We kunnen uit deze case veel leren over hoe mensen omgaan met technologie, cloud storage en beveiliging. En die kennis is zeer zeker ook nuttig voor ondernemingen die van technologie en cloud storage gebruik maken.

Les 1: De meeste gebruikers hebben geen benul van welke data zich waar precies bevinden.

Uit verschillende interviews met de betrokken dames is naar voor gekomen dat zij niet beseffen dat de naaktfoto’s die met hun telefoon van zichzelf maakten automatisch in de cloud werd opgeslagen. Zij geloofden dat hun foto’s alleen op hun eigen telefoon stonden en dat deze, zolang de telefoon niet verloren of gestolen werd, veilig waren.

In ondernemingen zien we vaak een variant op deze misvatting: er is geen overzicht van welke data waar precies staan. De plaats op de server is meestal wel bekend en mogelijk weet in elk geval de IT-beheerder ook wel welke gegevens er zijn opgeslagen in de cloud die door het bedrijf is ingehuurd. Maar hoeveel kopieën er van welke gegevens op desktops, laptops, smartphones, tablets en daarmee in de cloud services van de werknemers staan, is over het algemeen een groot raadsel. Dus, als er een smartphone gestolen wordt, is totaal onduidelijk welke gegevens (of de toegang ertoe) er potentieel op straat liggen.

Les 2: Mensen zijn de zwakste schakel in de beveiliging van gegevens.

Phishing wordt door de meesten vooral geassocieerd met financiële instellingen als banken en credit card-maatschappijen en nauwelijks met inlog-gegevens voor onder andere cloud-diensten, sociale netwerken en web shops. En dat geldt niet alleen voor showbizz-dames, maar ook voor werknemers in België. Recent onderzoek van McAfee liet zien dat gemiddeld 80% van de werknemers zich door phishing in de val laat lokken. Zolang databases, accounts en services beveiligd worden met inlog-gegevens, zullen mensen uit onoplettendheid of door geraffineerde oplichting de inlog-gegevens aan derden prijs geven.

Les 3: Mensen zijn gemakzuchtig en lui..

Voor de iCloud was al twee maanden tweefactorauthenticatie beschikbaar. Daarmee is naast de vaste, altijd gelijkblijvende inlog-gegevens telkens een eenmalig wachtwoord dat door Apple wordt ge-SMS’t nodig om in te loggen. Als de Hollywood-dames van deze tweefactorauthenticatie gebruik hadden gemaakt, waren hun gevoelige plaatjes niet op het openbare Internet terecht gekomen. Maar ja, een extra-authenticatiefactor maakt het inloggen wel iets ingewikkelder. En daar hebben de meeste mensen een afkeer van, ook als ze aan het werk zijn. Dus, inlog-gegevens worden bij voorkeur door de browser onthouden of zijn gemakkelijk, want dan makkelijk te onthouden. Helaas betekent snel en makkelijk inloggen ook meestal snel en makkelijk te kraken.

Les 4: In de cloud ben je de controle over de gegevens kwijt.

We lazen op verschillende plekken dat sommige van de gelekte foto’s oud waren en niet (meer) op de telefoon van de dames stonden. Onmiddellijk werd er gespeculeerd over hoe lastig het is om gegevens die opgeslagen staan in de cloud te deleten als je ze niet meer wil bewaren.

Dat illustreert een veel groter vraagstuk: in hoeverre ben en blijf jij de eigenaar en baas over de gegevens die je in de cloud opslaat? Hierover wordt vaak in vrij wazige termen gesproken in heel lange en compleet onleesbare gebruikersvoorwaarden waarmee je als gebruiker akkoord bent gegaan. In diezelfde voorwaarden wordt - als het goed is - ook duidelijk gemaakt welk recht van toepassing is op de cloud provider en daarmee op jouw gegevens. In het geval van de iCloud (en de meeste andere populaire clouds) is dat het Amerikaanse recht, waartoe de USA Patriot Act hoort. Deze verplicht Amerikaanse partijen volledige medewerking te verlenen wanneer die gevraagd worden bij een onderzoek. Dat betekent dat jouw in de cloud opgeslagen gegevens op ieder gewenst moment door de Amerikaanse overheid kunnen worden opgevraagd en ingekeken. Er zijn veel onbevestigde geruchten over ingebouwde achterdeuren in clouds die automatisch toegang verschaffen voor de Amerikaanse autoriteiten. Deze achterdeuren kunnen natuurlijk ook door criminelen worden ontdekt en misbruikt. Kortom: het is bijna onmogelijk om voor 100% de controle over je gegevens te houden als deze in de cloud staan.

Als we al deze lessen leren, zowel in een zakelijke als een persoonlijke context, informeren wij onszelf vanaf nu beter over alle technologieën die wij gebruiken, stellen wij ons op de hoogte van alle gebruiksvoorwaarden, gaan we alleen nog op zeer gestructureerde en volledig gedocumenteerde manier om met (het verplaatsen van) data en kiezen wij altijd voor de hoogste vorm van security die praktisch toelaatbaar is. Is het erg pessimistisch om te denken dat deze lessen alleen echt geleerd worden als je zelf eens ongewenst met de billen bloot op het Internet verschijnt? (J.V.H.)

(Bovenstaande bijdrage kwam tot stand in samenwerking met G DATA Software Belgium B.V.B.A. (Zellik)).

Meer info: 070/350.129 of www.gdata.be.