Data veilig in de cloud, de realiteit of een illusie?

PADDLS organiseerde een Digital Round Table met Telindus als kennispartner. De werkomgeving van de deelnemers was zeer divers. Van de medische sector, via (maak)industrie tot dienstverlening. Al tijdens de voorstelronde bleek dat het onderwerp verdeelde reacties opriep. Daarom werd de discussie opgebouwd rond drie vragen.

1 Hoe zorg je ervoor dat jouw data volledig veilig worden ondergebracht in de cloud?

Al tijdens de introductieronde werd de vraag gesteld of de security bij hyperscalers nou wel zo goed geregeld was. “Zitten er geen risico’s aan het concentreren van veel data op bepaalde punten?” Zeker als je in deze tijd, we zien een oorlog, alles in een datacenter bij elkaar brengt kan dat een risico zijn. Iemand met kwade bedoelingen weet dan waar hij moet zijn. “Zijn servers in de kelder dan niet veiliger?” Hierover ontstond een levendige discussie. De tegenwerping luidde: “zo veilig als een hyperscaler kun je het in eigen huis niet organiseren.”

Een van de redenen is, dat geen van de aanwezigen IT als corebusiness heeft. “Dus moet je dit uitbesteden.” Anderzijds, was een tegenwerping, ontstaan ook bij hyperscalers kwetsbaarheden. “Dan krijg je de melding dat het is opgelost, maar als je vraagt wat er precies aan de hand was, geven ze geen antwoord.”

Wel is het van belang de shared responsability in de gaten te houden. “Je houdt zelf altijd een verantwoordelijkheid voor de security van de data”, was een opmerking. Cloud biedt weliswaar veel gemak, maar wat je op die cloud-services bouwt is je eigen verantwoordelijkheid. “Dat is niet bij iedereen helder. Daar kunnen risico’s ontstaan.”

Een opvallende constatering was, dat veel defensie-organisaties in Europa on-premise omgevingen eisen, maar dat Amerika dit juist verbiedt. “Hyperscalers hebben nu eenmaal een veel groter security-budget. En daarnaast graven ze hun eigen graf als ze de beveiliging niet op orde hebben.” Anderzijds maak je je als onderneming ook afhankelijk van het (onvoorspelbare) prijsbeleid van de aanbieder.

2 Welke voorzorgsmaatregelen tref je om jouw data te waarborgen in Azure of AWS?

“Analyseer eerst welk type data je daar nou moet en wilt neerzetten”, is een suggestie. Moeten Interlectual Property, broncodes of klantgegevens daar nu geplaatst worden, was een vraag. Ook in het kader van AVG-regelgeving. Blijft het echt allemaal in Europa? “We hebben gezien hoe sterk bijvoorbeeld de politiek van Trump protectionistisch was.” Je kunt te maken krijgen met regelgeving waar je zelf geen invloed op hebt. Het is daarbij deels ook een gevoel. Een server kan je loskoppelen en dan komt niemand erbij.

Anderzijds, was ook hier de respons: bewaren we goud, cash en juwelen nog steeds in de woning of gaan we naar een bank(kluis)? Meestal kiezen we voor de tweede optie.

Een advies van een deelnemer uit de medische sector was met een basale vraag te beginnen. “Die basale vraag is dan: als we als ziekenhuis naar de cloud gaan, hoe zouden we dat dan qua security moeten inrichten?” Dus niet beginnen over hoe bepaalde applicaties naar de cloud kunnen verhuizen, maar eerst de security adresseren. Security by design dus.

Daarbij ook vastleggen hoe bijvoorbeeld de datastroom van en naar de applicaties moet worden ingericht. Kaders op het gebied van wetgeving, security, compliancy, privacy staan centraal en zijn niet onderhandelbaar. Pas daarna ga je bouwen en migreren.

“Ontwerp de omgeving op een manier”, is een andere suggestie, “zoals je het ook in het datacenter doet. Maar dan zonder silo’s.” En gebruik automatisering voor het deployment, dat voorkomt menselijke fouten.

3 Hoe zorg je ervoor dat datahandelingen worden gelogd en controleerbaar zijn?

Het begint met de vraag: wie kan waar bij en wanneer. “Een werknemer verlaat het bedrijf, verwijder je zijn account dan ook netjes? Heb je dat goed gecentraliseerd en geregeld? Dat blijkt en blijft een uitdaging.”

SaaS biedt een heel breed spectrum aan oplossingen en leveranciers. Als business-afdelingen in de organisatie zelf mooie tooltjes installeren, is het maar de vraag hoe veilig die zijn. “Onderwerp nieuwe applicaties steeds aan een hele strenge check”, is een suggestie. Dit is te doen door middel van een assessment. “Je gaat naar de leverancier, voert gesprekken en stelt een rapport op.” Dan nog kan het fout gaan. “De mens is de zwakke schakel, als die iets mailt naar zichzelf, Dropbox gebruikt of een USB-stick gaat het alsnog mis.” Controle, die toch heel vaak achteraf plaatsvindt komt dan vaak te laat.

4 Hoe krijg je altijd en overal inzicht en wie controleert wie de data kan bewerken en verwerken?

Het werd maar weer eens gesteld: de zwakste schakel in de keten is en blijft de gebruiker. Awareness-campagnes kunnen hetzelfde effect hebben als een brandoefening die te vaak herhaald wordt. “Honderd procent zul je verkeerd gedrag door gebruikers niet kunnen oplossen, want dan elimineer je simpelweg alle links in mailberichten en delete je attachments.” Toch blijven awareness-trainingen voor een aantal deelnemers een goed middel. “Maandelijkse securitytests, meerdere keren nep-phishing campagnes versturen en terugkoppelen naar hen die er toch intrappen: 100% safe wordt het niet, maar je moet er alles aan doen.”

5 Conclusie

Aan het eind van de bijeenkomst benoemden deelnemers de highlights uit de discussie. Ten eerste is het zaak goed na te denken over het onderwerp security. Security by design is daarbij belangrijk. Vergeet daarbij de shared responsability dus niet. Ja, hyperscalers hebben meer budget om beveiliging en veiligheid te regelen, maar je blijft als onderneming ook zelf verantwoordelijk voor security en (vooral) het naleven van AVG-wetgeving.

Prijsbeleid van de aanbieder maakt je afhankelijk van hen, een zekere vendor lock-in ligt ook op andere momenten op de loer. Ook oorlogen, politiek beleid of sancties kunnen impact hebben. Dat kan pleiten voor on-premise keuzes.

Alle deelnemers getuigen van een worsteling op het gebied van security-awareness bij medewerkers.

Laat een reactie achter

Het e-mailadres wordt niet gepubliceerd.