Cloud resistent tegen NSA-virus

Na de onthullingen over de Amerikaanse afluisterpraktijken klinkt de roep om onderzoekscommissies op te richten. Maar de gebruikers van clouddiensten blijven comfort verkiezen boven veiligheid.

Vlak na de aanslagen op het World Trade Center hield Trends een panelgesprek met ondernemers. De maatregelen die de Verenigde Staten wilden nemen, zouden de mogelijkheden voor industriële spionage enorm uitbreiden, was de consensus. Twaalf jaar later maken de onthullingen van klokkenluider Edward Snowden over de Amerikaanse elektronische spionagedienst National Security Agency (NSA) die vrees actueler dan ooit.

De schaal van de afluisterpraktijken is adembenemend. Begin juni bleek dat de details van alle communicaties van de meer dan 120 miljoen gebruikers van Verizon én van hun correspondenten minstens drie maanden lang waren doorgespeeld naar de NSA — met goedkeuring van een rechter. Vervolgens meldde Snowden dat de NSA via een achterpoortje toegang had tot de publieke communicatiesystemen in de cloud van Microsoft, Google, Yahoo!, Facebook en andere. In samenwerking met de NSA en met Canada, Australië en Nieuw-Zeeland (de ‘Five Eyes‘) filtert het Britse Government Communications Headquarters (GCHQ) alle verkeer op een groot aantal internationale glasvezelkabels. Volgens de documenten van Snowden hebben de Five Eyes de communicatiebeveiliging gekraakt van drie grote internetproviders en van een dertigtal types virtuele privénetwerken (VPN’s, de klassieke beveiliging voor inloggen op afstand in bedrijfsnetwerken en voor elektronisch bankieren).

De NSA en zijn partners werken volgens de Snowden-documenten nauw samen met telecombedrijven, die contractueel en tegen betaling gedwongen worden hen toegang te geven. De NSA werkt ook samen met producenten van beveiligingstechnologie — infiltreren is misschien een preciezer woord — om zwakheden in hun systemen te ontdekken of zelfs in te bouwen, zodat die door de NSA kunnen worden geëxploiteerd. Der Spiegel onthulde dat de NSA kan inbreken in iPhones, Android- en Blackberry-smartphones. The Guardian publiceerde een memorandum uit 2009, waaruit blijkt dat de NSA de integrale ruwe data van zijn afluisteroogst ook aan Israël doorspeelt, een land dat prat gaat op de hechte samenwerking tussen zijn veiligheidsapparaat en zijn industrie.

Petrobras

Concrete voorbeelden van industriële overheidsspionage zijn altijd schaars geweest. De onderzoekscommissie van het Europees Parlement over het satellietafluistersysteem Echelon gaf in haar rapport in 2001 slechts twee gevallen waarin NSA-afluisterpraktijken grote contracten naar Amerikaanse bedrijven deden gaan: een Braziliaans satellietmonitoringsysteem van 1,4 miljard dollar ten voordele van Raytheon en een Saoedisch vliegtuigcontract van 6 miljard dollar voor Boeing en McDonnell-Douglas. Ook zou de NSA in 1993 een videoconferentie tussen Volkswagen-baas Ferdinand Piech en José Lopez hebben afgeluisterd. De opname ging naar General Motors om te bewijzen dat Lopez bedrijfsgeheimen van GM had meegenomen naar Volkswagen.

Nu gaf Snowden aan Guardian-journalist Glenn Greenwald, die in Brazilië woont, documenten die doen vermoeden dat de NSA onder meer het Braziliaanse conglomeraat Petrobras bespioneert, en het Belgische banktransactienetwerk Swift. James Clapper, de Amerikaanse Director of National Intelligence, erkende dat de Verenigde Staten informatie verzamelden over “economische en financiële zaken”, maar ontkende dat ze die praktijken gebruikten “om bedrijfsgeheimen van buitenlandse bedrijven door te geven aan Amerikaanse firma’s om hun internationale competitiviteit te verbeteren of hun winst te verhogen”.

Het einde van de vermoedens

“Het heeft me altijd verbaasd dat een bedrijf zijn gevoeligste informatie, zoals verkoopcijfers, in de cloud zet. Je weet toch dat die informatie daar toegankelijk is voor derde partijen”, zegt professor Bart Preneel van Cosic, het department van de KU Leuven waar de Advanced Encryption Standard (AES) is ontwikkeld, die de Amerikaanse overheid in 2000 als versleutelingstechniek heeft gekozen. AES is er nog altijd in gebruik.

“In onze branche weten we heel goed dat de Amerikaanse overheid inzage heeft in de communicatie, en nu blijkbaar ook in de gegevens van de serviceproviders”, vervolgt Preneel. “Wat een beetje verbazend is, is dat ze dat nu niet meer kunnen ontkennen. Er is wel nog discussie over het gemak waarmee ze toegang hebben. Volgens Snowden heb je maar te klikken op een besturingspaneel en heb je in realtime toegang. Google en Facebook ontkennen dat. Volgens hen is er geen livetoegang. Maar blijkbaar zien de mensen aan de andere kant dat niet zo.”

Leiderschap te grabbel

De onthullingen van Snowden vergroten het wantrouwen bij bedrijven tegenover de publieke cloud. Dat zijn internetdiensten zoals Facebook, LinkedIn, Google, Yahoo! en Microsoft, maar ook toepassingen zoals Microsoft Office 365, Dropbox of Evernote en infrastructuurdiensten zoals Amazon Web Services of Rackspace.

Volgens het onderzoeksbureau Gartner gaat het in 2013 om een markt van 131 miljard dollar, met een groei van 18 procent. Het leeuwendeel van die diensten is in Amerikaanse handen, al lopen de schattingen daar erg uiteen, van een Noord-Amerikaans marktaandeel van 56 procent volgens een rapport van het Europees Parlement uit 2012 tot 85 procent in een paper van de Amerikaanse denktank ITIF.

Cloud Security Alliance (CSA), een vzw die cloudbeveiliging promoot, peilde enkele weken na de eerste Snowden-publicaties naar het effect bij haar leden. 10 procent zei dat ze al een project met een Amerikaanse provider hadden geannuleerd. ITIF waarschuwde vervolgens dat de Prism-afluisterzaak de Amerikaanse cloudindustrie 10 tot 20 procent van haar omzet kan kosten, zelfs zonder de ‘protectionistische’ maatregelen die de Europese Unie en anderen zouden kunnen nemen om de geheimhouding van hun gegevens te beschermen. Dat betekent in de periode 2014-2016 een verlies van 21,5 tot 35 miljard dollar, rekende ITIF uit.

In haar cassante stijl zei Europees commissaris Neelie Kroes aan The Guardian: “Als Europese cloudklanten de Amerikaanse regering niet kunnen vertrouwen, dan zullen ze misschien de Amerikaanse cloudleveranciers evenmin vertrouwen. De gevolgen voor Amerikaanse bedrijven kunnen dan oplopen tot vele miljarden euro’s.”

Klanten reageren lakoniek

Op het terrein is er echter weinig te merken van een terugval, zeggen distributeurs van Google Apps for Business, een van de opkomende toepassingen in de publieke cloud. In België gebruiken grote organisaties zoals de VDAB, het Wit-Gele Kruis en Randstad, maar ook zelfstandigen en kmo’s Google Apps for Business, de tegenhanger van Microsoft Office 365.

“Mijn klanten zijn kleine bedrijfjes. Voor hen zijn de voordelen van de publieke cloud veel groter dan het nadeel dat ze door de een of ander staat kunnen worden afgeluisterd”, zegt Olivier Loncin van Jalons uit het Waals-Brabantse Saintes. Hij is een gecertificeerde Google Apps for Business-consulent die zijn brutomarge vorig jaar meer dan verdubbelde. “Zij gebruiken die toepassingen niet alleen intern, maar ook voor contacten met hun klanten. En zodra je op het internet bent, ben je sowieso niet veilig meer voor de NSA”.

“In vier jaar hebben we nooit zo veel dossiers gehad. Wij voelen geen enkele terugval, integendeel”, zegt Bart Verhaegen van het Oostendse Nuvia, een Google Apps for Business-reseller die ongeveer 300 klanten claimt. Verhaegen geeft wel toe dat er over de NSA-afluisterpraktijken wordt gepraat. “De mensen hebben het gevoel dat hun privacy te grabbel wordt gegooid. Maar de economische realiteit stuurt ze naar de cloud.” Google heeft tegenover zijn distributeurs ook helemaal niet gereageerd over de zaak, zegt Verhaegen.

Solvay, een van de grootste industriële Belgische gebruikers van Google Apps, geeft geen commentaar op de vraag of het bedrijf zich verontrust voelt en of het zijn beveiligingsbeleid herbekijkt. De modeketen JBC, die onlangs is overgeschakeld naar Google Apps, heeft het druk na zijn verhuizing en laat evenmin van zich horen.

“Er zijn niet direct aanwijzingen dat onze leden hun houding tegenover de publieke cloud herbekijken”, zegt Danielle Jacobs, directeur van de Belgische organisatie van gebruikers van informatica- en communicatietechnologie (ICT) Beltug. “Wel is er bekommernis over diensten zoals Dropbox, waarmee informatie erg gemakkelijk en van overal toegankelijk in de cloud kan worden bewaard. Zijn die geschikt voor gevoelige informatie? Bedrijven en overheidsinstellingen liggen daar wakker van. Het is niet tegen te houden. Je kunt mensen alleen bewust maken.” Een Beltug-studiedag over de veiligheid van bedrijfsnetwerken in oktober had een dag na de aankondiging al 28 inschrijvingen.

Gemiste trein

Het nieuws over de inbraak in de Windows-systemen van Belgacom zet een domper op de argumentatie dat je veiliger bent bij Belgische of Europese leveranciers. “Ik geloof niet in Belgische, Franse, Duitse of Europese alternatieven voor Google. Zij hebben de trein gemist”, zegt Bart Verhaegen van Nuvia. Jan Guldentops, zaakvoerder van Better Access, een Leuvense veteraan in beveiliging, verwacht wel degelijk nog dat er meer omzet zal gaan naar lokale concurrenten zoals het Brusselse Contactoffice. Maar hij waarschuwt voor een vals gevoel van veiligheid. Europese providers gebruiken evengoed Amerikaanse technologie of zijn, zoals Telenet-filiaal Hostbasket, gewoon in handen van een Amerikaans bedrijf, merkt hij op.

Gebruikers kunnen wel al eenvoudige maatregelen nemen, vindt Guldentops. Versleuteling van gegevens is er één van. Hijzelf beveiligt alle informatie op zijn pc’s, laptops en smartphones met de standaardencryptie die met die toestellen wordt meegeleverd. “Maak het niet te ingewikkeld. Gebruik je gezond verstand. Vraag je af welke gegevens belangrijk zijn en wat echt confidentieel moet blijven. Beeld je het ergste in wat je bedrijf kan overkomen, en bekijk dan hoe je je daartegen kunt beveiligen.”

“Als je op dit moment heel weinig doet, kun je met 20 procent extra inspanning 80 procent beveiliging verkrijgen. De volgende 20 procent is zeer duur en complex”, zegt Bart Preneel. Een duidelijke politiek is een goed begin. “Vroeger werd je pc geconfigureerd door het bedrijf. Je kon er zelf geen software op installeren. Nu willen werknemers gelijk welk apparaat meebrengen en aan het bedrijfssysteem hangen. Dan mag het niet verbazen dat de beveiliging verslechtert. We moeten misschien leren voorzichtiger te zijn met informatie die echt gevoelig is.”

Jan Guldentops is sceptisch over de blijvende impact van de afluisterschandalen. “Ik werk zelf in beveiliging, maar het aantal versleutelde e-mails dat ik ontvang is vrijwel nul. Beveiliging staat nog altijd niet superhoog op de agenda. Zodra het geld kost, haken de mensen af.”

Internet van eilanden

Het Chinese Huawei is in Groot-Brittannië een strategische leverancier voor het netwerk van British Telecom. Om zijn apparatuur te screenen en veiliger te maken heeft het er een Cyber Security Evaluation Center, samen met de Britse intelligentiedienst GCHQ. David Francis, de chief security officer van Huawei in Groot-Brittannië, vreest vooral dat de schandalen de openheid van het internet op het spel zetten. “De echte uitdaging is of we teruggaan naar een wereld van isolationisme en protectionisme en het internet gaan opbreken in eilanden van technologie. Dat zou de sociale voordelen die we hebben bereikt tenietdoen”, vertelde hij tijdens het jongste internationale Cyber Security Congress in Leuven aan Trends.

Beleggers kijken het rustig aan. De aandelen van Google of Facebook ondervinden geen aantoonbaar effect van de NSA-affaire. Zelfs op ICT-beveiligingsbedrijven is de impact niet eenduidig. De gediversifieerde opslagsystemenfabrikant EMC, die onder meer de encryptiespecialist RSA in portefeuille heeft, kent sinds april een koersopstoot, net als de antivirusbedrijven Trend Micro en Symantec. Vasco Data Security ging de andere kant op.

BRUNO LEIJNSE

“In onze branche weten we heel goed dat de Amerikaanse overheid inzage heeft in de communicatie, en nu blijkbaar ook in de gegevens van de serviceproviders” Bart Preneel, KUL

“Voor mijn klanten zijn de voordelen van de publieke cloud veel belangrijker dan het risico van afluistering” Olivier Loncin, Jalons

“Beveiliging staat nog altijd niet superhoog op de agenda. Zodra het geld kost, haken de mensen af” Jan Guldentops, Better Access

“De mensen hebben het gevoel dat hun privacy te grabbel wordt gegooid. Maar de economische realiteit stuurt hen naar de cloud” Bart Verhaegen, Google Apps for Business-verkoper