Cloud computing security concept

Hoe veilig is het gebruik van Cloud Services?

/in /door

In mijn vorige blog heb ik de voor- en nadelen van Exchange belicht on-premises en in de Cloud. Deze maand wil ik graag beveiliging verder bespreken.

Veel bedrijven gebruiken tegenwoordig clouddiensten voor hun werkzaamheden, de “voordelen” hiervan zijn ruimschoots bekend, maar hoe zit het eigenlijk met de veiligheid hiervan? Kun je als onderneming er volledig op vertrouwen dat alles volledig secuur en redundant is uitgevoerd?

Het antwoord hierop is eenvoudig, Nee!

Laten we even terug kijken naar 2012, LinkedIn een clouddienst voornamelijk zakelijk populair waarbij ruim 6 miljoen paswoorden buit zijn gemaakt. Iets waar je je als gebruiker van de dienst je niet tegen kunt wapenen , en als je de dienstverlener moet geloven alles veilig is. In het geval van LinkedIn is het lek van deze gegevens vrij snel publiekelijk geworden. Waarbij je als gebruiker redelijk snel je eigen wachtwoord kon wijzigen zodat je persoonlijke gegevens niet in andere handen konden vallen.

LinkedIn is zeker niet de enige dienst waarbij een dergelijk lek heeft plaatsgevonden. Bij de dienstverlener voor Nederlandse overheid certificaten (DigiD en RDW) DigiNotar, heeft in 2011 een lek plaatsgevonden. Welk mogelijk een aanval op Hotmail en GMail door de NSA heeft mogelijk gemaakt. Echter kwam dit nieuws twee jaar later in 2013 pas naar buiten…

De voorbeelden zijn legio, maar kun je je als moderne organisatie anno 2016 hier 100% tegen wapenen. Wederom, nee. Ook als je als onderneming alle programmatuur on-premises hebt ondergebracht zijn er risico’s. Kijk bijvoorbeeld naar de backdoor’s die gevonden zijn in de Juniper Firewalls begin dit jaar.

Over het algemeen kunnen we stellen dat elke moderne onderneming tegenwoordig een verbinding nodig heeft met het internet om zich staande te kunnen houden in de huidige economie. Hierdoor neemt de kwetsbaarheid in grote mate toe. We hoeven immers niet fysiek aanwezig te zijn bij de gegevens en openingstijden bestaan niet in de digitale wereld. Iets waar we ons overigens niet door moeten laten afschrikken maar juist een goede balans in moeten vinden. Want werkbaarheid en veiligheid moeten goed op elkaar zijn afgestemd. Alle digitale risico’s wegnemen is simpelweg onmogelijk. Ook niet wanneer je de internet verbinding en acces points uitschakelt. StuxNet is hiervan een goed voorbeeld waarbij via een geïnfecteerde USB stick een losstaand netwerk is besmet en een uranium centrale is platgelegd.

Hoe kunnen we er voor zorgen dat we dan zo veilig mogelijk zijn?

  • Train medewerkers en personeel, leer ze bewust te zijn van de risico’s.
  • Stel procedures omtrent gebruik, toegang en gevoelige informatie op en controleer de naleving van deze procedures.
  • Wachtwoordbeleid; Niet alleen voor uw lokale netwerk, maar zeker ook voor Cloud diensten! Gebruik niet overal het zelfde wachtwoord en wijzig deze wachtwoorden regelmatig. Denk daarnaast ook over de mogelijkheid om bijvoorbeeld Multi-factor authenticatie in te voeren.
  • Patch en onderhoud uw volledige IT omgeving, denk hierbij niet alleen aan reguliere Updates en applicatie updates. Maar ook aan updates van uw Switches, Acces points, Routers, Firewalls, mobiele devices. Zorg er ook voor dat de status hiervan overzichtelijk is, zodat bij bekende kwetsbaarheden je direct kan ingrijpen waar nodig.
  • Centraliseer logfiles en monitor deze zodat je weet wat er gebeurd! Hiervoor zijn vele tools beschikbaar om alle logfiles centraal te monitoren. Hierdoor kunt u veel inzicht verkrijgen in wat er nu eigenlijk plaatsvind binnen uw IT Landschap.
  • Etc. etc.

Mijn voorbeelden zijn wellicht gedateerd maar dit houdt niet in dat het niet aan de orde van de dag is. Deze week is ook duidelijk geworden dat de FBI een IPhone heeft kunnen openen van de San Bernadino schutter zonder medewerking van Apple zelf. Wat als deze gegevens in het datacenter van Apple hadden gestaan? Bedenk je in zo’n situatie wat als dit had plaatsgevonden binnen mijn organisatie, hoe gaan we dit binnen onze organisatie voorkomen?

Kortom, alles volledig secuur maken is een illusie. Zorg dat je weet wat er gebeurt, wapen je tegen bekende aanvallen (leer hiervan) en verzamel zoveel mogelijk informatie over je eigen gegevens. Wie heeft er toegang en waar bevind deze data zich. Zodat je altijd adequate kan inspelen op “onverwachte” situaties.