Cloud is anno 2020 een vast onderdeel van onze IT-wereld. Er is geen bedrijf meer dat er niet direct of indirect gebruik van maakt. Ook bij AI gaat het momenteel de facto over data en functies in de clouds van Amazon Microsoft of Google. En het IoT bestaat uit apparaatjes met een verbinding die data opslaan in- of halen uit: een cloud.
Cloudgebruik is laagdrempelig. Maar die laagdrempeligheid is er niet voor zekerheid en conformiteit: voldoe ik met het gebruik van cloud aan de toepasselijke wet- en regelgeving? Twee recente gebeurtenissen illustreren het probleem. Eind maart van dit jaar meldde het AD dat medische data in de Google-cloud worden opgeslagen. Dat leidde tot kamervragen en een onderzoek door minister Bruins. De conclusie van het onderzoek van het ministerie was dat er niks aan de hand is. Het mag en het kan.
In september stuurde het CIO Platform Nederland, de organisatie van CIO’s van 129 grote bedrijven, een brandbrief aan de Autoriteit Persoonsgegevens. De strekking: het is zo complex en kostbaar om AVG compliance bij gebruik van allerlei cloud services aan te tonen dat het onbegonnen werk is. Het CIO Platform onderbouwt zijn stelling met de case “SLM Microsoft Rijk”. De overheid kon Microsofts cloud services pas gebruiken na een intensief traject van audits en onderhandelingen over enkele relatief kleine aanpassingen.
Ongelijk speelveld
Beide cases illustreren dat de gangbare methoden om zekerheid over clouds te bieden niet voldoen. Het probleem van certificaten of ISAE3402-verklaringen is dat die niet bedoeld zijn voor afnemers in de breedte maar hooguit voor 1 of enkele klanten, of om een oordeel te vormen over de eigen organisatie van de cloud service provider (CSP). In het beste geval is informatie opvraagbaar maar de materie is te complex voor een gemiddelde afnemer. ISAE3402-verklaringen mogen zelfs alleen aan een andere auditor ter beschikking worden gesteld. Daarom verzint iedereen die risico’s loopt strategieën om toch wat extra zekerheid te krijgen. Maar dan creëren machtsverhoudingen een ongelijk speelveld. Grote afnemers zoals de overheid lukt het soms nog wel om bij leveranciers audits te doen, aanvullingen te vragen of aansprakelijkheid af te wentelen. Maar als MKB-ondernemer heb je bij reuzen als Microsoft of Amazon geen schijn van kans. Andersom maken grote afnemers misbruik van kleinere CSP’s die onder de commerciële druk “compliance maatwerk” accepteren of aansprakelijkheid die ze eigenlijk niet zouden moeten willen dragen.
Assurance-keurmerken
Er is maar één oplossing mogelijk: Assurance-keurmerken die aansluiten bij de behoeftes van cloudgebruikers in algemene zin. Daarvoor is een systematiek nodig die we kennen van de financiële jaarrekening, in feite een rapportagestandaard die voldoet aan wettelijke eisen. Met een jaarrekening weten we immers genoeg om zekerheid te hebben over hoe het er financieel voor staat en of de organisatie in control is. No further questions asked. Nu nog het equivalent voor cloud.
Zulke keurmerken moeten conformiteit met wettelijke eisen van de gehele clouddienst aantonen, inclusief toeleveranciers zoals datacenters in de keten. Ook moet zo’n rapport of keurmerk duidelijkheid geven over het toepassingsprofiel qua risico en over de gebruikte normenkaders en maatregelen. Daarbij kan degene die het keurmerk afgeeft wel voortbouwen op bestaande certificeringen en rapporten.
Positieve ontwikkelingen
Gelukkig zijn er allerlei positieve ontwikkelingen op dit gebied. Partnering Trust is een privaat-publiek project van het ministerie van Economische Zaken en Klimaat dat zich in europees verband richt zich op deze problematiek. Door de inbreng van onder andere Nederland spreekt ook de Europese CSA (cyber security act) over “assurance”. Nederland participeert in de werkgroep CSPcert van ENISA, de Europese organisatie die belast is met de uitwerking van de CSA. In Nederland is er het keurmerk “Zeker-Online” dat werkt conform de geschetste methode en door een groeiend aantal aanbieders wordt gebruikt. In Duitsland is er het keurmerk Trusted Cloud. Nederland en Duitsland hebben afgesproken Trusted Cloud en Zeker-Online wederzijds te erkennen. Ook Norea, de beroepsorganisatie van IT auditors, wil een belangrijke rol gaan spelen door het maatschappelijk belang van IT audits en verklaringen hoger op de agenda te zetten in de IT audit praktijk.
Maar uiteindelijk moeten CSP’s deze aanpak gaan omarmen. Dat is in hun eigen belang want zekerheid moet net zo laagdrempelig zijn als het gebruik van de clouds zelf. Het tijdperk van “vertrouw ons maar” is voorgoed voorbij. Cloudaanbieders die het voortouw nemen bij assurance krijgen naar mij stellige overtuiging een voorsprong in de EU. De digitale jaarrekening heeft daarom de toekomst.
Lees het hele artikel bij AG Connect
Tekst: Michiel Steltman