondernemingen
– weten niet wat er gebeurt in de cloud.
Veel bedrijven passen geen encryptie toe vanwege de kosten. Daar is een business case
voor nodig. Iedereen verwacht dat een ander de security regelt. Niemand wil ervoor
betalen. Kunnen we cloud computing beschouwen als een opkomende markt waarin veel
kwesties nog niet opgelost zijn? De business case is cruciaal en voor sommige zaken is
het goed om standaarden te bepalen. Het is lastig om vanuit het perspectief van
privacybescherming tot meer vertrouwen te komen, het dataprotectie framework van de
EU zal daar in elk geval niet voor zorgen. Er is bezorgdheid over de kwaliteit van de
Europese wetgeving en er wordt enigszins sceptisch gedacht over regulering. Iemand
vraagt zich daarom af wat de alternatieven zijn? Eén van de suggesties is geen
voorschriften over hoe je security moet regelen, maar wel voorschrijven dàt je het moet
doen is. Een andere suggestie is meer onderzoek naar de cloud markt, de dynamiek, de
kansen en de mogelijkheden. Nog enkele andere suggesties: de verplichting voor een
bedrijf om een data breach te melden geeft bedrijven een prikkel om te verbeteren.
Opleiding van ethische hackers is belangrijk, om data op een goede manier te kunnen
beschermen moet een hacker denken als een crimineel. Het NCTV is hiermee bezig en
daarnaast is de responsible disclosure een groot succes.
Reacties
Wat nemen de deelnemers van deze bijeenkomst mee naar huis? Een greep uit de
reacties:





De cyber security strategie zit op de goede weg. Wat nog mist en waar op
gestuurd moet worden is het promoten van keuzes en zelfhulp.
Echte transparantie en marktvergelijking maakt keuzes mogelijk.
Er is nog veel werk voor mij te doen (wetenschapper).
Cloud is niet technologisch, maar een economisch model, waar we mee om
moeten leren gaan.
Moeilijk. Een beetje teleurgesteld, ik had gehoopt op een meer strategisch en
lange termijn perspectief als het gaat om vertrouwen, machtsrelaties en
technologie.
Conclusie door Ian Brown
Brown geeft aan dat hij het een interessante discussie vond en het interessant was om
het Nederlandse perspectief te horen. Zijn conclusie bestaat uit drie punten:



Het genereren van een vraag naar veiligheid is altijd een probleem, omdat
niemand de kosten en aansprakelijkheid op zich wil nemen.
Het onderwijs van hackers is van belang om ze te trainen in cybersecurity. Het
Verenigd Koninkrijk heeft bijvoorbeeld fondsen om vijftien doctoraal studenten
per jaar op te leiden.
De kwesties moeten door de Europese Unie worden gecoördineerd en niet door
individuele lidstaten. De dataprotectie en cyber security strategie van de
Europese Unie moeten beter met elkaar worden geïntegreerd.
De agenda’s
http://padlet.com/wall/4uzku3s8gw
Research: Een aantal suggesties voor een research agenda gaat over het ontwikkelen
van de cloud zelf, zoals waarom ontwikkelen clouds zich niet hier en wel in de Verenigde
Staten? Wat zijn de barrières om toe te treden tot de cloudmarkt? Andere suggesties zijn
vooral gericht op het vertrouwen en de veiligheid van de cloud. Hoe ontwikkelt
vertrouwen zich onder cloud gebruikers? Hoe bereik je accountability en transparantie?
Of ervoor zorgen dat er empirische data beschikbaar komen over wat acceptabele
niveaus van informatieveiligheid zijn. Er worden ook suggesties gedaan voor onderzoek
naar de externe effecten van de cloud, zoals de effecten op mensenrechten. Of nationale
clouds leiden tot Balkanization van het internet en of Balkanization een probleem is.
Investment: Er zijn suggesties om te investeren in databescherming, transparantie en
accountability. Daarnaast zijn er suggesties om te investeren in de cloudmarkt, om te
zorgen voor een open markt en te investeren in de infrastructuur. De overheid moet
zorgen voor een gunstig innovatieklimaat en “software as engine for growth”. Er is ook
een pijl geplaatst die wijst van investment naar research, oftewel we moeten investeren
in onderzoek.
Security: Veel suggesties gaan over de noodzaak van accountability en transparantie.
Zoals: de accountability van overheden en veiligheidsdiensten is cruciaal, en
accountability is essentieel voor leveraars van clouddiensten en overheden. Er wordt ook
een aantal suggesties gedaan over regelgeving, zoals versnel de regelgeving, en
rechtsregels moeten openbaar worden gemaakt. Daarnaast is er nog een aantal andere
suggesties, zoals encryptie moet standaard te zijn, en er is een verschil tussen publieke
en private clouds.
Miscellaneous: De suggesties variëren erg, bijvoorbeeld “whishful thinking vs. real
solutions”, bevorder keuze, het Nederlandse perspectief, minder aarzelen bij het
verkrijgen van rechterlijke uitspraken, dwing regelgeving af bij grote spelers uit de VS.