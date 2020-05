Digitalisering is een must om competitief te blijven, maar kan er ook voor zorgen dat IP juist in handen komt van de concurrent. Want als een uitbesteder data deelt met zijn toeleveranciers, gebruikt hij hier serviceproviders voor: dikwijls cloudpartijen die door hun grootschalige, centrale opzet en door de wetgeving waaronder ze vallen kwetsbaar zijn voor diefstal en het lekken van vertrouwelijke informatie. Start-up Storro helpt deze risico’s te beheersen.

Versleutelen, versnipperen en verspreiden

De doorgaande digitalisering van de industrie brengt met zich mee dat er digitale files worden gecreëerd waarin alle productspecificaties zijn opgenomen en soms ook al de data van het bijbehorende productieproces. Met als voordeel dat producten en processen eerst grondig getest kunnen worden voordat ze fysiek worden geproduceerd of geïmplementeerd. Deze ontwikkeling zorgt voor een flinke verhoging van de efficiëntie en effectiviteit, maar vergroot ook de risico’s op bedrijfsspionage en datalekken.

Blinde vlek

Die digitalisering vergt dat steeds meer data opgeslagen en verstuurd worden, tussen diverse vestigingen van één bedrijf, maar ook tussen klanten en toeleveranciers. Giga- en terabytes aan data waarin de complete IP besloten ligt. Dat versturen, vertellen Friso Stoffer en Daniel Weststeijn, respectievelijk oprichter en marketingmanager van Storro, gaat per definitie via een serviceprovider. ‘Je data in de cloud zetten is niks anders dan het opslaan van je gegevens op servers van een externe partij’, schetst Weststeijn. ‘Daarmee kan die partij – en eenieder die toegang krijgt tot haar servers – jouw data eenvoudig misbruiken. En dat gebeurt op grote schaal. Veel bedrijven zijn zich hier onvoldoende van bewust. Die doen zaken met een leverancier, omdat ze Henk daar goed kennen en vertrouwen. Maar van de dienstverlener die ertussen zit, zijn zij zich vaak nauwelijks bewust.’ ‘Het gevaar komt daarbij niet alleen van hackers, maar in toenemende mate ook van Chinese, Russische en Amerikaanse overheidsdiensten die actief jagen op industriële kennis’, sluit Stoffer aan. ‘De meeste, grote clouddiensten vallen onder ambigue wetgeving zoals de Amerikaanse Patriot Act.’

Versleutelen en versnipperen

De Hengelose start-up Storro heeft specifiek voor deze problemen een oplossing ontwikkeld: een applicatie die de gebruiker installeert op zijn eigen computer. Hiermee wordt een bestand automatisch versleuteld – lokaal en niet in de cloud – met sleutels waarover alleen de gebruiker beschikt. Vervolgens wordt de file opgedeeld in kleine snippers van enkele kB’s tot een paar MB. Weststeijn: ‘Die versleutelde snippers worden vervolgens verspreid opgeslagen over de servers van verschillende Nederlandse cloudaanbieders. Met een paar van die losse, versleutelde chunks kan iemand die kwaad wil niets. Voor de encryptie maken we gebruik van wereldwijd grondig gereviewde algoritmes. Om ervoor te zorgen dat de ontvanger de snippers weer kan samenvoegen tot één bestand en kan openen, krijgt hij een persoonlijke sleutel die alleen te gebruiken is als hij beschikt over de juiste credentials en onze programmatuur. Met ons product worden data en sleutels dus altijd decentraal, bij meerdere partijen opgeslagen, versnipperd en verspreid. Er is geen centrale autoriteit meer die overal bij kan, wat megalekken voorkomt. De cloud, maar dan vertrouwd.’

Ransomware

Voor het vastleggen van gebruikersrechten en hoe de losse datadeeltjes weer moeten worden samengevoegd tot één leesbaar document, gebruikt Storro blockchaintechnologie, gaat Weststeijn verder. De bescherming bij uitstek tegen manipulatie door kwaadwillenden en ransomware. ‘Blockchaintechnologie zorgt namelijk voor een niet-manipuleerbare audit trail: zodra een wijziging in het versleutelde bestand wordt opgeslagen, is deze zichtbaar voor iedereen die over de juiste sleutel beschikt. Dus als een toeleverancier iets verandert aan een digitale producttekening of de productieparameters, is dat voor de uitbesteder meteen zichtbaar. Maar ook als een file wordt gedeeld met iemand zonder bevoegdheid. En, omdat de blockchain append only is, kan de historie niet worden gewijzigd. Zo kan te allen tijde worden teruggegaan naar een versie van de data die niet door ransomware is versleuteld. Dat stelt veel klanten gerust vandaag de dag.’

´Je kunt altijd terug naar een versie van de data die niet door ransomware is versleuteld’

‘Onze private blockchain’, vervolgt Stoffer, ’is ook veel sneller dan de publieke blockchain van een bitcoin of ethereum. Een betaling met bitcoin kan makkelijk een half uur vergen, zoveel tijd is nodig om de transactie te verifiëren bij de tienduizenden peers in het netwerk. Voer je een wijziging door in onze blockchain, dan hoeft dit alleen te worden gecommuniceerd met de direct betrokken partijen. De snelheid van werken in grote bestanden is ook erg hoog: alleen gewijzigde data-chunks hoeven te worden gesynchroniseerd. Een groot voordeel, daar complete files tegenwoordig vele terabytes groot zijn en uitgewisseld moeten worden met partijen in verre landen, over vaak trage verbindingen.’

Eerst Nederland

Het product waarmee Storro in 2017 de markt op ging, was in feite een proof of concept, om daarmee zo veel mogelijk terugkoppeling van klanten te verwerven. ‘Veiligheid stond altijd centraal in ons businessmodel, maar snelheid bleek minstens zo belangrijk voor de klant. En er bleek een grote behoefte aan veel opslagcapaciteit. Daarom hebben we, als laatste uitbreiding, de decentrale cloudopslag toegevoegd, bij drie verschillende Nederlandse cloudleveranciers’, aldus Daniel Weststeijn.

Omdat die laatste toevoeging pas enkele maanden beschikbaar is, heeft Storro vooral nog mkb’ers als klant, waaronder een fabrikant van e-bikes en een fraudeonderzoeksbureau. Dat naast partijen als een ministerie, een grote gemeente (voor een veilige data-uitwisseling tussen politie, justitie en gemeente) en een Japanse elektronicaproducent. De komende tijd hoopt het bedrijf bij meer grote bedrijven voet aan de grond te krijgen. ‘Eerst in Nederland. Met hun referenties gaan we dan Europa in.’

AVG als driver

Daarbij heeft Storro niet alleen de industrie als markt voor ogen, maar ook bijvoorbeeld de medische sector die veel (medische) persoonsgegevens in de cloud opslaat. Friso Stoffer: ‘Wij willen heel graag een maatschappelijk relevant bedrijf zijn en bijdragen aan het beschermen van de privacy van de consument. Een eerste stap daarin is dat hackers en partijen als Google en Microsoft geen toegang krijgen tot dit soort informatie. Onze technologie zorgt ervoor dat alleen de data-eigenaar en expliciet geautoriseerde partners toegang hebben. Zo vormen de Europese AVG (Algemene Verordening Gegevensbescherming, red.) en de publieke bewustwording omtrent dit thema belangrijke drivers van onze business.’

Internationale prijzen

Storro ontstond in 2012, als informeel samenwerkingsverband van vier vrienden, onder wie Friso Stoffer. Drie van hen studeerden computer science, alleen Stoffer heeft met financial engineering een minder hard-technische achtergrond. In 2015 is het partnerschap geformaliseerd in een BV die sinds 2017 op de markt actief is. Aandeelhouders, in casu financiers, zijn participatiemaatschappij OostNL en twee privépersonen. ‘Néderlanders’, benadrukt Stoffer.

Het bedrijf heeft met zijn technologie voor ‘gedistribueerde, versleutelde opslag en vertrouwelijke uitwisseling van data’ inmiddels verschillende internationale prijzen ontvangen. Zo won het in 2018 de World Tour Start-up Battle van Fujitsu en werd het datzelfde jaar verkozen in de wereldwijde scale-up top-5 Security & Privacy op het SXSW tech-festival in de VS. En vorig jaar verwierf het een plek in de top-3 van de European Innovator of the Year.