Beveiliging was jarenlang het belangrijkste argument om gevoelige data en workloads niet naar de cloud te brengen. Dat het tij gekeerd is, is wel duidelijk: uit recent onderzoek blijkt dat 94 procent van de wereldwijd duizend ondervraagde bedrijven cloud-services gebruiken en bijna de helft gebruikt SaaS-gebaseerde applicaties die cruciaal zijn voor de bedrijfsprocessen. Toch is op security-gebied nog niet alles duidelijk.
Ongeveer de helft van de bedrijven gebruikt de publieke cloud voor de verwerking van klantgegevens. En vorige maand werd bekend dat zelfs data van landelijke overheden zoals die van Ecuador in de cloud zijn terug te vinden. Helaas ook toegankelijk voor mensen die geen toegang mogen hebben. Half september ontdekte een beveiligingsbedrijf bij een routine-check dat de persoonlijke gegevens van zo’n zeventien miljoen burgers van Ecuador, waaronder 6,7 miljoen kinderen, vrij toegankelijk waren via een onbeveiligde server in Miami. Niet alleen de hoeveelheid, maar ook het soort data viel op: ID-nummers, telefoonnummers, trouwdata, genoten opleidingen en werkervaring. Het probleem was een onbeveiligde AWS Elasticsearch server. Niet de overheid zelf, maar een data-analyse bedrijf bleek schuldig te zijn voor het online zetten van de data zonder een wachtwoordbeveiliging.
Even los van de vraag of zo’n bedrijf dit soort data moet ontvangen, is het vooral interessant de vraag te stellen wie waarvoor verantwoordelijk is. Wanneer een organisatie de cloud gebruikt, moet je in staat zijn de beveiligingsmaatregelen die de cloud-provider in acht neemt te snappen en op waarde te schatten. Passen ze binnen het eigen beleid en procedures of niet?
Gedeelde verantwoordelijkheid
In het eerder genoemde onderzoek bleek ook dat organisaties te veel naar de cloud provider kijken als het gaat om de bescherming van data en andere assets in de cloud. Inloggegevens die toegang tot deze data geven, moeten in de cloud net zo worden beveiligd als in on-premise omgevingen. Sommige van deze credentials zullen van nature meerdere (toegangs)rechten hebben. Aanvallers zijn altijd op zoek naar deze privileged accounts, want het is de meest effectieve route naar hun uiteindelijke doel. Het is zorgwekkend dat slechts weinig organisaties een plan hebben om ze te beveiligen. Sterker nog, er is nog altijd veel onduidelijkheid rond privileged accounts, secrets en credentials: wat zijn het precies, waar zijn ze en wat kunnen ze, zijn alsmaar terugkerende vragen. Laat staan dat er een strategie is om ze te beschermen.
De meeste cloud providers werken op basis van gedeelde verantwoordelijkheid, waarbij de provider tot een bepaald punt de security-maatregelen neemt en ervan uitgaat dat de afnemer het vanaf dat punt overneemt. Het is belangrijk om te weten waar dat punt precies ligt. Nog belangrijker is het om de aanwijzingen van de cloud provider hierin op te volgen. Ze zijn meestal erg helder over hun verantwoordelijkheidsmodellen voor security en compliance, maar veel bedrijven slaan dit in de wind.
Typerend is dan ook de belangrijkste verwachting die bedrijven hebben bij de inzet van cloud: het afwenden van security-eisen naar de cloud-leverancier. Alsof je een fiets met een goed slot koopt en verwacht dat de winkel verantwoordelijk is wanneer hij gestolen wordt. Uiteraard nemen cloud-leveranciers hun verantwoordelijkheid als het gaat om het beveiligen van de systemen en de data die erop opgeslagen of verwerkt wordt, maar dat betekent niet dat alle aansprakelijkheid bij de gebruiker meteen weg is. Het beschermen van klantdata blijft de verantwoordelijkheid van het bedrijf zelf. Je moet je fiets wel goed op slot zetten (en liefst niet in een donker steegje).
In handen van de provider
Daarnaast wees het onderzoek uit dat driekwart van de ondervraagden de beveiliging volledig in handen legt van de provider, terwijl de helft hiervan aangeeft dat dit niet voldoende bescherming biedt. Het model van gedeelde verantwoordelijkheid wordt niet begrepen of simpelweg genegeerd.
Ecuador is niet het eerste land dat gegevens van burgers via een onbeveiligde cloud-server blootstelt aan allerlei risico’s, en zal niet de laatste zijn. Er werden ook al stem-gegevens van 14,3 miljoen Chilenen voor een landelijke verkiezing gevonden, via een vergelijkbare Elasticsearch server.
Overheden kijken naar de cloud om hun burgers beter van dienst te zijn. Hierbij moeten ze cloud security- strategieën ontwikkelen (en voortdurend evolueren) om burgers niet alleen van dienst te zijn maar ook hun vertrouwen te houden dat de services veilig te gebruiken zijn.