Veiligheidsanalyse; Cloud veiligheidsevaluatiemodel

Veiligheidsanalyse
Nut van een cloudcomputing-veiligheidsevaluatiemodel
Veiligheidsproblemen, en in het bijzonder de vertrouwelijkheid en de integriteit van gegevens, vormen voor de gebruikers van cloudcomputing een grote uitdaging. Er is sterk behoefte aan een model om het veiligheidsniveau van een cloudcomputingdienst snel en objectief te kunnen evalueren.
Dr. Tania Martin
eel organisaties en overheden hebben cloudcomputing op hun verlanglijstje staan. Kostenbesparingen, eenvoudige en snelle toegankelijkheid tot tal van informaticamiddelen, met veel mogelijkheden en minimale beheersinspanningen. Cloudcomputing is de laatste jaren een onontkoombaar en populair begrip geworden, dat uitgegroeid is van een vaag en risicovol concept, tot de ICT-strategie ‘van de toekomst’. Elke organisatie zal dit vroeg of laat integreren in het portfolio van oplossingen. Voor de definitie van cloudcomputing gebruiken we de standaard defini tie van NIST1: “Cloudcomputing is een model dat zorgt, op vraag van de gebruiker, voor het gemakkelijk toegankelijk maken van informatie via een snel netwerk tot een gezamenlijke groep van configu reerbare computer-middelen (zoals netwerken, servers, opslag, toepassingen en diensten) die snel kunnen worden gereserveerd en losgelaten met minimale inspanning of interactie met de dienstenleverancier. Cloudcomputing wordt getypeerd door vijf essentiële kenmerken, drie dienstenmodellen en vier uitrolmodellen.” Met budgetten (waaronder IT) die meer dan ooit onder druk staan, hebben vele organisaties en ook overheden cloudcomputing op hun verlanglijstje staan. Naast de kostenbesparingen is een andere reden de eenvoudige en snelle toegankelijkheid tot tal van informaticamiddelen. Dit met ogenschijnlijk oneindig veel mogelijkheden, en met minimale beheersinspanningen. In plaats van de volledige informatica-infrastructuur zelf te bezitten en uit te baten, kan elke organisatie simpelweg de middelen tijdelijk of permanent inhuren via een cloudleverancier. Hierdoor wordt de organisatie dus huurder (ook wel ‘tenant’ genoemd) van de infrastructuur in plaats van eigenaar. Het delen van de cloudinfrastructuur is echter meteen ook de achilleshiel van het cloudcomputingmodel. Gegevens bevinden zich bij externen en het is niet altijd duidelijk waar deze gegevens zich exact bevinden, hoe deze gegevens beschermd worden en door wie. Cyberaanvallen hebben aangetoond dat het delen van eenzelfde clouddienst misbruikt kan worden. Cloud kan daardoor iets minder veilig ogen dan een eigen infrastructuur. De veiligheidsproblemen, en in het bijzonder de vertrouwelijkheid en de integriteit van gegevens, vormen voor de gebruikers van cloudcomputing de grootste uitdaging, omdat ze nu eenmaal het volledige beheer van hun eigen gegevens niet meer volledig in eigen handen hebben.
Voor een organisatie kan dit gaan van algemene interne informatie (zoals e-mails, agenda’s, contacten) tot zeer gevoelige informatie (zoals klant gegevens en -transacties, financiële actieplannen, notulen van directievergaderingen, strategische overnameplannen). In de context van de overheid kan het ook gaan over de zeer gevoelige gegevens betreffende burgers en ondernemingen. Vandaar dat er nood is aan een model om het veiligheidsniveau van een clouddienst snel en objectief te kunnen evalueren. In dit artikel zullen eerst de belangrijkste veiligheidsaspecten bekeken worden die van essentieel belang zijn bij het overwegen van het gebruik van cloudcomputing, en die mogelijke veiligheidsgebreken aan het licht kunnen brengen. De veiligheidsaspecten vormen het eerste luik van het model en worden gegroepeerd in vier basiscriteria: governance, identiteitsbeheer / toegangscontrole, IT-veiligheid en operationele veiligheid. Daarna beschrijft het tweede luik van het model hoe we een dienst kunnen kiezen gebaseerd op de classificatie van de gegevens die de organisatie erop wil plaatsen.
 
Model als gids
Organisaties hebben veel keuzemogelijkheden uit binnenlandse en internationale cloudoplossingen van diverse leveranciers. Bekende en minder bekende namen hebben altijd een website die heel beperkte of zeer uitgebreide informatie prijsgeeft, inclusief video’s en certificatierapporten. Hoe kiest een organisatie uit deze grote diversiteit van aanbiedingen? Welke diensten heeft de organisatie echt nodig en welke diensten zijn optioneel / nice-to-have? Welke veiligheidsniveaus zijn beschikbaar? Allemaal relevante vragen die een antwoord verdienen. Om hieraan tegemoet te komen, heeft het onderzoeksteam van Smals in samenwerking met veiligheidsexperts een model ontwikkeld om de veiligheid van aangeboden clouddiensten zo objectief mogelijk te kunnen evalueren. Hiermee kunnen organisaties op een gestructureerde en gestaafde wijze bepalen hoe gegevens kunnen worden verwerkt in een cloudoplossing. Het model bestaat uit twee grote evaluatieluiken: • Luik A: een eerste vragenlijst (‘Security-assessment-cloud-service’) waarmee de organisatie het maturiteitsniveau in verband met de veiligheid van een specifieke dienst kan evalueren. Figuur 1 is een voorbeeld van een analyseresultaat (weergegeven in de vorm van een radar) van een ingevulde vragenlijst. • Luik B: een tweede vragenlijst (‘Client-guidecloud-assessment’) waarmee de organisatie de mogelijkheid kan evalueren om een specifieke clouddienst te gebruiken naargelang het soort gegevens dat de organisatie in deze omgeving wenst te plaatsen/gebruiken. Figuur 2 is een voorbeeld van het resultaat van zo’n vergelijking.
Figuur 1. Voorbeeld analyseresultaat van een eerste vragenlijst
 
Figuur 2. Voorbeeld van een vergelijkingsresultaat
 
De figuur herneemt de radar zoals verkregen na de toepassing van luik A. De zwarte lijn komt overeen met de behoeften en de eisen van de afdeling die de vragenlijst van luik B heeft ingevuld. Het eindresultaat van luik B baseert zich dus op een radar die resulteert uit luik A, aangevuld door de evaluatie van de afdeling.
Het model groepeert de belangrijkste veiligheidsaspecten in vier duidelijke basiscriteria: governance, identiteitsbeheer / toegangscontrole, IT-veiligheid en operationele veiligheid. Figuur 3 presenteert de belangrijkste kenmerken per basiscriterium.
Figuur 3. Belangrijkste kenmerken van veiligheidsaspecten

Compliance is een belangrijk element in de evaluatie van cloudcomputing. In de context van de Belgische sociale zekerheid en gezondheidszorg evalueert het model bijvoorbeeld expliciet de conformiteit van de clouddienst met het veiligheidsbeleid zoals opgelegd en gepubliceerd door de Belgische Kruispuntbank voor de Sociale Zekerheid. Dergelijke expliciete conformiteit wordt ook in de luiken A en B weergegeven door punten per criterium. Uiteraard is het model perfect aanpasbaar voor andere compliance-normen: deze punten zijn extra toegevoegd aan het model als illustratie dat compliance-normen kunnen worden toegevoegd. De kleurcodes zijn dezelfde als voor de radars:
• De groene zone (‘confidence zone’) vertegen woordigt het percentage dat een clouddienst met zekerheid aan een criterium voldoet.
• De gele zone (‘doubt zone’) vertegenwoordigt het percentage dat een dienst mogelijk aan een criterium voldoet. We spreken van ‘mogelijk voldoet’ om de geëvalueerde dienst niet te bestraffen: de ‘doubt zone’ geeft dus de vragen van de vragenlijst ‘Security-assessment-cloud-service. xlsm’ weer waar onmogelijk met zekerheid op geantwoord kan worden.
• De rode zone (‘death zone’) vertegenwoordigt het percentage dat een clouddienst niet aan een criterium voldoet.
Figuur 4 toont de vergelijkingen tussen de verschillende clouddiensten en de behoeften/eisen van een departement die de vragenlijst van luik B ingevuld heeft. Het model vergelijkt zo de dienst per basiscriterium om de analyse te vergemakkelijken.
 
Figuur 4. Vergelijking clouddienst per basiscriterium
 
Luik A
Luik A wordt hoofdzakelijk gebruikt door de raadgevers en deskundigen in IT-veiligheid die een rol als evaluator hebben. De gebruiksprocedure van luik A is als volgt:
• 1) Wanneer een evaluator geïnteresseerd is in een clouddienst die nog niet geëvalueerd werd, dan vult hij de vragenlijst ‘Security-assessmentcloud-service.xlsm’ in. Deze evaluatie mag enkel steunen op de publieke gegevens die de evaluator op voorhand heeft kunnen verzamelen (bijvoor-beeld op de officiële website van de dienstenleve rancier).
• 2) Zodra de vragenlijst ingevuld is, heeft de evaluator meerdere mogelijkheden: de resultaten rechtstreeks gebruiken (in een unieke analyse, ofwel in combinatie met luik B); de analyse delen met de andere evaluatoren zodat de resultaten nagekeken worden en de goedgekeurde ingevulde vragenlijst online gepubliceerd kan worden; beslissen om zijn evaluatie niet openbaar te delen, maar hij kan wel aangeven aan andere evaluatoren dat hij deze evaluatie reeds uitgevoerd heeft.
Op basis van ervaringen met dit model blijkt dat het invullen van de vragenlijst van luik A lang kan duren en lastig kan zijn. Dit is vooral het geval wanneer er zeer weinig goede informatie rond de clouddiensten te vinden is. Door samen te werken en gegevens te delen kan de werklast van de evaluatoren lichter gemaakt worden: elke dienst wordt slechts één keer geëvalueerd en de resultaten worden ter beschikking gesteld voor alle evaluatoren. Een dergelijke vragenlijst kan ook gebruikt worden om de gedetailleerde informatie van de leveranciers te verwerken na ondertekening van een expliciete geheimhoudingsclausule. In dit geval mogen de resultaten van de evaluatie evenwel niet publiek gemaakt worden.
Luik B
Luik B van het model is bestemd voor elke persoon die een clouddienst wil gebruiken en die zich afvraagt of die dienst wel voldoet aan de behoeften en eisen qua veiligheid. Het zou wenselijk zijn dat deze persoon een basiskennis heeft van informaticaveiligheid. Uiteraard zal de inhoud van de informatie bepalen hoe veilig de cloudoplossing moet zijn. Er is immers een enorm verschil tussen publiek toegankelijke informatie, enkel voor intern gebruik beschikbare informatie, vertrouwelijke organisationele informatie, persoonsgebonden informatie en strikt gevoelige informatie (zoals medische gegevens, salarisgegevens, enzovoort). Het eenvoudigste is om hier de link te leggen met de bestaande toegepaste informatieclassificatie in de organisatie, als deze bestaat.
De gebruiksprocedure van luik B is als volgt.
• 1) De afdeling die gegevens naar de cloud overbrengen, vult de vragenlijst ‘Client-guidecloud-assessment.xlsm’ in.
• 2) Daarna kiest de afdeling de geanalyseerde oplossing uit luik A, en kopieert de resultaten in de vragenlijst ‘Client-guide-cloud-assessment. xlsm’.
• 3) De afdeling krijgt dan een vergelijking van de behoeften en eisen met de gekozen oplossingen. Het eindresultaat helpt om bepaalde diensten die niet veilig genoeg zijn te elimineren; en om de potentiële oplossingen te selecteren die in lijn zijn met de verwachtingen qua veiligheid.
• 4) Het departement kan zich dan tot zijn (vaste) raadgever/deskundige in IT-veiligheid richten en vragen om de beste oplossing te valideren/kiezen.
De volledige vragenlijsten van het model (luiken A en B), evenals een aantal evaluaties van cloudoplossingen, kan men gratis terugvinden en downloaden via: http://www.smalsresearch.be/ tools/cloud-security-model-nl/
Voorbeeld: evaluatie vanuit luik A
Als illustratie wordt het volledige model toegepast op ‘Dropbox for business’.2 Eerst bekijken we de cloudoplossing vanuit luik A: evaluatie van het maturiteitsniveau in verband met de veiligheid van een specifieke dienst. Vanuit een governanceperspectief wordt het model toegepast en krijgt men resultaten, zoals te zien in figuur 5 . De minimale score (groen) geeft het ‘worst case’-resultaat qua governance-aspecten (in dit voorbeeld 41%), terwijl de maximale score (geel) het ‘best case’-resultaat weergeeft (in dit voorbeeld 66%). Bijgevolg is het verschil 25%, wat een aanduiding geeft van het aantal onbekende elementen.
 
Figuur 5. Evaluatie vanuit governance-perspectief
 
Vanuit identiteitsbeheer / toegangscontrole krijgt men resultaten, zoals te zien in figuur 6 . De minimale score (groen) geeft het ‘worst case’-resultaat qua toegangsaspecten (in dit voorbeeld 64%), terwijl de maximale score (geel) het ‘best case’-resultaat weergeeft (in dit voorbeeld 72%). Het verschil is slechts 8% wat aangeeft dat er zeer veel informatiebronnen zijn om een oordeel te vellen over identiteitsbeheer / toegangscontrole.
Figuur 6. Resultaten vanuit identiteitsbeheer / toegangscontrole
 
Vanuit IT-veiligheidscontrole krijgt men resultaten, zoals weergegeven in figuur 7 . De minimale score (groen) geeft het ‘worst case’-resultaat qua IT-veiligheidsaspecten (in dit voorbeeld 37%), terwijl de maximale score (geel) het ‘best case’resultaat weergeeft (in dit voorbeeld 76%). Hier is het verschil enorm met ruim 39% onbekende elementen om een duidelijk beeld te krijgen van de IT-veiligheidsaspecten. Dit geeft aan dat er veel onbekende elementen zijn waardoor er veel ruimte voor interpretatie is door de evaluator. Ten slotte wordt het model toegepast op de operationele veiligheidsaspecten (figuur 8) . De minimale score (groen) geeft het ‘worst case’-resultaat qua operationele veiligheidsaspecten (in dit voorbeeld 20%), terwijl de maximale score (geel) het ‘best case’-resultaat weergeeft (in dit voorbeeld 66%). Ook hier is het verschil enorm met ruim 46% onbekende elementen om een objectief eenduidig beeld te krijgen van de operationele veiligheidsaspecten. Kortom, in dit voorbeeld is er voor operationele veiligheid een grote ruimte voor interpretatie.
Figuur 7. Resultaten vanuit IT-veiligheidscontrole
 
Figuur 8. Resultaten vanuit operationele veiligheidsaspecten
 
De resultaten van alle vier basiscriteria gecombineerd geeft het overzichtsschema zoals te zien in figuur 9 . Deze eerste resultaten geven inderdaad een grote marge aan tussen de groene ‘confidence’-zone en de gele ‘doubt’-zone. De rode ‘death’-zone blijkt in alle vier de basiscriteria een vrij gelijkaardig patroon te hebben.
 
Figuur 9. Combinatie resultaten vier basiscriteria
 
Voorbeeld: evaluatie vanuit luik B
Nu kunnen we de cloudoplossing evalueren vanuit luik B: evaluatie van de dienst op basis van de behoeften en eisen qua veiligheid. Hier in dit voorbeeld stellen we dat er een welbepaalde cloudsecuritypolicy bestaat bij de organisatie die vrij strikt is naar de bescherming van persoonsgegevens. Deze mapping geeft dan een eenvoudig visueel resultaat (in orde is groen, niet volledig is geel en niet in orde is rood), zie figuur 10 .
De organisatie wenst persoonsgebonden informatie naar de cloud te brengen en dus legt het de verwachtingen vrij hoog (figuur 11) . Als dan de mapping wordt gedaan tussen de verwachtingen voor opslag van persoonsgebonden informatie en de resultaten van de cloudcomputingoplossing ‘Dropbox for business’, dan blijkt dat aan drie van de vier basiscriteria niet voldaan is (figuur 12) . En dus kan besloten worden dat ‘Dropbox for Business’ niet voldoende veilig is voor de organisatie om persoonsgebonden informatie op te slaan.
Figuur 10. Voorbeeldevaluatie vanuit Luik B
 
 
 
Figuur 11. Hoge verwachtingen van de organisatie