Onlangs publiceerde Computerworld een interessant artikel met als titel: 6 beveiligingsproblemen als je cloud inzet. Opvallend is dat er een aantal punten in het artikel wordt genoemd, waarbij de verantwoordelijkheid met name bij de gebruiker/ organisatie zelf ligt. Verantwoordelijkheid en bewustwording zijn de twee sleutelwoorden als het gaat om beveiliging van uw cloudomgeving.

Zes beveiligingsproblemen bij cloud

In het artikel van Computerworld worden zes beveiligingsrisico’s genoemd waar een organisatie rekening mee moet houden als het overstapt op de cloud. We behandelen er deze keer twee: Datadiefstal en Gestolen credentials.

1. Datadiefstal
Financiële informatie, intellectueel eigendom, medische gegevens en bedrijfsgeheimen. Dit zijn zomaar wat voorbeelden van gegevens die interessant kunnen zijn voor de buitenwereld. Aanvallen vinden al op grote schaal vinden op bedrijfsnetwerken en daarbij natuurlijk ook op cloudomgevingen. Onderzoekers geven aan dat cloudomgevingen aantrekkelijker zijn om aan te vallen, vanwege de grote hoeveelheid data die er op aanwezig zijn. De Cloud Security Alliance geeft als oplossing: het inzetten van multifactor-authenticatie en versleuteling. Hiermee wordt de eventuele schade van datadiefstal tot een minimum beperkt.

2. Gestolen credentials
Diefstal van data is vaak een gevolg van een laks authenticatiebeleid, zwakker wachtwoorden en slecht sleutel- en certificaatbeheer. Wat kunnen organisaties doen om diefstal van credentials te voorkomen?

• Beleid identiteitsbeheer
  Organisaties moeten in hun beleid opnemen hoe ze omgaan met identiteitsbeheer. Daarnaast is het van belang vast te stellen welke rechten elke medewerker heeft. Wat gebeurt er als een medewerker een andere rol in het bedrijf gaat vervullen of als een medewerker de organisatie verlaat? Welke gegevens moeten worden aangepast en hoe zorg je er als organisatie voor dat een medewerker niet meer bij bepaalde gegevens komt?
• Wachtwoord-policy
  In het verlengde van het vorige punt is het verstandig om als organisatie aan te geven hoe medewerkers met hun wachtwoorden omgaan. In een protocol kan een organisatie aangeven waar een wachtwoord aan moet voldoen. Geef aan dat bijvoorbeeld 1234 niet mag en dat om de zoveel tijd een wachtwoord moet worden aangepast. U kunt in dit protocol ook een punt opnemen over hoe en waar medewerkers hun wachtwoord kunnen opslaan. Bijvoorbeeld op een wachtwoord-sleutelhanger in plaats van een briefje op het bureau.
• Wachtwoorden voor klanten
  Organisaties moeten goed nadenken over wachtwoorden en gegevens die zij naar klanten sturen. Hoe vaak komt het wel niet voor dat je als ‘nieuwe’ klant een wachtwoord in de trant van Welkom01 krijgt toegestuurd? Als kwaadwillenden weten dat een organisatie zulke wachtwoorden verstrekt, kan een doelgerichte aanval zeer lucratief zijn. Een oplossing hiervoor is het inzetten van multifactor-authenticatie: mensen ontvangen een e-mail met een link, via die link kunnen ze een code opvragen die per SMS wordt verstuurd. Met deze code logt de klant uiteindelijk in.

Veilig in de cloud

De volgende keer bespreken we de volgende punten uit het artikel: Gehackte interfaces & API’s, Bugs in het systeem, Accountkapingen en Malafide insiders.

Wilt u in de tussentijd weten wat Zeno Software doet om zijn cloudomgeving veilig te houden? Neemt u dan contact met ons op en wij vertellen het u graag.