Eran Feigenbaum heeft de belangrijke verantwoordelijkheid van de beveiliging van de enterprise-producten die Google biedt, met de nadruk op online-kantoorapplicaties Google Apps. Twee jaar terug was hij nog cio bij PricewaterhouseCoopers (PwC). Webwereld sprak met hem, onder meer naar aanleiding van enkele grote storingen die de online-dienst recentelijk hebben getroffen. Webwereld sprak met hem aan de vooravond van het Cloud Seminar van onze zusterpublicatie Infoworld op 16 september in Amstelveen.

Zijn cloudapplicaties niet per definitie onveilig?

"De cloud kan net zo veilig zijn, of zelfs meer, dan inhouse applicaties. Je hebt om te beginnen het voordeel van patching. Het kost ict-afdelingen na een patch-release tot wel 30 dagen om die toe te passen. En ik hoor van cio's en enterprise-gebruikers dat er soms wel 3 tot 6 maanden overheen gaat. Terwijl 1 dag achterlopen al fataal kan zijn."

Feigenbaum verklaart die achterstand door te wijzen op de noodzaak van testen, of een patch wel goed samengaat met de divere systemen die een bedrijf gebruikt. Daarvóór moet eerst nog bepaald worden of een patch wel relevant is voor de eigen ict-infrastructuur. Voor al dit werk is er enerzijds tijdgebrek, maar anderzijds geldt er ook een planning, legt Feigenbaum uit. Bijvoorbeeld geplande momenten voor downtime om patches te kunnen toepassen op kritieke systemen. "En dan zijn er nog kleine bedrijven die geen security-mensen, al dan niet fulltime, in dienst hebben."

"Bovendien neemt de complexiteit van aanvallen toe. Dat kunnen individuele organisaties niet meer aan. Het onderscheid tussen een aanval en normaal gebruik is moeilijk te maken." Google kan dat volgens Feigenbaum wel, door de enorme schaalgrootte die het heeft en de massale analyse van data die het bedrijf continue doet. "Wij verwerken twee miljard mails per dag."

Datzelfde argument gebruiken securityleveranciers als Symantec ook, zowel voor hun SaaS- of cloud-aanbod als voor hun plaatselijk te gebruiken (on-premises) producten. "Wij lopen toch een paar uur voor op de antivirus-updates van de security-leveranciers wat betreft het blokkeren van malware", claimt de Google Apps-topman onverbloemd. "Het gaat om schaalgrootte. Vroeger stopte je je geld in je matras, toen kwamen de banken. Eh, en toen de kredietcrisis, ja. Ok, ik moet mijn analogie aanpassen."

"Het gaat erom hoe je security bereikt in een onbeheersbare wereld. We zitten nu met de oude versus de nieuwe situatie. In de oude wereld ging het erom waar de gebruiker of applicatie is, binnen of buiten de firewall? In de nieuwe wereld gaat het erom de data zelf te beschermen. Daarom zijn er https-verbindingen. Je moet kijken wie er toegang heeft, tot wat. Google Apps biedt ook zeer fijnmazige (granular) toegangscontrole. En de admin heeft overkoepelende beheermiddelen."

Oh ja, en Twittergate dan?

"Eh, ik moet nu gaan. Sorry, dag."

"Maar serieus: zoals al gemeld op blogs van ons en van Twitter was dit niet een kwetsbaarheid van Google Apps." In juli dit jaar kreeg een hacker bedrijfsdocumenten van Twitter in handen door in te loggen op Google Apps. De datadief verkreeg toegang via een privé-mailaccount van een Twitter-medewerker. Er waren korte, makkelijk te raden wachtwoorden gebruikt.

"Het is aan beheerders om de regels voor wachtwoorden te bepalen: de lengte en de kracht ervan. Die twee zaken zijn niet hetzelfde! Er is wel een relatie tussen." Feigenbaum legt uit dat er ook een verschuiving zit in wat een goed, veilig wachtwoord is. "Wij zien dat aan de aanvallen en pogingen die worden ondernomen. Bijvoorbeeld 'BarackObama' was twee jaar terug best een goed wachtwoord, maar nu niet meer."

"Verder bieden we meer mogelijkheden: single sign-on, support voor tokens, smartcards enzovoorts. Maar het is een keuze voor de beheerder, wij verplichten het niet. Mijn advies aan beheerders luidt: kijk naar de waarde van informatie, en richt de beveiliging ervan daarnaar in. In de praktijk is een simpel gebruikersnaam-plus-wachtwoord nog altijd het meestgebruikt. Dat is triest, ja."

Wat is je voornaamste zorg?

"Het vooroordeel, de houding (mindset) van bedrijven tegen de cloud. Zij denken maar dat hun eigen datacenter veilig is. Daarbij hebben ze de perceptie dat ze iemand kunnen ontslaan als het misgaat. Maar dan is het al misgegaan!" Deze kritiek geldt natuurlijk niet alleen voor eigen datacenters, maar ook voor hostingomgevingen.

En de angst voor cloud lock-in dan?

"Er is portabiliteit, je kunt ook bij ons weggaan. We willen dat je bij ons blijft omdat je blij bent, niet omdat je vast zit. Dit is iets heel anders dan vendor lock-in. Wij bieden klanten ook migratietools, niet alleen een 'save as'-optie per document maar middelen voor massamigratie. Die tools zijn er voor Docs, voor Gmail, enzovoorts."

Wat is hét pluspunt van cloud?

"Ik zeg tegen mijn mensen: geef gebruikers de middelen die ze nodig hebben om hun werk te doen. Als je dat niet doet, zullen gebruikers toch zelf die middelen pakken. Denk aan usb-sleutels of een Hotmail-account, maar ook zeker een persoonlijk Gmail-account of een bij Yahoo Mail. Die middelen vallen buiten je grip als beheerder of bedrijf."

Het Cloud Seminar van Infoworld is uitverkocht. Had u dit event toch willen bijwonen? Hou dan de website van het seminar in de gaten voor video's van de keynotes en de presentaties van de sprekers.