Hoe veilig is de cloud eigenlijk?

Gepubliceerd op 3 augustus 2022 om 15:00

Meer en meer mensen én organisaties slaan hun gegevens op in de cloud. Cloudopslagdiensten als Dropbox, Google Drive, NordLocker, Internxt, iCloud en Microsoft OneDrive worden dan ook steeds populairder. Met het toenemende gebruik van cloudopslagdiensten, is er ook een groeiend bewustzijn rondom de risico’s die dit met zich meebrengt. Hoe veilig is cloudoplsag eigenlijk?

Toegankelijkheid als sleutel

Als je gebruikmaakt van een cloudopslagdienst, geef je je gegevens in feite in handen van derden. Als het om cloudopslag gaat, zijn er drie zaken waar je moet denken.

  1. Beschikbaarheid:

    Zijn de data die je opslaat in de cloud toegankelijk op het moment dat ze nodig zijn? Dat is waar beschikbaarheid over gaat. Dit aspect noemen we ook wel tijdigheid van informatie. Andere aspecten die een rol spelen zijn continuïteit (kunnen medewerkers doorwerken als er een storing optreedt?) en robuustheid (raakt het systeem niet overbelast als er veel mensen tegelijkertijd aan het werk zijn?).
  2. Integriteit:

    Is de informatie in de cloud juist en volledig? Als een onbevoegd iemand, bewust dan wel onbewust, gegevens aanpast, is dit een inbreuk op de data-integriteit. Een cloud moet data correct verwerken en opslaan. Gebeurt dat niet, bijvoorbeeld door een programmeerfout, kan is de integriteit van de gegevens niet gegarandeerd.
  3. Vertrouwelijkheid:

    Dit gaat over de vraag of alleen bevoegde mensen toegang hebben tot specifieke bronnen, gegevens en datastromen. Als iedereen bijvoorbeeld zomaar de financiële gegevens van een bedrijf kan raadplegen, is deze informatie onvoldoende afgeschermd. De vertrouwelijkheid of exclusiviteit is dan niet gewaarborgd. Logische toegangscontrole zorgt ervoor dat alleen geautoriseerde mensen toegang hebben tot systemen en gegevens.

Dit zijn de fundamentele basisprincipes van informatiebeveiliging. We spreken ook wel van de BIV-driehoek of het CIA-principe. ‘CIA’ staat in dit geval voor Confidentiality (vertrouwelijkheid), Integrity (integriteit) en Availability (beschikbaarheid).

Als we het over clouddiensten hebben, zijn we geneigd om twee vragen te stellen: hoe betrouwbaar en hoe veilig is het? Beide issues draaien in feite om toegankelijkheid. Betrouwbaarheid draait om de vraag of jij altijd bij je gegevens kunt. Beveiliging om de vraag of kwaadwillenden dat ook kunnen.

Hoe betrouwbaar is cloudopslag?

Betrouwbaarheid slaat vooral op de stabiliteit van de systemen die je gegevens hosten en de beschikbaarheid van je gegevens. Niemand wil zijn gegevens opslaan op een storingsgevoelig systeem. Aanbieders proberen de storingsgevoeligheid van hun systemen te verminderen door ze redundant uit te voeren, vaak op hardwareniveau. Dat betekent dat alle kritische componenten van het systeem, bijvoorbeeld de stroomvoorziening, meervoudig – vaak dubbel – zijn uitgevoerd. Gegevens worden meestal op ten minste drie verschillende harde schijven opgeslagen. Bovendien worden ze als het ware in stukjes gehakt en wordt elk stukje gecodeerd en op verschillende plekken opgeslagen.

Betrouwbaarheid slaat echter ook op de financiële gezondheid van de cloudaanbieder. Als je cloudaanbieder op de fles gaat, is het vaak lastig om nog bij je gegevens te komen.

Hoewel je aan de betrouwbaarheid van grote partijen als Google, Apple en Microsoft niet hoeft te twijfelen, ligt dat mogelijk anders bij sommige kleinere cloudaanbieders.

Hoe beveiligen clouddiensten je data?

De grote cloudaanbieders treffen stuk voor stuk vergaande maatregelen om je gegevens te beveiligen. Maar je kunt ook zélf extra beveiligingsmaatregelen treffen om je data te beschermen.

De eerste en meest voor de hand liggende beveiligingsmethode, is authenticatie. Dat betekent niets meer en niets minder dan dat je moet inloggen met een gebruikersnaam en wachtwoord om bij je gegevens te komen. Een sterk wachtwoord werpt al een eerste drempel op voor kwaadwillenden die bij je gegevens willen komen. De meeste hackers proberen immers, in ieder geval in eerste instantie, ‘gewoon’ via de voordeur binnen te komen, zij het zonder te kloppen.

Encryptie en omgevingsbeveiliging

De tweede beveiligingsmethode is encryptie, oftewel het versleutelen van je gegevens. Gegevensbestanden worden nagenoeg altijd versleuteld opgeslagen in de cloud, waardoor ze onbegrijpelijk zijn voor iemand zonder de juiste ‘sleutel’. Bij de grote cloudaanbieders beschik je zelf niet over de sleutel. Die is in feite ingebakken in de dienst zelf. Als je inlogt met je wachtwoord, wordt je data automatisch gedecodeerd. Er zijn echter ook kleinere clouddiensten waarbij je als gebruiker de sleutel daadwerkelijk zelf in handen krijgt. Dit betekent ook dat als je deze sleutel kwijtraakt, je niet meer bij je gegevens komt. Een simpele password reset is dan onmogelijk. Je kunt je gegevensbestanden overigens ook zélf coderen voor je ze opslaat in de cloud, met speciale versleutelingssoftware.

Naast de voorgaande vormen van netwerkbeveiliging, speelt ook de fysieke en omgevingsbeveiliging van datacenters een belangrijke rol bij de aanbieders van clouddiensten. We hebben het dan over zaken als fysieke toegangscontrole, inbraakpreventie, beveiliging van kantoren en beveiliging en onderhoud van computer- en netwerkapparatuur. Die fysieke beveiliging is er niet alleen om de peperdure hardware te beschermen, maar ook je gegevens. Het heeft immers weinig zin om de elektronische achterdeur dicht te timmeren als de fysieke voordeur openstaat. Bij de grote aanbieders kun je ervan uitgaan dat je gegevens niet in één, maar in twee of meer datacenters op afstand van elkaar worden gehost. In dit geval is er al een James Bond-scenario voor nodig willen kwaadwillenden er met jouw gegevens of de gegevensdragers vandoor gaan.

Vraag je tot slot ook af: hoe waardevol zijn mijn gegevens nu eigenlijk voor anderen? De kans dat je het slachtoffer wordt van een gerichte aanval is in de praktijk erg klein.

Cloudopslag veiliger dan lokale opslag?

Hoewel de afstand tot je gegevens misschien een gevoel van onveiligheid oproept, is cloudopslag stukken veiliger dan je vermoedelijk denkt. Je verstuurt je gegevens over een beveiligde verbinding naar een datacenter dat ongeveer net zo goed beveiligd is als Fort Knox, waar meerdere kopieën van je gegevens worden bewaard en ze gebruikmaken van de beste antivirussoftware. De kans dat je gegevens zoekraken, gewist worden, gecorrumpeerd raken of gestolen worden, is nihil.

Uiteindelijk is je thuiscomputer de zwakste schakel in dit geheel, en dat is niet anders dan wanneer je je gegevens lokaal opslaat. Je kunt je dus beter druk maken om de betrouwbaarheid en beveiliging van je eigen computersysteem dan je af te vragen hoe veilig je gegevens in de cloud zijn.

Privacyrisico’s van cloudaanbieders

Als je overweegt om je data op te slaan bij een cloudaanbieder, is er naast betrouwbaarheid en toegankelijkheid nog iets waar je rekening mee moet houden: welke privacyrisico’s loop ik mogelijk door zaken te doen met een cloudprovider? De Autoriteit Persoonsgegevens en andere Europese toezichthouders brengen momenteel cloud gebruik door overheden in kaart.

“Want zijn die data daar wel goed beschermd? Overheden hebben natuurlijk zeer veel gevoelige data over u en mij. Daar moeten hackers of buitenlandse overheden niet zomaar bij kunnen. Dus als overheden dit soort data in de cloud zetten, moeten ze daar vooraf goed over nadenken”, aldus Monique Verdier, vicevoorzitter van de Autoriteit Persoonsgegevens.

Sinds het Europees Hof van Justitie in de zomer van 2020 een einde maakte aan het Privacy Shield, ontvangen de nationale privacywaakhonden steeds vaker signalen dat cloudaanbieders zich niet houden aan de Algemene Verordening Gegevensbescherming (AVG).

Onderwijswereld versus Google

Een goed voorbeeld daarvan is de onderwijswereld. Uit een Data Protection Impact Assessment (DPIA) bleek dat onderwijsinstellingen ‘geen of onvoldoende grip’ hadden op de verwerking van metadata. De overheid attendeerde scholen op de privacyrisico’s van Google Workspace (dat aanvankelijk Google G Suit for Education heette). De Autoriteit Persoonsgegevens adviseerde onderwijsinstellingen om voorlopig te stoppen met Google Workspace. De toezichthouder concludeerde dat er ‘fundamentele vragen’ waren over privacybescherming en verwerking van persoonsgegevens waar eerst een antwoord op geformuleerd moest worden.

In juli 2021 wisten onderwijsorganisaties SURF en SIVON een akkoord te bereiken met Google om de privacy van leerlingen en docenten beter te waarborgen. De belangrijkste wijziging is dat Google niet langer als gegevensverantwoordelijke optreedt, maar fungeert als gegevensverwerker. Dat is een grote aanpassing, omdat hiermee paal en perk wordt gesteld in wat Google allemaal met de verzamelde metadata mag doen.

Onder de oude voorwaarden gebruikte de zoekreus deze informatie voor commerciële doeleinden, waaronder het tonen van advertenties. Doordat Google voortaan optreedt als gegevensverwerker, mag het metadata enkel nog gebruiken om haar diensten te onderhouden, bedreigingen aan te pakken en updates te ontwikkelen.

Bron: sivon.nl, surf.nl, fd.nl, curia.europa.eu, autoriteitpersoonsgegevens.nl, vpngids.nl

Bekijk alle vormen en begrippen

Meer actueel nieuws

Overzicht cyberaanvallen week 50-2021

Beruchte ransomwaregroep gebruikt Log4j-kwetsbaarheid bij aanvallen, Grapperhaus informeert Tweede Kamer over Log4j-kwetsbaarheid en misbruik Log4j-lek negen minuten na openbaarmaking. Hier het overzicht van afgelopen week en het nieuws van dag tot dag.

Lees meer »

Cybercrime nieuwsbrief 188 week 50-2021

Cybercriminelen scannen massaal op beveiligingslek ‘Apache Log4j’, elke beveiliger kan een doelwit zijn voor criminelen en vijf jaar en negen maanden gevangenisstraf voor eigenaar cyberbunker. Dit en meer lees je in nieuwsbrief 188.

Lees meer »

Phishing, nepshop en fraude meldingen week 50-2021

Het melden van 'digitale oplichting' pogingen is belangrijk, door het melden kunnen we andere potentiële slachtoffers behoeden voor het te laat is. Heb je een phishing mail, smishing bericht of werd je gebeld en vertrouw je het niet? Laat het ons, of onze collega's van Opgelicht?!, Radar, Kassa, of Fraudehelpdesk dan weten, want Samen bestrijden we cybercrime / digitale fraude. Ben je slachtoffer geworden van oplichting doe dan 'altijd' aangifte bij de politie.

Lees meer »

Vijf jaar en negen maanden gevangenisstraf voor eigenaar 'cyberbunker'

De Nederlandse eigenaar van de Cyberbunker, een van ‘s werelds grootste ‘kogelvrije hostingbedrijven’ voor illegale websites, is in Duitsland tot vijf jaar en negen maanden gevangenisstraf veroordeeld. Herman-Johan Xentt exploiteerde een datacenter voor het darkweb en wordt indirect verantwoordelijk gesteld voor de strafbare feiten van zijn criminele klanten.

Lees meer »