De hoeveelheid digitale data die ondernemingen produceren, blijft groeien. De Cloud-technologie biedt hiervoor een gebruiksvriendelijke oplossing: IT-serviceproviders stellen opslagplaats of software beschikbaar waarmee data decentraal worden opgeslagen. Maar kunnen ondernemingen erop vertrouwen dat die gegevens niet door anderen misbruikt of gewist kunnen worden? Onderzoekers van de Technische Universiteit München (TUM) hebben zich met deze vraag beziggehouden en een model ontwikkeld waarmee aanbieders gecontroleerd en gecertificeerd kunnen worden.

Statische certificaten

Vooral voor kleine en middelgrote ondernemingen is het vaak moeilijk om bij de talloze kleinere Cloud-providers het kaf van het koren te scheiden. Een mogelijke oplossing voor dit probleem is in het kader van het Next Generation Certification-consortium (NGCERT) door de TUM-onderzoekers samen met zes andere partners ontwikkeld.
Er bestaan weliswaar al kwaliteitszegels (certificaten) die de veiligheid van opgeslagen data moeten garanderen (die worden onder andere door het TÜV verleend) en waarmee wordt gecontroleerd of aan bepaalde eisen, onder andere met betrekking tot wettelijke voorschriften, door de aanbieder wordt voldaan. Dergelijke certificaten hebben vaak een geldigheid van 1...3 jaar — hoewel de controle slechts éénmaal plaatsvindt.
Het voornaamste probleem met deze ‘statische’ certificaten is echter dat ze sneller dan de geldigheidsperiode van 1...3 jaar aan actualiteit inboeten, bijvoorbeeld omdat de wetgeving met betrekking tot gegevensbescherming en -beveiliging steeds weer wordt aangepast. Een statisch certificaat kan daar niet op reageren.

Dynamische certificaten

Er zijn daarom dynamische certificaten nodig die telkens opnieuw gedurende de geldigheidsperiode gecontroleerd kunnen worden. De onderzokers hebben een model ontwikkeld waarmee dat organisatorisch en technisch mogelijk is.
Omdat ondernemingen die (bijvoorbeeld) personeelsgegevens ‘in de Cloud’ opslaan, zelf juridisch verantwoordelijk blijven voor die gegevens en wat daarmee gebeurt (en dus niet de provider), is het van het grootste belang dat gegevens veilig zijn opgeslagen.
Als onderdeel van het NGCert-project zijn daarom programma’s ontwikkeld die de locatie van de computers van de Cloud-provider voortdurende controleren (geolocatie). De software test alle wegen waarlangs datapaketten van een onderneming naar de provider onderweg zijn — en die zijn even uniek als vingerafdrukken. Wanneer daar iets aan verandert, is dat een aanwijzing dat de gegevensverwerking ergens anders (mogelijkerwijs in het buitenland) plaatsvindt en dat waakzaamheid is geboden.
Een samenvatting van het onderzoek is hier gepubliceerd.