Is werken via de cloud echt veilig?

vr, 11/10/2019 - 16:45

Door: Redactie WINMAG Pro

Zo op het oog is de cloud een voor criminelen ondoordringbaar bolwerk. Misschien dat een Hollywoodregisseur met de nodige drank op nog wel een script kan verzinnen waarbij een datacenter van Google of Microsoft wordt binnengedrongen, maar in het echte leven gebeurt dat niet. Bovendien is dat ook niet nodig. Er zijn namelijk veel gemakkelijkere manieren voor hackers om achter je bedrijfsgeheimen te komen.

Naarmate het werken via de cloud steeds omvangrijker wordt, wordt ook cloudsecurity een steeds interessanter onderwerp. Het beveiligen van (bedrijfs) gegevens in de cloud gebeurt namelijk op een volledig andere wijze dan bij een eigen server (on perimeter). Bij die laatste is het netwerk zelf kwetsbaar. Door middel van goede firewalls en virusscanners moet een beheerder ervoor zorgen dat kwaadwillenden buiten blijven. Ook zaken als brand liggen op de loer, waardoor een back-up van de server bij voorkeur ergens in een ander gebouw staat.

Accountbeveiliging cloud

Bij de cloud is de server dus geen issue. Alles gebeurt online. Waar je vooral op moet letten is de beveiliging van je account. In tegenstelling tot de meeste vaste servers ben je bij de cloud niet plaatsgebonden. Je kunt overal vandaan inloggen. Als je maar internet hebt en een laptop. Dat geldt voor medewerkers, maar natuurlijk ook voor computercriminelen. Op het moment dat zij het wachtwoord en de gebruikersnaam buit maken, hebben ze direct toegang tot alle gegevens van je bedrijf.

Phishing via cloud

‘Hoe beveilig je jouw gegevens?’, is niet de goede vraag. ‘Hoe beveilig je jouw identiteit?’. Dat is waar het om gaat. Hackers hebben dit al lang door en gebruiken een aantal standaardmethodes om identiteitsgegevens buit te maken. Denk maar eens aan het gevreesde phishing. Daarbij wordt een nepbericht verstuurd die doorlinkt naar een website die precies lijkt op die van jouw bank of een bekende webshop. Op het moment dat je inlogt, geef je jouw identiteit als het ware cadeau aan een crimineel. Die kan het vervolgens gebruiken om namens jou bij het echte webshop-, bank-, of cloudaccount in te loggen. Helaas gebruiken we vaak dezelfde wachtwoorden voor meerdere accounts en kun je met één gejat account vaak op meerdere platforms inloggen.

Wat kun je doen?

Wil je als bedrijf je cloud op een goede manier beveiligen, dan zijn er aantal stappen die je kunt nemen. Het belangrijkste is het simpelweg opstellen van beveiligingsregels. Bijvoorbeeld richtlijnen over gebruikersnaam en wachtwoord. Verbied bijvoorbeeld om voor de cloud privéwachtwoorden te gebruiken. Stel beleid op waarbij je dat wachtwoord iedere drie maanden verplicht moet veranderen. Maar geef vooral goede voorlichting over het belang van deze regels. Eventueel kun je ook een goede passwordmanager introduceren die wachtwoorden zakelijk én privé kan onthouden. Op die manier kun je accounts van elkaar scheiden.

Penetratietest door ethische hackers

Heb je jouw beleid eenmaal op orde, dan is het wellicht een idee om het te laten testen. Bijvoorbeeld door een groep ethische hackers. Er zijn in Nederland verschillende bedrijven die ethische hackers in dienst hebben voor zogenaamde penetratietesten. Daarbij krijgen ze basisinformatie over je bedrijf en laten ze een aantal standaard hackmethodes los op je systeem. Aan de hand daarvan krijg je ten eerste inzicht in de sterkte van je beveiliging en krijg je ook waardevolle tips om die nog verder te verbeteren.

Two-factor-authentication

Ook technisch zijn er de nodige voorzorgsmaatregelen te treffen. Gebruikersnamen en wachtwoorden zijn namelijk per definitie zwak. Gelukkig kun je ze een stuk sterker maken door two-factor-authentication te gebruiken. Bij het inloggen moet je dan niet alleen het juiste wachtwoord intypen, maar ook een aanvullende code. Die wordt meestal automatisch aangemaakt en naar je telefoon verzonden. Ook de overheid maakt met DigiD gebruik van two-factor.

Vingerafdrukken en bioscans

Nog beter is het volledig verbannen van wachtwoorden. Dat kan door vingerafdrukscanners of biometrische scans te gebruiken. Dat klinkt allemaal erg hocus pocus, maar dat is het niet. Vingerafdrukscanners zijn tegenwoordig vrij gangbaar op de wat betere smartphones. Hetzelfde geldt voor biometrische scanners. Bij de iPhone X is die inmiddels standaard ingebouwd, waarschijnlijk gaan andere fabrikanten daar de komende jaren in mee. Het sterkste is natuurlijk om meerdere van deze methodes aan elkaar te koppelen. Bijvoorbeeld dat je én een wachtwoord nodig hebt, en een vingerafdruk. Op die manier is je account eigenlijk niet meer te hacken.

Geen klus voor doe-het-zelvers

Zo op het oog klinkt dit allemaal heel mooi. Het probleem ontstaat wanneer je maatwerk nodig hebt. Niet alle data is namelijk even gevoelig. Het beste is om data onder te verdelen in categorieën en die op een passende manier te beveiligen. Ook kun je datarestricties opleggen aan je medewerkers. Iemand die bij logistiek werkt heeft niets te zoeken bij de boekhouding en andersom. Om verder ook nog een keus te kunnen maken uit de enorme hoeveelheid veiligheidspakketten die worden aangeboden, is het aan te raden om (ook) voor het beheer van je cloudsecurity een gespecialiseerd bedrijf in de arm te nemen. Vaak, maar zeker niet altijd, zijn dit dezelfde bedrijven die ook de inrichting en transitie voor je bedrijf kunnen verzorgen. Een klein overzicht vind je in het kader.

Tot slot

Concluderend gaat het bij cloudsecurity niet eens zozeer om de techniek, maar vooral om de bewustwording. Op het moment dat je een duidelijk beleid hebt en medewerkers die bewust omgaan met hun toegang tot de cloud, heb je het grootste risico al vermeden. Two-factor-authentication zou eigenlijk voor iedere bedrijfscloud de standaard moeten zijn. Extra technische opties en ethische hackers zijn dan vooral een bonus. Voor als je echt wat te verbergen hebt.