Eigenlijk is ‘de cloud’ een synoniem voor andermans systeem. En als je de cloudreuzen vanuit dat perspectief bekijkt, ga je op een heel andere manier met je data om. Je gegevens staan op het systeem van een ander en daarmee vertrouw je ook dat de clouddienst jouw gegevens niet zomaar deelt, de beveiliging op orde heeft en jou toegang verleent tot je eigen data.
Lees ook: Is je backup het veiligst in de cloud?
Als je het marketingsausje van de cloud afveegt, komt het dus neer op vertrouwen. Vertrouw jij jouw gegevens op de systemen van datareuzen als Microsoft, Amazon, Apple en Google? Het gebruiksgemak en de toegankelijkheid van clouddiensten voor bijvoorbeeld fotoback-up, bestandsopslag en communicatieverkeer is verleidelijk.
Maar op z’n minst even stilstaan bij wát je aan hen toevertrouwt, is een eerste stap. Omdat het wordt opgeslagen op de systemen van anderen, verlies jij de controle over wie er toegang heeft. En of het nu bedrijfsgegevens zijn of hoogstpersoonlijke zaken, er zijn altijd partijen die graag in dergelijke data rondneuzen – voor advertentiedoeleinden, maar ook voor spionage, ransomware, afpersing, identiteitsdiefstal en sleepnetten.
Safe Harbor en Privacy Shield
De regelgeving voor hoe aanbieders van cloudopslag met jouw gegevens en de beveiliging daarvan omgaan, is voor Europese bedrijven nog redelijk vastgelegd. Toch zijn het vooral Amerikaanse datareuzen die de meest toegankelijke en scherpst geprijsde diensten aanbieden. Daar staat tegenover dat de regelgeving voor deze Amerikaanse bedrijven een stuk losser is (dat kan overigens ook de lagere prijs verklaren, maar dat terzijde). Bovendien eisen veiligheidsdiensten toegang tot alle gegevens op Amerikaanse servers.
Om de omgang met gegevens van Europeanen op Amerikaanse servers nog enigszins te stroomlijnen, hebben de EU en de VS ooit een verdrag gesloten: de Safe Harbour-wet. Dat verdrag werd in het najaar van 2015 echter door een rechter afgeschoten omdat de VS zich niet aan de opgestelde regels hield. De NSA zou zich met hun sleepnet niet houden aan de belangen van Europeanen, zoals vastgelegd in het verdrag. Dat bleek destijds uit de gelekte documenten van Edward Snowden.
Om schadeclaims te voorkomen, werd er met spoed een nieuw verdrag in elkaar geknutseld: de zogeheten Privacy Shield. Dat verdrag ging al enkele maanden na het omvallen van Safe Harbour in (juli 2016). De kritiek op Privacy Shield is echter niet mals; het zou niet genoeg opkomen voor de veilige opslag van en omgang met de data van Europeanen – kritiek die overigens ook opging voor Safe Harbour.
Maar vooral het feit dat de regels die de datahonger van Amerikaanse veiligheidsdiensten moet temmen nog altijd erg vaag zijn, is het niet ondenkbaar dat een rechter ook dit verdrag naar de prullenbak verwijst. Dat proces is al in gang gezet, maar tot die tijd kun je er niet zeker van zijn dat je gegevens veilig zijn op Amerikaanse servers.
Overigens ben je ook als je data op Europese servers staan nog altijd niet zeker dat onbevoegden toegang verkrijgen. De bedrijven waar toegang wordt geëist worden gemuilkorfd: niemand mag weten dát er toegang wordt verleend. Ook de jarenlange juridische strijd tussen Microsoft en de VS, die op hun beurt toegang willen tot mailgegevens op een Microsoft-server in Ierland, is zorgwekkend. Het is nog altijd onzeker of je gegevens veilig(er) zijn op een Europese server als er data van een Amerikaanse dienst op staat.
Voornaamste risico's
Los van waar je gegevens staan, is veiligheid ook iets wat je uit handen geeft. Hoewel het gemiddelde internetbedrijf meer kennis van veiligheid heeft dan de gemiddelde gebruiker, vallen grote cloudopslagaanbieders veelvuldig ten prooi aan kwaadwillenden. Grote hacks zijn vrijwel wekelijks in het nieuws en het is maar gissen of alle datalekken en -diefstallen daadwerkelijk publiekelijk bekend worden gemaakt.
Yahoo heeft tot nog toe het dubieuze record: hackers harkten data van alle drie miljard gebruikers binnen. Maar ook Sony, LinkedIn en anderen zijn in het verleden getroffen. Zelfs Apple, waarbij werd ingebroken in iCloud-accounts van bekende mensen, die vervolgens hun naaktfoto’s op internet zagen verschijnen. Waarom zou je deze foto’s ooit in de clo... euh, op systemen van anderen zetten?
Los van de vraag welke gegevens je überhaupt online wilt opslaan, kun je natuurlijk zelf nagaan of je dienst betrouwbaar is. Wordt er tweefactor-authenticatie aangeboden? Ben je in bezit van de toegangsleutels tot de versleutelde opslag? Zo ja, dan is wachtwoordherstel bijvoorbeeld niet mogelijk; het wachtwoord ligt immers bij jou. Is er een versleutelde verbinding?
De enige partij die je het beste kunt vertrouwen, ben je zelf
-
Helaas is niet alles zomaar na te gaan. Hoe zit het met de opslag van je data en inloggegevens? Waar vindt dat bijvoorbeeld fysiek plaats? En gebeurt dat versleuteld? Kan deze data worden gedeeld met derden, en gebeurt dat ook? En zo ja: waarom? Analyse, advertenties, commerciële uitingen … Antwoorden op veel van deze vragen moet je vinden in vaag omschreven gebruikersvoorwaarden, en dan nog moet je vertrouwen op de blauwe ogen van een ander.
De enige partij die je het best kunt vertrouwen (blauwe ogen of niet), dat ben je zelf. Het gaat immers om jouw data en jij alleen bepaalt wat ermee gebeurt, wie ermee aan de haal mogen en wie er (commercieel) gebruik van mogen maken. Daarom nemen we het heft in eigen hand. Baas in eigen cloud!