Atos & Grant Thornton werken aan cloud standaardisatie
Een consortium van zes internationale organisaties, waaronder Atos en Grant Thornton, gaat onderzoek doen naar veiligheid van werken in de cloud. De organisaties zullen samen met computergiganten, overheden en universiteiten gedurende twee jaar onderzoek doen naar het versterken, standaardiseren en certificeren van veiligheid in de cloud. Het doel: werken in de cloud veiliger, beter en aantrekkelijker maken.
Cloud computing wordt steeds populairder, mede vanwege kostenreductie en efficiëncyvoordelen. Tegelijkertijd zijn veel bedrijven en overheden huiverig voor de privacy- en veiligheidsrisico’s. Ook zijn er momenteel geen wereldwijde standaarden op het gebied van cloud.
CIRRUS
Het project heeft de naam ‘CIRRUS’; Certification, InteRnationalisation and standaRdization in cloUd Security. CIRRUS refereert aan een type wolk die hoog in de atmosfeer voorkomt - hiermee verwijzen de organisatoren symbolisch naar het ‘hoge niveau van activiteiten en standaarden dat wordt nagestreefd’.
CIRRUS heeft de doelstelling om een wereldwijde standaard neer te zetten op het gebied van cloud. Daarnaast willen de deelnemende bedrijven verschillende ‘best practices’ opstellen en deze delen met de ICT-industrie, de wetenschap, overheden en gebruikers.
Consortium
Het consortium bestaat uit de volgende organisaties: Atos (Spanje), Grant Thornton (Nederland) Cloud Security Alliance, Austrian Standards Institute, Portakal Teknoloji (Turkije) en Information Technology Promotion Agency (Japan). In de internationale adviesraad zitten vertegenwoordigers van onder meer Google, Microsoft en IBM. Daarnaast zijn ook overheden en universiteiten uit Nederland, Canada, Ierland en Engeland betrokken.
Forensisch IT-onderzoek
De Nederlandse praktijk van Grant Thornton zal het deelgebied forensisch IT-onderzoek binnen de cloud voor haar rekening nemen. Mark Hoekstra, Global Leader Forensic Technology bij het adviesbureau, licht toe: “Forensisch IT-onderzoek in de cloud staat nog in de kinderschoenen. Voor opsporingsdiensten, maar ook voor privaat onderzoek is het de vraag of gegevens die op lokale servers van organisaties of personen staan óók beschikbaar zijn voor (fraude)onderzoek als deze gegevens in de cloud staan. Denk daarbij aan verwijderde bestanden en loggegevens. Iedere organisatie kan verplicht worden informatie aan justitie te overhandigen in het kader van een onderzoek”.
De Grant Thornton adviseur vervolgt: “Anderzijds hebben organisaties behoefte aan volledige toegang tot eigen gegevens zonder enige beperking. Gegevens bevinden zich vanuit juridisch oogpunt in een complexe, virtuele omgeving. Het is niet altijd duidelijk in welk land gegevens zich bevinden of wie vanuit welke locatie gegevens heeft gewijzigd, gewist of gemanipuleerd. Welke jurisdictie bepaalt de juridische context waarbinnen het gegevensonderzoek plaats moet vinden en onder welke voorwaarden toegang mogelijk is? En als die toegang er al is, hoeveel tijd en internationale juridische procedures zijn noodzakelijk om de data feitelijk te krijgen? Kortom, er is behoefte aan standaarden als het gaat om forensisch IT-onderzoek in de cloud.”