Wanneer wolken breken: Kwetsbaarheid van zeekabels en cloudverbindingen

Wolkbreuk van clouds

Het begrip ‘cloud’ kreeg al in de jaren negentig vorm. Het metafoor ‘cloud’ gebruikte David Hoffman in 1994 voor het eerst als communicatie specialist bij General Magic. Compaq breidde dit begrip uit naar cloud computing: het leveren van toekomstige computerdiensten via het internet. En daarbij ‘cloud-computing enabled Applications’ te ontwikkelen en internet service providers te voorzien van de (hardware) servers die hiervoor nodig waren. Een vooruitziende blik van Compaq. Begin 21ste eeuw groeide de cloud snel waarbij Amazon Web Services (AWS, 2002) en Simple Storage Services (S3, 2006) belangrijke commerciële mijlpalen waren.

Ik herinner me destijds bij EMC in 2006 de interne discussies over de potentiële paradigma verandering die hiermee voor data-opslag zou kunnen plaatsvinden. De transformatie van on-premise of ge-outsourcete data-opslag. Van fysieke, tastbare storage naar virtuele, onzichtbare storage. Hoe moest een storage leverancier hierop reageren? De jaren daarop ontstond een echte ‘wolkbreuk’ van clouds, frameworks en clouddiensten van bekenden zoals IBM, Oracle, Microsoft en Rackspace. In 2011 kwam de NIST, the National Institute  of Standards and Technology met de eerste formele definitie van cloud: ‘On-demand self-service, Broad network access, Resource pooling, Rapid elasticity en Measured service’. De stap van zelf-geïnstalleerde software naar Software als een Service (SaaS). 

Van ultieme oplossing naar duur en risicovol

Vanaf 2010 werd migratie naar de cloud steeds vaker opgenomen in de ICT-businessplannen, enerzijds om kosten van ICT-dienstverlening te verminderen – door het delen van gezamenlijke infrastructuur – én de flexibiliteit en schaalbaarheid van de dienst te vergroten. Begrijpelijk en nog steeds de meest geldige bedrijfsargumenten om van cloudleveranciers gebruik te maken. Een tweede belangrijk argument was de betere en hogere veiligheid van zowel de dienst als de gerealiseerde data-opslag. Immers, de grote cloudleveranciers konden vele malen beter deze veiligheid ontwerpen, inrichten en uitvoeren, dan dat kleinere ICT-organisaties dat ooit konden. 

Zoals in elke markt ontstonden dominante spelers die vanuit de bekende 80-20 regel uitgroeiden tot de Big Tech spelers die 80% van de cloudmarkt in handen hebben. Maar met de transitie naar de cloud, verdween ook veel van de interne ICT-deskundigheid bij bedrijven en organisatie. Net als water en elektriciteit uit het stopcontact, was nu computing ook als nutsvoorziening te gebruiken. Maar data is echter geen nutsvoorziening maar een asset. Het is zelfs geen ‘uitwisselbare asset’ zoals geldmunten of bankpapier, maar het is een ‘non-fungible’ asset of token. En specifiek bezit of bewijs dat uniek is en niet-uitwisselbaar is met een ‘andere set data’. Als je een €10 biljet uitleent, is het niet van belang dat je later een ander €10 biljet terugkrijgt. Of zelfs tien munten van €1. Ze zijn immers uitwisselbaar. Echter als je een koopcontract uitleent, wil je niet later een ‘ander’ vergelijkbaar koopcontract terugkrijgen. Deze informatie en data is immers niet uitwisselbaar maar uniek.

Data en cloud staan deels op gespannen voet

Data slaan we – net als geld – op in kluizen en dat worden als snel honingpotten voor personen en organisaties die deze opgeslagen bezittingen willen inzien, stelen of zelfs vernietigen. Data is net zo lastig als geld te beveiligen: je moet het enerzijds ‘ergens’ veilig kunnen opslaan, maar het moet ook kunnen stromen in processen om waarde toe te voegen. Het is goud en olie tegelijkertijd. Goud bewaar in kluizen en het transport beveilig je ook. Hoe meer waardevol en/of interessanter de opgeslagen en getransporteerde data wordt, hoe meer ‘verkeerde belangstelling’ voor die data-opslag en -stromen ontstaat. Om die data te bemachtigen of die economisch belangrijke stromen te verstoren. En dan komen onze zeekabels in beeld. 

Data – zeker digitaal – is in tegenstelling tot goud makkelijk te kopiëren en dus te stelen. Als iemand jouw data kopieert, heb je dat niet snel in de gaten. Immers je hebt je eigen data nog steeds. Een goudstaaf die weg is, mis je direct. Gestolen data is daarom veel lastiger te ontdekken. Zeker als het op afstand en uit het zicht staat, een hele grote, onoverzichtelijke  hoeveelheid is (geworden) en diefstallen steeds slimmer worden uitgevoerd. Het is niet ongewoon dat soms pas maanden later wordt ontdekt dat een grote hoeveelheid belangrijke data is ‘ontvreemd’ of ‘gekopieerd’. Dat wil zeggen dat de inhoud in handen van derden is gevallen. Natuurlijk zorgen cloudleveranciers dat zij optimale state-of-the-art beveiliging ontwikkelen en realiseren, maar het feit blijft dat grote ‘honingpotten’ nu eenmaal aantrekkelijker voor diefstal zijn dan als die honing slim verspreid is over een verzameling – onderling verbonden – kleinere potjes. Eén van de verschillen tussen het centrale Web2 en het decentrale Web3. 

Centralisatie versus decentralisatie

De enorme hype rondom de cloud paste in een periode dat ICT bij veel bedrijven en organisaties was uitgegroeid tot grote, inefficiënte ICT-afdelingen en bijbehorende datacenters. De mogelijke besparingen en gewonnen flexibiliteit was zo enorm groot, dat het een no-brainer was om naar clouddiensten te transformeren. Maar dat was ook in een tijd dat de veiligheid en de uitwisselbaarheid van leveranciers (nog) geen probleem was en niet hoog op de business agenda stond (zie mijn blog ‘Cloud is Chefsache‘). Maar die tijden zijn veranderd, evenals de wetgeving en aansprakelijkheid die intussen op dit gebied is ontstaan. En de langzamerhand ontdekte ‘fysieke kwetsbaarheid’ van cloud-infrastructuren om ze te saboteren, te beschadigen, te gijzelen of zelfs te vernietigen. 

Zoals een slinger altijd doorslaat, geldt dit ook voor transformaties. De mooie belofte van de cloud bleek na de hype toch op diverse gebieden haken en ogen met zich mee te brengen. Dat doet niets af van de schoonheid en de logica van het cloud-model: centraal diensten uitvoeren en daarmee efficiency en kostenbesparing realiseren. Vergelijkbaar dat centrale energiecentrales nu eenmaal vele efficiënter zijn dan duizenden verspreidde energiebronnen op zon en wind. Maar centralisatie brengt – denk aan kerncentrales – gevaren met zich mee, waardoor nu kleinschalige kerncentrales midden in de belangstelling staan. Decentralisatie wordt dan efficiënt én toch centraal genoeg. 

Centraal waar het moet of kan en decentral als het kan of moet

Die trend zien we bijvoorbeeld in de vorm van soevereine clouds terug. De cloud, maar vooral de data, veel dichterbij de eigen organisatie, binnen het eigen wetsgebied, misschien iets minder efficiënt dan ‘ergens’ centraal maar juridisch eenvoudiger, net zo veilig en opgesplitst in kleinere honingpotjes. De ontwikkeling van het decentrale Web3 vanuit de centrale Web2 wereld. Van het hub & spoke model naar gekoppelde grids met decentrale nodes en edge-devices. Koppelbaar met grote cloud-omgevingen waar goedkope processing-capaciteit en grote datalakes beschikbaar zijn en blijven voor massa computing op basis van Nvidia platformen en big data analytics voor grote kunstmatige intelligentie platformen. 

Een gezonde mix van groot en dus centraal waar het moet en klein en decentraal als het kan (of zelfs moet). De opkomst van kleinere, lokale cloudleveranciers is dan ook een evident en logisch toekomstbeeld. Ook voor Nederland, zelfs als we via zeekabels met de hele wereld van globale cloudleveranciers zijn verbonden. Maar soms moeten we handel en (eigen) veiligheid scheiden, ook in de cloud en zeker voor onze data. 

Door: Hans Timmerman (foto)