Coviello van RSA: cloudcomputing niet veilig genoeg

Cloudgebaseerde services worden uitgerold zonder dat er voldoende aandacht wordt besteed aan het beveiligen van deze services en de informatie die zij verwerken. Dat was de bevinding van een recente studie in opdracht van RSA Security.

Hoewel de bevindingen van het rapport alarmerend zijn, is er nog steeds tijd voor aanbieders van deze diensten om het probleem aan te pakken, zei Art Coviello, executive vice president bij EMC en president van RSA Veiligheid. De sleutel is om te kijken naar beveiliging als een integraal onderdeel van de service en niet als een add-on-functie, zei hij.

Coviello ging onlangs met IDG News Service zitten om de beveiliging van cloud-gebaseerde services te bespreken. Wat volgt is een bewerkte transcriptie van dat gesprek:

[Meer informatie: Hoe malware van uw Windows-pc te verwijderen]

IDG-nieuwsservice: was u verrast door de bevindingen van het rapport?

Art Coviello: Het was verrassend voor mij dat veel van deze cloud computing werd gedaan met de beveiliging die achterbleef, omdat ik cloud computing zag als een kans om echt de manier te veranderen waarop mensen de beveiliging benaderden. In wezen herbouw je de informatie-infrastructuur van de grond af. Het zal jaren duren voordat al deze legacy-systemen worden verplaatst, hetzij naar interne, private clouds of externe clouds, of een combinatie daarvan. Uiteindelijk is dat waar het naar toe gaat en omdat we kennis hebben en vooruit denken over alle problemen die we de afgelopen tien jaar in veiligheid hebben gehad. Je zou denken dat we onze les over bouwen hebben geleerd beveiliging in. Dat gezegd hebbende, het zijn nog steeds erg vroege dagen. Hoewel ik het onderzoek alarmerend vind, vind ik het niet noodzakelijkerwijs beslissend dat dit de manier is waarop het zal blijken. IDGNS: maakt deel uit van het probleem dat leveranciers niet noodzakelijkerwijs aansprakelijk zijn voor al het risico dat aan het aanbieden is verbonden deze diensten? Zouden de diensten veiliger zijn als ze al dat risico volledig zouden moeten nemen?

Coviello: Het zou kunnen zijn als de persoon die deze diensten koopt niet voorzichtig is. Maar het is moeilijk voor te stellen dat een verantwoordelijke aanbieder van deze diensten opzettelijk hun aanbod onveilig zou maken. Wee hun, ze zullen snel uit de handel zijn. Het enige waar u zeker van kunt zijn, is dat er een inbreuk is op de beveiliging van een van deze services, dat iemand gewoon zijn infrastructuur gaat gebruiken en ergens anders heen gaat. Het is een stuk eenvoudiger om dat in een cloudomgeving te doen dan wanneer u uw infrastructuur hebt uitbesteed.

IDGNS: Hoe weet een bedrijf dat een aanbieder van cloud computing een veilige service biedt?

Coviello: Enterprises beschikken over de middelen en de vaardigheid om de mogelijkheden van de cloudaanbieder en hun bekwaamheid op het gebied van beveiliging te evalueren, en ze zouden dom zijn om geen grondig onderzoek te doen omdat ze alles uitbesteden.

Coviello: Het is bijna te vroeg om te vertellen. Hoeveel gevallen ziet u daar van cloud computing? Ik kan je een aantal plaatsen geven waar er onzekerheden zouden kunnen zijn. Waar mensen zich zorgen over maken is het samengaan van informatie, en dat is misschien wel het minste van iedereen, omdat het heel eenvoudig is om gegevens te partitioneren. Waar ze zich meer zorgen over zouden moeten maken, zijn de toegangscontroles, wat de authenticatiemechanismen zijn, hoe je ervoor zorgt dat informatie niet op de een of andere manier naar buiten lekt.

Ik zou me zorgen maken over die dingen, maar dit zijn dingen die onderzocht en ontwikkeld moeten worden als mensen een gevoel beginnen te krijgen voor wat cloud computing allemaal inhoudt.