Vijf cloudzaken die belangrijker zijn dan de Patriot Act

cloud.pngWe gaan naar de cloud maar oh jee dat mag niet want de Patriot Act. Het meest gehoorde bezwaar tegen dienstverlening uitbesteden aan een cloudprovider. Met de Patriot Act in de hand kan de FBI ongegeneerd snuffelen in clouddata, ook als het gaat om Europese persoonsgegevens. En daarmee handel je in strijd met onze Wbp. Oh jee. Ja, toegegeven dat is een probleem. Maar in de praktijk heb ik dit nog nooit tot een écht conflict of overheidsoptreden zien leiden. Maar wat er wél in de praktijk misgaat, zijn deze vijf dingen.

  1. Data-export: ben je in staat je data te exporteren in een formaat waar je ook werkelijk mee kunt werken? Of zit alles ‘opgesloten’ in het formaat van de cloudleverancier en moet je met copypaste vanaf het scherm alles over zien te zetten naar je nieuwe leverancier?
  2. Continuïteit: wat ga je doen als de dienst niet meer beschikbaar is? Is er een lokale backup of een alternatief waarmee je tijdelijk door kunt? En vooral: wat ga je doen als de dienst ermee stopt, bv. vanwege faillissement of overname+stekkeruitname. Menig clouddienst(je) blijkt ineens verdwenen omdat de achterliggende startup er geen geld meer voor heeft.
  3. Beschikbaarheid: flauw maar wél belangrijk. Als een dienst er niet is terwijl je daar wel op rekent, dan gaat het mis. Heb je een Service Level Agreement afgesloten? Staan daarin de kerncijfers en prestatie-indicatoren die je echt nodig hebt? 99% uptime betekent 3,5 dag downtime per jaar. Dat klinkt misschien als te overleven, maar wat als dat elke week 2x een half uur storing midden op de dag is? En staat er echt een boete in het contract, of krijg je 1/30e van de maandelijkse vergoeding terug? En wat héb je daaraan?
  4. Datalekveiligheid: een species van beveiliging in het algemeen natuurlijk. Maar wel een belangrijke, want een datalek levert je een forse hoeveelheid slechte publiciteit op. En wanneer de Europese Privacyverordening van kracht wordt, komen er boetes op het laten lekken van persoonsgegevens. (Ook andere data wil je natuurlijk niet laten lekken, maar dan moet je de boete zelf contractueel afspreken.)
  5. Voorwaarden-billijkheid: de algemene voorwaarden van veel cloud- of SaaS-diensten zijn erg eenzijdig of bevatten opmerkelijke clausules. Zo wordt vaak tussen neus en lippen door een onbeperkt gebruiksrecht op de klantdata opgevraagd (nog net niet “Wij mogen uw foto’s op t-shirts verkopen” maar het scheelt niet veel) en

Missen jullie nog dingen? Wat zijn jullie problemen met clouddienstverleners, of juist met hun klanten?

Arnoud<br/> PS: meer weten over cloud, security & continuïteit? Kom naar onze training op 11 februari!

24 reacties

  1. Maar hoe kan een potentiële klant die datalekveiligheid inschatten? Er zijn hier wel een paar standaarden voor en vaak mooie verhalen over veiligheid op de website, maar in de praktijk worden ook dan soms nog enorme blunders gemaakt.

  2. Wat dacht je van: 6) Opslag persoonsdata: Wordt privacy-gevoelige data binnen de EER opgeslagen? Indien in de USA: heeft de ?aaS-aanbieder de Safe Harbor-verklaring ondertekend? Laat deze USA-?aaS-aanbieder zich jaarlijks door een onafhankelijke(maar door opdrachtgever betaalde) partij auditten? En zijn deze rapportages opvraagbaar voor klanten? Tekent de ?aaS-bieder een WBP-bewerkersovereenkomst? (Amazon AWS wil dit wel doen, Google vertikt dit pertinent). Mag een klant de werkwijze van de provider auditten of zijn er onafhankelijke audits die opvraagbaar zijn? Zijn access-logfiles opvraagbaar? Zijn deze klant-specifiek of staat hier ook data in van andere klanten van de provider? 7) Onduidelijkheid wie waarvoor verantwoordelijk is: Wie is verantwoordelijk voor patching? En voor welke componenten? Is er een actieve monitoring op het uitkomen van zero-day-patches? En wie meet de SLA-naleving? Meet de provider zijn eigen uptime? En volgens welke criteria?

  3. Zou het dan niet alsnog handiger zijn om de data in eigen beheer te houden? Zelf backups maken van kritieke data is hoe dan ook aan te bevelen, of je nou van cloud storage gebruik maakt of niet. Je kan de boel wel juridisch dichttimmeren, maar als je je gegevens via de juridische weg terug moet zien te krijgen, hoe lang zit je dan zonder je gegevens (of schadevergoeding)?

  4. Enige punten, met vast overlap met de reeds voorgestelde punten.

    Privacy: Hoe is dit in het contract geregeld? Treft de provider goede industrie-standaard maatregelingen ter waarborging veiligheid? Provider aangemeld bij WBP? Wat is de jurisdiction (waar staat de server)? Mag de provider aan uw data komen (voor technisch onderhoud, statistiek, onderzoek)?

    Veiligheid/Security: Hoe is de encryptie geregeld (indien in orde willen ze dit best vertellen)? Hoe gaat men om met dataverlies bij schade/ongevallen? Zweven back-ups met uw data rond op schijven buiten uw beheer? Welke maatregelingen zijn getroffen om datalekken tegen te gaan? Brute force protectie? Is men verplicht direct u op de hoogte te stellen bij een incident? Zal data vernietigd worden bij beeindiging van contract? Is de provider op de hoogte van de gevoeligheid van uw data?

    Geheimhouding: Wat zijn de lokale wetten voor server locatie? Wil de provider een geheimhoudingsverklaring tekenen? Is er een goed rollenmodel voor authenticatie of kan elk personeelslid van de provider bij uw data? Is er een support wachtwoord of zelfs een superuser wachtwoord?

    Management: Is de provider (ISO) gecertificeerd? Is de provider economisch gezond? Kan de provider u vertellen waar alle servers staan waar uw data mogelijk op beland (load-balancing)? Voert de provider audits uit? Data integriteit bij exports? Heeft de provider een goed track record online voor andere contracten? Kunt u gemakkelijk bij uw eigen data en is deze doorzoekbaar? Vendor lock-in mogelijk?

    Audits: Is afgesproken waar de data mag worden opgeslagen (wel op servers in Duitsland, maar niet op servers in Ijsland)? Is duidelijk wie audits uitvoert en is hier belangenverstrengeling mogelijk? Mag de audit-partij bij uw data?

    Compensatie bij dataverlies: Hoe is (permanent) dataverlies geregeld? Boetes? Backups? Hoe hoog zijn de boetes? Wat zijn de voorwaarden voor schadeloosheidstelling?

    Subcontractors: Heeft de provider subcontractors in dienst die bij uw data kunnen? Welke subcontractors zijn dit? Regelt bv. men zelf de hosting of is dit uitbesteed?

    Aansprakelijkheid: De provider zal altijd proberen aansprakelijkheid bij dataverlies zo laag mogelijk te houden. Hoe laag is dit?

    Response tijd: Hoe snel (en hoe duidelijk) reageerd de provider op support vragen?

    SLA’s: Welke dingen worden gemeten voor kwaliteit, en doen deze dingen er wel toe? Kan de provider zich veroorloven om SLA’s te breken of is dit een stok achter de deur?

    Service: Hoe flexibel is de service support van de provider? Kunt u snel overstappen op een ander plan?

    Rampenplan: Is er een rampenplan aanwezig? Kan men overschakelen op andere servers bij overstromingen of brand?

    Contractbeindiging: Hoe is dit (legaal) geregeld. Mag de provider uw contract opzeggen?

    Ombudsman: Hoe worden klachten afgehandeld bij een probleem waar provider en klant er niet uitkomen?

    Virussen/malware: Kunt u de provider vertrouwen om virussen en malware zo goed mogelijk tegen te gaan?

    Bedrijfsovername: Mag de provider worden overgenomen door een andere provider, en wat gebeurd er dan met uw contracten en data?

    Verandering voorwaarden: Word het veranderen van voorwaarden duidelijk aangegeven, en kunt u bezwaar maken?

    Publiciteit: Mag de provider u als klant noemen? Mogen ze uw logo gebruiken? Mogen ze aangeven wat voor data u opslaat in een case study?

  5. 8) waar staat de data, nu en in de toekomst Als ik met mijn klant afspreek dat data in de EU wordt opgeslagen, staat deze en de evt cloud provider backup ook daadwerkelijk in de EU (of wordt er voor redundancy ook data elders (hee daar is de stroom goedkoper) opgeslagen.

    Een beetje gelinkt met de andere items. Nu heb je een locale cloud maar die wordt door google/ms/aws overgenomen en dan?

    9) hoe kan jouw klant jou auditen? Kun je de audit vragen van je klant nog beantwoorden (gelinkt aan 6 😉

    • Track record: Welke incidenten in het verleden geven aan wat voor bedrijf het is, in welke landen opereert de provider nog meer? Heeft het bedrijf zich actief verzet tegen aanvragen van overheden (Twitter doet het veel beter dan bijvoorbeeld Facebook) -Veiligheid : Welke maatregelen neemt de dienstverlener om de infrastructuur te beschermen tegen hackers, wat zijn de mogelijkheden om data te versleutelen en gebeurd dit bij de klant, of centraal door de dienstverlener?
    • Certificering en Audit : Er zijn diverse certificering om aan te tonen hoe een bedrijf werkt en een audit van derden die redelijkerwijs aangeeft dat deze certificering daadwerkelijk wordt toegepast. Let ook op WAAROVER de certificering geldt, soms is dit namelijk maar op 1 onderdeel, of een deel van een datacenter.
    • Als bedrijf kun je de verantwoordelijkheid niet afschuiven naar dienstverleners. Je blijft altijd verantwoordelijk voor je data, ondanks dat je de zorg kunt uitbesteden (denk aan kinderen en de oppas).

    Nouja, er kunnen hier nog boeken over geschreven worden.

  6. En een geschillen-commissie? Ofwel, waar kun je terecht met je klachten naast justitie en de rechtbank? Sommige clouddiensten verwachten zelfs dat klachten via door hun gekozen commissies worden verwerkt. En het beveiligings-aspect mag wel opgerekt worden naar account-beveiliging. Want log je wel in met SSL/HTTPS? Krijg je er een hardware-token bij voor een speciale challenge/response code? Moet je een speciaal certificaat installeren op je PC voordat je kunt inloggen? En sowieso, wat zijn de hardware-vereisten om te kunnen inloggen? Ik weet namelijk nog dat toen ik begon met Windows Azure, dat ik niet met mijn Chrome OS laptop kon inloggen. Idem met mijn Android tablet. Als je cloud-account maar beperkt beschikbaar is, is dat best vervelend.

  7. Overigens zijn clouddiensten soms beperkt tot wat er mee mogelijk is. Het is een beetje vervelend als je bedrijf software ontwikkelt met Visual Studio/C# en je provider de beperking oplegt dat alleenn PHP gebruikt kan worden. Of alleen Python. Ook is het vervelend als de clouddiensten beperkingen leggen aan wat er in de clouddienst opgeslagen kan worden. Veel cloud-providers zijn niet erg blij als hun diensten worden gebruikt om b.v. porno mee te hosten, maar ze kunnen ook beperkingen opleggen aan politieke gedachtes (en Geert Wilders dus blokkeren) of religieuze gedachtes. (en de Paus dus blokkeren, want die is niet protestant.) Cloudproviders hebben vaak een bepaald soort bezoekers in gedachten en als dat niet overeen komt met de bezoekers van jouw website…

    1. @Wim, cloud diensten is iets anders als webhosting. Het gaat dan vaak over het onderbrengen van bedrijfsprocessen in de ‘cloud’. Dit kan gaan over publiekelijk toegankelijke delen, maar ook interne zaken waar nooit iemand anders als medewerkers van het bedrijf bij kunnen en mogen.

      Een andere misconceptie is dat cloud diensten per definitie op internet staan. Dit is niet zo. Het is ook niet iets nieuws. Het is niets meer of minder als het uitbesteden van diensten, software of infrastructuur naar een 3de partij. Dat doen we al sinds er computers bestaan, maar nu heet het ‘cloud’. Het naampje is nieuw en spannend. Toegang kan worden ontsloten via het internet, maar ook gewoon ordinair via een dataverbinding naar een 3rd party datacenter, of zelfs het eigen datacenter van het bedrijf in kwestie.

      Afhankelijk van wat en de vorm die gekozen wordt, kleven er specifieke voor- en nadelen aan, en daarmee samenhangende wettelijke eisen. Zo mag onze nationale telecomboer zijn klantgegevens niet zomaar buiten Nederland opslaan om redenen die iedereen zich wel kan voorstellen, en er zullen daar dus hele strikte afspraken over gemaakt moeten worden als ze met een internationale cloud provider in zee willen gaan.

      1. Ja en nee. Een vorige opdrachtgever van mij gebruikte een clouddienst om toegang te krijgen met email en voor sharepoint toepassingen. Enige probleem was alleen dat dit werd geregeld via een virtuele machine op een PC bij de provider. Dat betekende vooral dat ik iedere dag met een remote desktop moest inloggen op die virtuele machine om daar Outlook te kunnen starten. Of MS Word. En nee, geen koppeling met het eigen bedrijfsnetwerk dus dat was best lastig werken. Maar sowieso ben je afhankelijk van de middelen die de provider gebruikt in je eigen mogelijkheden om onderdelen ervan toe te kunnen passen. Dit is vooral van belang als je clouddiensten wilt integreren en wilt koppelen. En maar hopen dat de API’s met elkaar compatible zijn en de gegevens in het juiste formaat aanleveren. Denk bijvoorbeeld aan een development team van een groot bedrijf dat gebruik maakt van een GitHub provider voor versiebeheer en daarnaast een andere provider voor bug tracking en een derde voor projectmanagement. Het liefst koppel je dat allemaal aan elkaar zodat iedere bugfix in het versiebeheersysteem ook in de bugtracker wordt aangegeven en dat de projectleider weet dat de bug is opgelost. De realiteit is echter dat dit lang niet altijd even soepel loopt.In het ergste geval zit je als gebruiker opgescheept met meerdere accounts voor iedere dienst en doordat ze niet gekoppeld kunnen worden ben je steeds tijd kwijt om in te loggen.

        Een mooi voorbeeld hiervan is hoe de “Mijn overheid” website samenwerkt met de website van het UWV. Je logt in met DigiD op Mijn Overheid en leest dan daar dat er bericht klaar staat bij het UWV. Inclusief link naar het bericht. Je klikt op het bericht en POEF! Je mag weer inloggen met DigiD. Daarna krijg je het bericht te zien. En dat zijn maar twee diensten die slecht samenwerken.

        En inderdaad, clouddiensten zijn meer dan alleen Internet. Sharepoint is ook leuk in de cloud. Alleen lastig als je je servers wilt onderbrengen in een Cloud waar alleen Linux-systemen worden beheerd en jij in de cloud enkele, op Windows gebaseerde applicaties wilt laten draaien. Een website, Sharepoint, gezamelijke mailbox, noem maar op. Erg lastig als een clouddienst maar 80% van de functionaliteit aanbiedt en een tweede maar 60%. Dan heb je minimaal 40% overlap tussen beide diensten die je niet gebruikt en maximaal 20% dat je nog mist. Die laatste procentjes moet je dan nog aanvullen met een derde dienst, die natuurlijk ook de nodige overlap zal hebben. En alle drie zullen nog meer extra’s aanbieden die je totaal niet nodig hebt. Het moet met elkaar aansluiten.

  8. Als de beveiliging en de continuïteit niet voldoen hoef je over de andere 3 punten niet eens na te denken. In plaats van clouddiensten geheel uit handen te geven is het zeer eenvoudig om meest cruciale informatie op eigen cloudservers te plaatsen en te beheren. Hiermee voorkomt een organisatie een groot aantal issues. In combinatie met gebruik van de infrastructuur van grote cloudservice bedrijven kan dit een uitkomst zijn om op bepaalde zaken eindverantwoordelijkheid te nemen en aansprakelijkheid te aanvaarden. En terwijl ik dit schrijf komen bij mij twee vragen op: 1. Is een partij aansprakelijk wanneer een andere partij schade lijdt door doordat de eerste partij té makkelijke wachtwoorden hanteert? 2. Kan een advocatenkantoor zelf met goed fatsoen gebruik maken van clouddiensten?

  9. Gijs schreef:

    Het is niets meer of minder als het uitbesteden van diensten, software of infrastructuur naar een 3de partij. Dat doen we al sinds er computers bestaan, maar nu heet het ‘cloud’.
    Precies. Het is veel hype onder een nieuw naampje.

    Cloud lijkt ook op wat 500 jaar geleden (rond 1990) client-server en thin client heette. Dat moest het helemaal worden. Nooit meer iets van gehoord. Nu het er wel is, heet het opeens ‘wolk’. Wat jij wil.

    Het volk wil bedrogen worden.

    1. Cloud lijkt ook op wat 500 jaar geleden (rond 1990) client-server en thin client heette. Dat moest het helemaal worden. Nooit meer iets van gehoord.
      Tja, als software ontwikkelaar heb ik wel continu die woorden gehoord, maar werden vooral de meer technische benamingen ervoor gebruikt. Termen als ’thin client’, ‘client/server’ en ‘cloud’ zijn populairder bij marketeers, management en directie dan bij de doorsnee ICT’er. Die gebruiken deze termen als zilveren kogels en gouden hamers om ieder probleem van een oplossing te voorzien. “Ja, dan stoppen we de boekhouding in de cloud en de gebruiker krijgt dan een thin client die overal draait met een client/server architectuur die bla, bla, bla…” Ze weten het ook altijd zo makkelijk te maken. 🙂 En in werkelijkheid krijg je dan zaken als COM+, .NET Remoting, Azure, Web services en nog meer van die technieken die allemaal mooi onder de verzamelnamen van ‘Cloud’ passen. Als techneut ben je niet met de cloud bezig, maar met de waterdruppeltjes die de Cloud vormen. Ofwel, de techneuten voelen de nattigheid terwijl management met hun hoofd tussen de wolken zitten… Ik vind “Cloud” dan ook een perfecte benaming. 🙂

    1. Tilaa.nl is een mooi voorbeeld van hoe een beperkte keuze in functionaliteit sommige bedrijven gewoon dwars kan zitten. Ik kijk dan naar de databases die ze ondersteunen en dan bhebben ze wel PorstgreSQL en MySQL maar geen SQL Server of Oracle. En dat is een probleem voor gebruikers die data-migratie willen toepassen. Ze lijken wel Windows te ondersteunen maar hebben sterk de focus op Linux tools. Op zich is dat geen probleem maar er zijn genoeg bedrijven die eigenlijk exclusief met Windows (of Apple) bezig zijn. Je kunt dan te maken krijgen met cross-platform problemen. Zoals b.v. het probleem hoe je een klantenbestand uit het MySQL database systeem van Drupal kunt converteren naar een SQL Server database die het bedrijf intern wil gebruiken. De koppelingen zijn dan het probleem. En ja, daar is wel mee te werken, maar het blijft extra werk.

      1. Tilaa.nl is een mooi voorbeeld van hoe een beperkte keuze in functionaliteit sommige bedrijven gewoon dwars kan zitten. Ik kijk dan naar de databases die ze ondersteunen en dan bhebben ze wel PorstgreSQL en MySQL maar geen SQL Server of Oracle.

        Op een eigen VPS kun je installeren wat je wilt. Een cloud is bij hun in wezen een eigen netwerkje van VPS’en, dus daarop kan het vast ook.

        En dat is een probleem voor gebruikers die data-migratie willen toepassen. Ze lijken wel Windows te ondersteunen maar hebben sterk de focus op Linux tools.

        (Zelf gebruik ik FreeBSD, maar inderdaad, dat is ook Unix.) Terecht toch? Windows en internet, dat gaat voor mij nog altijd niet samen. Unix, internet en C zijn samen opgegroeid, en Microsoft wilde er jarenlang niks van weten. MSN (Microsoft Network) was tot voor kort een chatdienst, maar ooit is het opgezet als het alternatieve internet, maar dan van Microsoft, met gesloten standaards. Gode zij dank is dat totaal geflopt.

  10. ‘Maar in de praktijk heb ik dit nog nooit tot een écht conflict of overheidsoptreden zien leiden’. Nee, dat lijkt mij nogal logisch! Het idee van een geheime dienst is nou juist dat ze in het geheim opereren! Doordat de data eenvoudig ter beschikking worden gesteld hiermee aan de NSA en het oncontroleerbaar is of deze data überhaupt ooit ergens voor gebruikt worden , is inherent aan deze problematiek dat je geen overheidsoptreden in de praktijk zult opmerken. Dat maakt het juist zo kwalijk.

  11. Ik ben onder de indruk van het artikel en van de reacties. Ik werk voor het door de Europese Commissie geïnitieerde project Cloud for Europe. Dat project heeft als doel om een aantal problemen in Europa met cloud computing aan te pakken zodat uiteindelijk cloud computing meer gebruikt wordt (en daardoor economische groei stimuleert is de gadachte). De zaken die hier in deze blog en in de reacties genoemd worden slaan de spijker op de kop wat betreft problemen. Ik kan nog twee dingen toevoegen: In geval van bijvoorbeeld faillissement van de cloud provider wil je als klant wel in business blijven. De gebruikte cloud functionaliteit, de huidige stand van de transacties en de je gegevens moeten naadloos overgenomen kunnen worden door een andere cloud provider. Hoe zorg je daarvoor? Naast de Patriot Act bieden de FISA en Network Security Agreements (NSA) de Amerikaanse overheid verregaande mogelijkheden om gegevens af te tappen. Over die laatste twee hoor je maar weinig terwijl in Nederland vele bedrijven zijn die zo’n NSA hebben getekend.

    1. Dat project heeft als doel om een aantal problemen in Europa met cloud computing aan te pakken zodat uiteindelijk cloud computing meer gebruikt wordt (en daardoor economische groei stimuleert is de gadachte).

      Deze snap ik niet. “Cloud computing” is in principe gewoon een vorm van hosting / dienstverlening, en is voornamelijk een buzzword. Hoe “stimuleert dat economische groei” ten opzichte van de diensten die het vervangt?

  12. Mogelijke problemen die eventueel kunnen onstaan vanwege de patriot act zijn gemakkelijk te omzeilen: kies ervoor om je data op te slaan via een cloud-service provider van Nederlandse bodem. Deze zijn er genoeg en je hebt service zonder tijdsverschil. Als je het via een externe partij regelt dan is de continuïteit ook meteen geen aandachtspunt meer, deze wordt dan gewoon overgeschakeld naar een andere cloudprovider. Hetzelfde gaat voor de beschikbaarheid. In elk geval is het niet aan te raden om genoeg te nemen met minder dan 99,9 procent gegarandeerde uptime, 99,0 procent is voor een real-time service gewoon te weinig. Uitbesteding is voor cloud diensten zoals actieve back-up, voip of online werkplekken vaak de beste optie, zelf een investering doen weegt vaak niet op tegen de kosten (onderhoud, aanpassingen voor groeipotentieel, servers, ruimte voor datacenter). Bij Nederlandse servers is het ( in beginsel al kleine) probleem van de patriot act opgelost.

  13. Misschien handig om een deling te maken in het arktikel m.b.t. Cloud Hosting. Uit de reacties merk ik ook op dat er vaak verwarring is over “cloud”. Wellicht is het handig om dit in te delen op basis van PaaS (Virtual datacenter), IaaS (Cloud server / computing) en Apps (SaaS).

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.