Onderzoek Macaw naar impact ‘Edward Snowden’: "Bedrijven denken veel beter na over cloud-strategie"

“De onthullingen van Edward Snowden hebben een zeer gevoelige snaar geraakt bij Nederlandse organisaties”, concludeert analist Peter Vermeulen op basis van een onderzoek dat Pb7 Research in opdracht van Macaw heeft gehouden. “Toch wordt de soep niet zo heet gegeten als hij wordt opgediend. Amerikaanse cloud-omgevingen worden nog steeds volop gebruikt. Wel zijn Nederlandse organisaties beter gaan nadenken over de vraag welke data zij in de cloud willen plaatsen en vooral ook: welke niet.”

Vermeulen noemt dit ‘een bijzonder gezonde ontwikkeling’. “Het is van cruciaal belang dat we ons goed realiseren welke consequenties er vast kunnen zitten aan het verplaatsen van applicaties en data naar de cloud”, zegt Vermeulen. “Dat er in de Verenigde Staten andere regels gelden dan in Europa is op zich helemaal niet erg, zo lang we maar weten wat de gevolgen daarvan zijn als we besluiten een Amerikaanse cloud-omgeving in te zetten.”

Weerstand

Pb7 Research heeft in opdracht van Macaw onderzoek gedaan naar de impact van de onthullingen van Edward Snowden. Nagenoeg de helft van de beslissers is het eens met de stelling dat het cloud-beleid van hun organisatie beduidend volwassener is geworden als gevolg van ‘Edward Snowden’. Dirk Zekveld, Senior Consultant van Macaw: “De onthullingen rond de NSA hebben mensen aan het denken gezet. Dit heeft tot op zekere hoogte geleid tot een weerstand tegen Amerikaanse cloud-diensten, maar de mate waarin dit is gebeurd moeten we ook weer niet overdrijven. We kunnen uit ons onderzoek namelijk ook concluderen dat het NSA-schandaal heeft geleid tot een wat grotere weerstand tegen ‘cloud’ in zijn algemeenheid.”

Figuur 1. IT-beslissers zijn van mening dat ‘Edward Snowden’ binnen hun organisatie vooral gezorgd heeft voor een volwassen cloud-beleid.

In figuur 1 is dit goed te zien. Op de vraag of men vertrouwen heeft in Europese dan wel Amerikaanse cloud-diensten geven de ondervraagde IT-beslissers redelijk vergelijkbare antwoorden.

Figuur 2. Het gebruik van cloud-diensten.

In figuur 2 is weergegeven hoe Nederlandse organisaties momenteel de cloud inschakelen. Een derde maakt nog in het geheel geen gebruik van de cloud. Het gebruik van publieke, private en community cloud-oplossingen is met respectievelijk 31, 33 en 39 procent redelijk vergelijkbaar. Een community cloud is een omgeving waarbij met een beperkt aantal andere organisaties gebruik wordt gemaakt van een gedeelde cloud-oplossing.

Van de voor dit onderzoek ondervraagde IT-beslissers geeft een vijfde (21 procent) aan dat men iets voorzichtiger is geworden als het om cloud-diensten en het naar de cloud verplaatsen van data gaat (figuur 3). Iets meer dan de helft (52 procent) daarentegen geeft aan dat de impact vooral bestaat uit een groter bewustzijn.

Alternatief

Zekveld: “Het lijkt wel of er een schandaal a la NSA voor nodig was om mensen zich te laten realiseren wat nu eigenlijk precies cloud is en wat de gevolgen daarvan kunnen zijn. Men weet nu kennelijk beter dan voorheen wat de risico’s zijn en kan dus een beter onderbouwde beslissing nemen. En dan blijkt opmerkelijk genoeg dat de kwaliteit van de Amerikaanse cloud-diensten kennelijk toch de doorslag geeft, in combinatie met een bewuste keuze welke data men wel of juist niet naar de cloud brengt. Want slechts 6 procent van de IT-beslissers is concreet op zoek naar een alternatief voor Amerikaanse cloud-leveranciers.”

Figuur 3. Nederland na Snowden: meer bewustzijn, maar weinig concrete veranderingen.

Figuur 4. EU wet- en regelgeving levert meer obstakels op voor cloud-gebruik dan het NSA-schandaal.

Het beschermen van gegevens is wel degelijk een onderwerp waar IT-beslissers zich zorgen over maken. Het is alleen NSA noch Patriot Act waar men vooral naar kijkt bij een eventuele migratie naar de cloud. Zoals in figuur 4 is te zien heeft driekwart van IT-beslissers veel meer moeite met wet- en regelgeving die gericht is op privacybescherming (74 procent). Ook heeft twee derde van de beslissers moeite met de grote hoeveelheid compliance- en governance-regels waar men in de eigen branche aan moet voldoen. “Het is opvallend om te zien dat het vooral Nederlandse en Europese regels de werkelijke obstakels zijn”, vertelt Zekveld. “Interessant is overigens ook dat terughoudendheid van ketenpartners ten opzichte van de cloud toch relatief vaak als een probleem wordt ervaren.”

Wellicht heeft dit ook te maken met het feit dat Nederlandse IT-beslissers zich niet alleen druk maken over privacygevoelige data die al of niet naar de cloud wordt gemigreerd. Bijna een vijfde (18 procent geeft aan dat meer dan de helft van de data die men in de cloud heeft geplaatst een concurrentiegevoelig karakter heeft. Nog eens een kwart (27 procent) is van mening dat een kwart tot de helft van de data gevoelig is uit concurrentieoverwegingen.

Realistisch

Een van de gevolgen van ‘Edward Snowden’, zo stelt Pb7 Research duidelijk vast, is dat veel IT-beslissers een meer genuanceerde aanpak nastreven ten aanzien van het opslaan en verwerken van gegevens in de cloud. Een derde (31 procent) geeft aan dat er inderdaad sprake is van beleid. “Opvallend genoeg zegt nog eens een derde (30 procent) dat ‘het op de agenda staat’. In de praktijk betekent dit waarschijnlijk dat men beleid in voorbereiding heeft, maar dat nog geen duidelijke regels zijn opgesteld over het opslaan en verwerken van data in de cloud”, meent Zekveld. “Tot dit beleid daadwerkelijk van kracht is, volgt men een pragmatische aanpak door simpelweg alle data als gevoelig te bestempelen. Het aantal organisaties dat alle data - ongeacht de classificatie - eenvoudigweg in de cloud plaatst, is inmiddels gelukkig vrijwel verwaarloosbaar (3 procent).”

Figuur 5. Classificatie van bedrijfsgegevens naar privacygevoeligheid en concurrentiegevoeligheid.

Nederlandse IT-beslissers hebben de afgelopen jaren een goed beeld gekregen van de mogelijkheden die cloud services hen te bieden hebben. De onthullingen van Edward Snowden leken in eerste instantie een sterk negatieve invloed te zullen hebben op de verdere acceptatie en toepassing van cloud-diensten. In de praktijk blijkt dit mee te vallen. Wel heeft het NSA-schandaal tot gevolg gehad dat organisaties goed zijn gaan nadenken over de vraag voor welke data of applicaties de cloud voor hen geschikt is. Hierdoor is men ook goed gaan kijken naar andere wet- en regelgeving in Nederland en Europa.

Figuur 6. Hoever zijn Nederlandse organisaties als het gaat om beleid ten aanzien van het opslaan en verwerken van gegevens in de cloud?

"Daarmee kunnen we vaststellen dat de NSA-onthullingen de cloud-sector eerder goed dan kwaad heeft gedaan. Natuurlijk heeft iedereen in deze branche een aantal keren moeten uitleggen hoe het nu precies zit met cloud-diensten van Amerikaanse origine, maar hét grote voordeel is in mijn ogen dat IT-beslissers nu een heel realistisch beeld hebben van de mogelijkheden en de beperkingen van cloud-diensten. Dat lijkt mij pure winst”, aldus Dirk Zekveld van Macaw.

Hans Vandam