AWS certificeringen maken weinig uit

Met een stapel rapporten en certificeringen wil AWS duidelijk maken dat de soevereine clouddiensten van het Amerikaanse bedrijf echt ok zijn en te vertrouwen. De documenten zijn binnen twee maanden nadat de eerste “AWS Europese soevereine cloud” is gelanceerd beschikbaar en dat is opmerkelijk snel. Op de lijst van documenten waarmee het bedrijf de boer op gaat staan allereerst SOC2 type 1 en (voor de Duitse markt belangrijk BSI-C5. Die eerste zal een deel van de lezers van dit artikel bekend kunnen voorkomen. De andere documenten zijn: ISO/IEC 27001:2022, ISO/IEC 27017:2015, ISO/IEC 27018:2019, ISO/IEC 27701:2019, ISO 22301:2019, ISO/IEC 20000‑1:2018, ISO 9001:2015.

Scope

Naar het schijnt heeft dit alles betrekking op ruim 60 services van de cloudaanbieder. Klinkt indrukwekkend, maar het is direct een signaal. Iedereen die iets weet van certificeringen weet dat de scope alles bepalend is. Om die reden is het uitermate onverstandig te veronderstellen dat de ISO27001 van 2 bedrijven uit dezelfde sector met dezelfde diensten gelijk zijn. Het enorme aantal waarmee AWS indruk wil maken moet dan ook vragen oproepen. Wat is er buiten de scope gebleven en wat is nadrukkelijk niet ge-audit of gecontroleerd? Binnenkort zullen wel de eerste analyses verschijnen van organisaties die daar beter naar gekeken hebben. Wat nu al gezegd kan worden is dat de kans zeer gering is dat in de documentatie begrippen als CloudAct en Executive Orders plus andere Amerikaans regelgeving aan bod zullen komen. De stapel rapporten en certificeringen van AWS zijn gewoon niet het antwoord op die belangrijke vragen. Het gaat er niet om of de techniek goed in elkaar zit. Dat kan objectief worden gemeten en vastgesteld. Of AWS daar altijd de beloftes waarmaakt is weer een ander verhaal, maar in de regel schijnt de uptime wel in orde te zijn.

Vertrouwen

Waar het echt om gaat is het vertrouwen in een bedrijf dat gebonden is aan Amerikaans recht en dat een grootaandeelhouder heeft die de zittende president steunt. Om het nog scherper te stellen: recent onderzoek in Duitsland laat zien dat 83 procent van de ondernemers er van uit gaat dat Amerikaanse hyperscalers en clouddiensten een kill switch hebben die Washington kan (laten) overhalen. AWS kan wel 1000 rapporten en certificeringen laten zien, als dit het marktsentiment is zal dat weinig uitmaken.