De schaduwkanten van de Cloud

Truc van marketing is om alleen de voordelen te noemen of omgekeerd, afhankelijk van wat je wilt verkopen. Nu door onthullingen van Snowden een discussie over privacy op gang komt wordt helaas nog vergeten dat sommige bedrijven de handel in persoonsgegevens tot hun business model gemaakt hebben.

Goed, daar krijgen we tegenprestaties in de vorm van diensten voor terug maar geldt dit ook niet voor de inlichtingendiensten?

Tenslotte waarschuwde de AIVD in 2010 al met een kwetsbaarheidsanalyse voor de gevaren van ‘Consumerization of IT’  door het lage bewustzijn voor:

1. Waarde van informatie
2. Verschillende belangen
3. Noodzaak van beveiliging 

De technische en juridische abstracties zorgen er namelijk voor dat onduidelijk blijft wie er mee mogen en kunnen lezen. Nu iedereen verontwaardigd is over het stofzuigen van de NSA wordt de ‘Nilfisk’ van Google nog vergeten. En ergens heb ik het idee dat ‘naming and shaming’ van Google met hun transparantie rapport dus ook niet meer is dan marketing.

Dr. Jekyll versus mr. Hyde
Veel gratis oplossingen introduceren een ‘frenemies’ probleem, het is makkelijk maar heeft vaak een mistig verdienmodel. Vooral het tweezijdig model waarbij aan de achterkant data verkocht wordt aan derden is een listige opzet. Vooral bedoeld om de ‘inboorlingen’ hun privacy te laten ruilen voor spiegeltjes en kraaltjes. Hoewel we met aanvullende technische maatregelen zoals encryptie een aantal zaken kunnen mitigeren introduceert dit nieuwe problemen zoals verloren sleutels, toename van spam en hogere kosten voor services. Gebruik van ‘gratis’ diensten zorgt dus voor obesitas in (maat)regelen welke daarom nog vaak achterwege gelaten worden.

Olifanten en gedachtenwolkjes

Hoe kun je een olifant laten vliegen? Een vreemde vraag om mee te beginnen maar ik verbaas me al enige tijd bij discussies over een onderwerp als de back-up. Natuurlijk kun je bezuinigen op de back-up voor mobiele gebruikers door als een struisvogel je hoofd in het zand te steken en tegen de mol te zeggen dat het prachtig weer is. Want je kunt bestanden wel naar cloud synchroniseren maar ze in korte tijd is dan meestal toch wat anders. Meeste aanbieders roepen hier dus ook niets over omdat ze alleen een back-up aanbieden terwijl het om de restore hoort te gaan.

En ze zijn ook niet allemaal transparant over de beveiliging, het zal dus niet de eerste keer zijn dat  een back-up op straat komt te liggen. Denk ook niet te licht over encryptie want ‘ransomware’ als gevolg van verloren sleutels is nog vervelender dan geen back-up blijken te hebben. Sommige aanbieders in de cloud bieden wel een uitweg maar die hebben dus altijd toegang tot je data. Nu zal ik niet beweren dat cloud based back-up slecht is, in tegendeel zelfs omdat het helpt de olifant van alsmaar groeiend archief aan de kant van de gebruiker op te delen. Want hoewel de back-up zelf een proces van data dupliceren is gaat het dus om de archivering, de herinneringen die we koesteren of moeten bewaren. Maar met alle kopieën die we hebben lijkt dit archief wel steeds meer op de gruzelementen van Voldemort uit de Harry Potter films.

I know what you did last summer

Openbaring van Edward Snowden krijgt angstaanjagende vergelijkingen met deze film. Zelf weet ik niet meer met wie ik  zat te chatten, laat staan dat ik antecedenten van die personen wist. Misschien heb ik wel een ‘like’ gegeven op de facebook pagina van een Al Qaeda terrorist en ligt het enkeltje Guantanamo Bay al klaar. Er ontstaat een Kafkaëske situatie.

Wat ik wel weet is dat afgelopen zomer de niet geautoriseerde versie van PRISM ook druk bezig was om gegevens te verzamelen. Maar na analyse door NCSC was conclusie dat Pobelka geen bedreiging vormde voor de staatsveiligheid. Dat terwijl doel duidelijk gericht was op malversaties van financiële transacties. Opmerkelijk trouwens dat er eerst terughoudendheid bij NCSC was in het aannemen van de 750 GB aan informatie terwijl belastingdienst geen enkele moeite had met gestolen CD’s. Langs de randen van de wet opereren noemde de minister van justitie en veiligheid dat eufemistisch.

Rondetafel sessie Cloud Computing

Naar aanleiding van een eerdere opinie van Henri Koppen is er een ronde tafel sessie over Cloud Computing geweest. Meest opvallende conclusie die hier uitkwam is dat de Cloud niet goedkoper is, iets dat zelfs Henri na enig aandringen toch schoorvoetend toe moest geven.

Want hoewel de publieke cloud diensten zoals Azure, AWS en Google goedkoop zijn bieden ze geen 99,99% beschikbaarheid. Zo hadden gebruikers van Azure recentelijk (weer) geen toegang tot hun data, dit keer omdat Microsoft vergeten was de SSL certificaten te vernieuwen. Hoewel Microsoft compensatie gaf was de rekensom van alle aanwezigen dat dit een doekje voor het bloeden was, het verbergen van een tekortkoming waardoor de 'Cloud watervrees' van organisaties niet onterecht is.

Service Level Agreements
Nu zijn er al eerder discussies geweest over de service afspraken die je kunt maken met leveranciers zoals Google of Microsoft. Uitkomst daarvan was dat je alleen maar de voorwaarden kunt accepteren en leveranciers geen aansprakelijkheid willen dragen voor de schade, direct of indirect als gevolg van verstoringen. Dit zorgt ervoor dat er nog weleens sprake is van 'garantie tot de voordeur' bij het in de cloud brengen van je data. En ook eerder geaccepteerde voorwaarden kunnen zonder kennisgeving vooraf eenzijdig gewijzigd worden door leveranciers. Een simpel gevolg van de commerciële markt zoals de onderzoekers van Stanford Technoloy Law Review ook concluderen.

De duivel in het doosje

In deze blog wil ik ingaan op het duivelse dilemma dat we kennen in de ICT, namelijk de uitdagingen in capaciteitsmanagement. Want er is misschien een integrale ketenvisie over hoe informatie stroomt maar de trechter zelf is vaak niet transparant. En dus worden we nog steeds verrast met problematiek van de flessenhals waar een kleine verandering er al voor kan zorgen dat de service als dikke stront door een dunne trechter gaat. Dit omdat de logische waarheid in de architectuur modellen nog weleens af wijkt van de fysieke realiteit.

In de praktijk kom ik dan ook vele voorbeelden tegen waar tegen beter weten in geprobeerd wordt om uit de breedte te halen wat er in de lengte van dagen niet in zit. Zoals een prachtige webfarm waar alle servers afhankelijk zijn van één database. En deze database hangt dan aan de opslag met een ‘rietje’ met een verkeerd storage protocol gekozen is of omdat er vooraf niet gekeken is wat er precies nodig is aan prestatie, de snelheid van het lezen en schrijven. Opslagcapaciteit in gigabytes kost namelijk niks maar de prestatie ervan blijft nog steeds duur. 

Database debacle in de cloud

We kunnen eindeloos blijven schrijven, praten en dromen over de cloud maar het gaat maar om één ding, namelijk de data welke uiteindelijk nog steeds de core asset is van menig bedrijf. En deze kunnen we de cloud injagen maar zal wel bereikbaar, betrouwbaar en bruikbaar moeten blijven. Geen data, geen service en geen business.

In traditionele architecturen zit data vaak gestructureerd in databases en kan gevonden worden met Structured Query Language (SQL), de standaardtaal waarmee meeste databanken gelezen en geschreven kunnen worden. Maar er is ook nog een berg aan ongestructureerde data die in omvang snel toeneemt. Om deze groeiende berg data onder controle te houden zijn wel weer databases nodig, de paradox waar ook de cloud niet aan ontkomt omdat we anders de MP3’s en filmpjes niet kunnen vinden.

NCSC als nationale beiaard

Lekken in een framewerk als Ruby krijgen natuurlijk meer aandacht omdat bekende diensten hiervan gebruik maken. NCSC waarschuwt ook dat Joomla, één van de meest populaire CMS framewerken, beveiligingsproblemen heeft. 



Om hoeveel websites het hier gaat is een beetje onduidelijk maar sinds 2007 is dit framewerk 30 miljoen keer gedownload. Dat is dus een interessant aanvalsdoel voor kwaadwillenden. Nu maakte Nationale Cybersecurity Center dus op 9 januari de  kwetsbaarheid in de Joomla Content Editor (com_jce) bekend. Dit omdat er een exploit op internet in omloop is waarmee kwaadwillenden code op websites zetten. Probleem was namelijk al in april 2012 gevonden en een maand later opgelost. Maar omdat de meeste websites niet alleen gebruik maken van het core systeem en al helemaal niet de standaard template gebruiken stellen dus de meesten de migratie uit. En eerlijk gezegd had ik ook niet zo’n drang om in de kerstvakantie te gaan zitten hobbyen maar.......

Zelfhulp en kameradenhulp

Met afschaffen van de opkomstplicht is er een groot risico dat een hele generatie de titel van dit stuk niet begrijpt omdat ze de ‘groene opvoeding’ in de vorm van dienstplicht gemist hebben. Dus voor degene: Zelfhulp en Kameradenhulp is de militaire variant van EHBO die een gewonde zich zelf verleent of welke hem (de haar was een uitzondering) gegeven wordt door kameraden, de medestrijders die eveneens niet medisch geschoold zijn. 

Zeg maar een soort van mantelzorg op het slagveld waarbij de ‘mantel riempjes’ vaak gebruikt moesten worden om bloedingen te stelpen of spalken te improviseren.  Nu voor iedereen duidelijk is waar Zelfhulp en Kameradenhulp voor staat zal het niet moeilijk zijn om te begrijpen dat hier creativiteit en zelfredzaamheid bij nodig was. Hoewel dit stuk niet over de uitdagingen te velde met de zorg gaat zijn er echter wel parallellen te trekken tussen wat was en wat komen gaat als gevolg van het Lenteakkoord. Want hierdoor komt meer nadruk te liggen op zelfmanagement en eigen regie thuis omdat het aantal bedden en loketten (de verschillende schotten) in de zorg verlaagd moeten worden.