De digitale transformatie brengt risico’s met zich mee. Beveiliging (72%) en compliance (71%) zijn door de KMO’s de tweede en derde meest genoemde cloud-uitdagingen. De eerste stap bij het aanpakken van deze uitdagingen is begrijpen welke de belangrijkste fouten zijn die kleinere bedrijven maken bij hun cloud-implementaties.
16 januari 2024 – Cloud computing is een essentieel onderdeel van de huidige digitale wereld. Vandaag worden IT-infrastructuur, platforms en software vaker als een service geleverd (vandaar de acroniemen IaaS, PaaS en SaaS) dan in een traditionele on-site configuratie. Dit spreekt de KMO’s ook meer aan dan de meeste andere bedrijven.
De cloud biedt KMO’s de mogelijkheid om op hetzelfde niveau te staan als de grotere rivalen, zodat een grotere zakelijke flexibiliteit en schaalgrootte mogelijk worden zonder zich blauw te betalen. Dat is wellicht de reden waarom op wereldvlak 53% van de KMO’s, in een recent rapport, zeggen dat ze jaarlijks meer dan $1,2 miljoen uitgeven aan de cloud tegenover 38% vorig jaar.
De digitale transformatie brengt ook risico’s met zich mee. Beveiliging (72%) en compliance (71%) zijn door de KMO’s de tweede en derde meest genoemde cloud-uitdagingen. De eerste stap bij het aanpakken van deze uitdagingen is begrijpen welke de belangrijkste fouten zijn die kleinere bedrijven maken bij hun cloud-implementaties.
De zeven belangrijkste fouten van KMO’s in cloudbeveiliging
Wat volgt zijn fouten die niet enkel door KMO’s in de cloud worden gemaakt. Zelfs de grootste ondernemingen, met de grootste middelen, vergeten soms de basisprincipes. Door deze blinde vlekken weg te werken, kan een organisatie grote stappen zetten in het optimaliseren van de cloud, zonder zichzelf bloot te stellen aan mogelijk ernstige financiële of reputatieschade.
1) Geen multi-factor authenticatie (MFA)
Statische wachtwoorden zijn onveilig en niet elk bedrijf heeft een goed beleid voor het creëren van wachtwoorden. Deze kunnen op diverse manieren worden gestolen, via phishing, brute force of eenvoudigweg geraden worden. Daarom moet ook een extra authenticatielaag gebruikt worden. MFA maakt het voor aanvallers veel moeilijker om toegang te krijgen tot de SaaS-, IaaS- of PaaS-accountapps van de gebruikers, zodat het risico op ransomware, gegevensdiefstal en andere wordt verkleind. Een andere optie is om, waar mogelijk, over te stappen op alternatieve methodes, zoals authenticatie zonder wachtwoord (passwordless authentication).
2) Te veel vertrouwen stellen in de provider (CSP)
Veel IT-verantwoordelijken denken dat investeren in de cloud in feite betekent dat alles wordt uitbesteed aan een vertrouwde derde partij. Dat is slechts gedeeltelijk waar. Er is een gedeeld verantwoordelijkheidsmodel voor het beveiligen van de cloud, verdeeld tussen CSP en klant. Waar men voor moet zorgen, is afhankelijk van het type clouddienst (SaaS, IaaS of PaaS) en de CSP. Zelfs als de grootste verantwoordelijkheid bij de provider ligt (bijvoorbeeld in SaaS), kan het lonen om te investeren in aanvullende controles door derden.
3) Geen backup maken
Men mag er niet van uitgaan dat een cloudprovider (voor het delen van bestanden/opslagdiensten) achter de klant staat. Het is altijd goed om rekening te houden met het worstcase scenario, waarbij de kans op een systeemstoring of een cyberaanval groot is. Het zijn niet enkel de verloren gegevens die een impact hebben op een organisatie, maar ook de downtime en productiviteitsproblemen die uit een incident kunnen voortvloeien.
4) Niet regelmatig patchen
Een niet uitgevoerde patch, stelt cloudsystemen bloot aan misbruik van kwetsbaarheden. Dat kan leiden tot malware-infecties, datalekken en meer. Patchbeheer is een belangrijke ‘best practice’ op gebied van beveiliging, net zo relevant in de cloud als op locatie.
5) Verkeerde configuratie van de cloud
CSP’s zijn erg innovatief. Maar de talloze nieuwe functies en mogelijkheden die ze als reactie op feedback van klanten lanceren, kunnen uiteindelijk voor veel KMO’s een ongelooflijk complexe cloudomgeving creëren. Het wordt veel moeilijker om te weten welke configuratie de veiligste is. Veelgemaakte fouten zijn het configureren van cloudopslag (configuring cloud storage) zodat elke derde partij er toegang toe heeft, en het niet blokkeren van open poorten.
6) Het cloudverkeer niet monitoren
Tegenwoordig is het geen kwestie van ‘of’, maar wel ‘wanneer’ er in een (IaaS/PaaS) cloudomgeving wordt ingebroken. Snelle detectie en reactie is dus van cruciaal belang als men de signalen in een vroeg stadium wil opmerken en een aanval wil beperken voor deze een impact heeft op de organisatie. Dit maakt van continue monitoring een must.
7) De kroonjuwelen van het bedrijf niet versleutelen
Geen enkele omgeving is voor 100% bestand tegen inbraak. Wat gebeurt er als een kwaadwillende partij erin slaagt de meest gevoelige interne gegevens of sterk gereguleerde persoonlijke gegevens van werknemers/klanten te bereiken? Door data te versleutelen, zorgt men ervoor dat het niet kan worden gebruikt, zelfs niet als die data verkregen werd.
Voor een goede cloudbeveiliging zorgen
De eerste stap om de risico’s in cloudbeveiliging aan te pakken is begrijpen waar de verantwoordelijkheid ligt en welke gebieden de taak van de CSP zijn. Vervolgens moet men beoordelen of men de beveiligingscontroles van de CSP vertrouwt en of men deze gaat uitbreiden met aanvullende producten van derden. Wat volgt is belangrijk:
· Investeren in beveiligingsoplossingen van derden om de cloudbeveiliging en bescherming van de e-mail-, opslag- en samenwerkingstoepassingen te verbeteren, bovenop de beveiligingsfuncties die ingebouwd zijn in cloudservices, aangeboden door ’s werelds toonaangevende cloudproviders.
· Toevoegen van uitgebreide of beheerde detectie- en responstools (XDR/MDR) om een snelle respons op incidenten en het beperken/remedieren van inbreuken te stimuleren.
· Ontwikkelen en implementeren van een continu op risico’s gebaseerd patchprogramma dat op sterk assetmanagement (weten welke cloud-assets men heeft en zorgen dat ze altijd up-to-date zijn) gebaseerd is.
· Versleutelen van gegevens op databaseniveau en onderweg ervoor zorgen dat ze beschermd zijn, zelfs als de hackers die te pakken krijgen. Dit vereist ook effectieve en continue data-discovery en –classificatie.
· Definiëren van een duidelijk toegangscontrolebeleid; sterke wachtwoorden verplichten, MFA, principes van de minste privileges en op IP gebaseerde beperkingen/toelatingslijsten voor specifieke IP’s.
· Een Zero Trust-aanpak (Zero Trust approach)overwegen, waarin veel van bovenstaande elementen (MFA, XDR, encryptie) worden geïntegreerd, naast netwerksegmentatie en andere controles.
Veel van de bovenstaande maatregelen zijn dezelfde best practices die men zou verwachten bij implementatie op locatie. Op hoog niveau zijn ze dat ook, hoewel de details anders zijn. Het allerbelangrijkste is onthouden dat cloudbeveiliging niet enkel de verantwoordelijkheid is van de provider. Vandaag nog moet het nodige gedaan worden om cyberrisico’s beter te beheersen.