'Security bij cloudproviders wordt niet beter door overheidsregulering'

'Security bij cloudproviders wordt niet beter door overheidsregulering', Sjaak Laan van CGI naar aanleiding van het bericht van AG Connect: Witte Huis wil clouds van Microsoft, Google, AWS, Oracle betere beveiliging opleggen. In het AG-Connect artikel “Witte Huis wil clouds van Microsoft, Google, AWS, Oracle betere beveiliging opleggen” wordt op basis van een artikel van de website Politico gesteld dat grote cloudproviders, zoals Amazon AWS, Microsoft Azure en Google GCP too big to fail zijn en dat de Amerikaanse overheid de security van cloudproviders wil gaan reguleren.

De afgelopen jaren hebben veel organisaties hun IT-systemen gemigreerd naar grote cloudproviders. Hierdoor zou het omvallen van deze cloudproviders – en het daarmee uitvallen van een scala aan IT-diensten van overheden en bedrijven – een enorme schade veroorzaken. Een schade vergelijkbaar, of zelfs groter, dan die van de too big to fail-banken.

Een terechte zorg. De vraag is echter hoe dit risico beheerst kan worden. Het artikel op Politico stelt dat cloudservers niet zo veilig zijn gebleken als regeringsfunctionarissen hadden gehoopt. Onduidelijk is waaruit dit blijkt en wat de verwachtingen waren. Ook is het onduidelijk of het alternatief, het weer in eigen beheer nemen van de eigen IT-voorzieningen, tot hogere veiligheid zou leiden.

Ik durf dat wel te betwijfelen. Ter vergelijking: bij banken wordt ook soms geld ontvreemd door criminelen. Maar is het dan beter om je geld thuis in je matras te bewaren? Gezien de staat van IT-systemen bij de overheid zou ik verwachten dat de IT en security bij de cloudleveranciers veel beter op orde is.

Dat hackers uit landen als Rusland cloudservers van bedrijven als Amazon en Microsoft gebruiken als springplank voor aanvallen op andere doelwitten is niets nieuws en heeft met bovenstaande weinig te maken. Als platform voor aanvallen is de cloud zeer geschikt. Maar dat staat los van waar de doelwitten zich bevinden.