Jouw SaaS-data, jouw verantwoordelijkheid

Dyon de Bruijne-commvault-350400.jpg

De coronacrisis heeft de afgelopen anderhalf jaar tal van werknemers uit het kantoor verdreven. Overal ter wereld werden mensen door de overheid aangespoord om zoveel mogelijk vanuit huis te werken. Maar nu de lockdowns langzaam worden opgeheven, lijkt hybride werken de norm te blijven. Onderzoeksbureau IDC onderschrijft deze visie. Het voorspelt dat 60% van alle data in 2023 door thuiswerkers zal worden gegenereerd.

Maar thuiswerken is niet zonder risico’s. Om ook op de lange termijn het hybride werken te kunnen blijven faciliteren, is het belangrijk om de procedures onder de loep te nemen zodat cybercriminelen de remote werkplek niet kunnen misbruiken om toegang tot het bedrijfsnetwerk te krijgen.

 

Het aantal cyberaanvallen is tijdens de coronacrisis toegenomen. Het aantal ransomware-aanvallen steeg alleen al van 2019 op 2020 met 485%.

Een reden hiervoor zou kunnen zijn dat we simpelweg meer tijd in huis doorbrachten. Door de sluiting van bioscopen, winkels, sportscholen viel zowat elke vrijetijdsactiviteit weg. Daarom brachten we meer tijd op het internet door.

Alle ellende tegelijk

Een andere reden voor de toename in cyberaanvallen is dat veel thuiswerkers de instellingen van hun firewall en access points moesten wijzigen om een verbinding te kunnen maken met de software-as-a-service (SaaS)-oplossingen die ze voor hun werk gebruikten. Dat ging om alles van Office365 tot call center-oplossingen en specifieke bedrijfsapplicaties.

De snelle overstap op SaaS-oplossingen stelde bedrijven in staat om snel het overheidsadvies om zoveel mogelijk thuis te werken op te volgen. Het staat buiten kijf dat dit snelle schakelen banen heeft gespaard, bedrijven van een faillissement heeft gered en een cruciale bijdrage heeft geleverd aan het respecteren van de lockdown en social distancing-richtlijnen. De wereldeconomie zou er heel anders uit hebben gezien als er geen SaaS-oplossingen hadden bestaan.

Maar het betekende ook dat het leeuwendeel van alle data buiten de firewall van de organisatie werd gegenereerd en niet langer werd opgeslagen in de bedrijfsdatacenters. Cybercriminelen zagen hun kans, en dat resulteerde in een piek in ransomware-aanvallen. Die waren niet alleen gericht op bedrijfssystemen, maar ook op de SaaS-oplossingen die het remote werken mogelijk moesten maken tijdens de pandemie.

We moeten waakzamer dan ooit zijn

Op de beveiliging van de meeste SaaS-oplossingen valt weinig aan te merken. Het probleem is alleen dat cybercriminelen steeds slimmere manieren bedenken om toegang tot deze cloudapplicaties te krijgen door het hacken of besmetten van het besturingssysteem van thuiswerkers. Gebruikers van SaaS-oplossingen moeten daarom waakzamer dan ooit zijn en best practices voor cybersecurity volgen. Zo is het zaak dat ze regelmatig hun wachtwoorden wijzigen, geen onversleutelde lijsten met wachtwoorden opslaan en hun antivirussoftware voortdurend bijwerken met de laatste updates.

Medewerkers van de IT-afdeling werken zelf ook vanuit huis. Maar dat ontneemt hen niet van de taak om erop toe te zien dat thuiswerkers de interne beleidsregels voor cybersecurity naleven. De belangrijkste boodschap is dat het gebruik van SaaS-oplossingen helaas geen aanleiding vormt om de aandacht voor de beveiliging te laten verslappen.

Wie is er verantwoordelijk voor de bescherming van data?

Maar de problemen houden daar niet mee op. Veel bedrijven gingen ervan uit dat ze zich na de overstap op SaaS-oplossingen niet langer met dezelfde ijver back-ups hoefden te maken als ze met traditionele bedrijfsapplicaties op locatie deden. Er blijft sprake van het hardnekkige misverstand dat aanbieders van SaaS-oplossing volledig verantwoordelijk zijn voor alle data die door hun applicaties wordt gegenereerd en opgeslagen.

In werkelijkheid zijn aanbieders van SaaS-oplossingen alleen verantwoordelijk voor de beschikbaarheid van de applicatie. Als er onder hun toeziend oog dus een ransomware-aanval plaatsvindt waarbij alle data wordt gewist of versleuteld, zijn ze zelf niet verantwoordelijk voor het gegevensherstel. De eigenaar van de data, ofwel de organisatie, is verantwoordelijk. Cloud providers zoals Microsoft en AWS hanteren een model van gedeelde verantwoordelijkheid voor data. Zij nemen de verantwoordelijkheid voor de applicatie op zich. De organisatie en eindgebruiker moeten zorgdragen voor de data en de inhoud van die data.

Daarom blijft een uitgebreid systeem voor databescherming en disaster recovery onontbeerlijk.

Wat te doen?

Gebruikers van SaaS-oplossingen moeten hun bestaande service-level agreements voor back-ups en gegevensherstel ook toepassen op alle data die binnen SaaS-platforms ligt besloten. Ransomware-aanvallen kunnen de toegang tot data blokkeren of gegevens volledig wissen. Het is daarom van cruciaal belang voor organisaties om onafhankelijk van hun SaaS-aanbieder back-ups van hun data te maken op een manier die aansluit op het interne IT-beleid.

En bedrijven zouden al evenmin een relaxtere houding moeten innemen ten opzichte van disaster recovery omdat ze gebruikmaken van SaaS-oplossingen. Want als die applicaties in verschillende clouds worden gehost en door een groot aantal thuiswerkers worden gebruikt, groeit de complexiteit. Bedrijven kunnen daarom niet zonder een uitvoerig geteste disaster recovery-strategie die regelmatig wordt bijgewerkt.

Bedrijven kunnen op die manier blijven profiteren van het gebruiksgemak van SaaS-oplossingen zonder slachtoffer te worden van het groeiende aantal ransomware-aanvallen.

 

Dyon de Bruijne is Principal Consultant bij Commvault

Lees ook
Nederlandse overheidsinstellingen terughoudend met overstap naar de public cloud

Nederlandse overheidsinstellingen terughoudend met overstap naar de public cloud

De public cloud zorgde de afgelopen twee jaar binnen verschillende sectoren voor een versnelling van de digitale transformatie. De publieke sector lijkt hier echter een uitzondering op. Uit nieuw onderzoek van Sentia onder 73 Nederlandse overheidsinstellingen blijkt dat ruim de helft (53%) nog geen gebruikmaakt van de mogelijkheden van de public cloud....

Faurecia optimaliseert logistiek met 3DEXPERIENCE-platform van Dassault Systèmes

Faurecia optimaliseert logistiek met 3DEXPERIENCE-platform van Dassault Systèmes

Faurecia, onderdeel van de Group Forvia, een van de grootste toeleveranciers van de automobielindustrie ter wereld, vergroot de inzet van het 3DEXPERIENCE-platform van Dassault Systèmes. Het bedrijf optimaliseert hiermee de inkomende logistiek voor automatisch geleide voertuigen (AGV).

Scaleway opent tweede datacenter in Amsterdam

Scaleway opent tweede datacenter in Amsterdam

Scaleway, de snelgroeiende Europese publieke cloud-dienstverlener voor startups breidt zijn bereik en wereldwijde aanbod verder uit en opent een nieuwe Availability Zone (AZ) in Nederland, nl-ams-2. Het bedrijf versterkt hiermee zijn groei in Nederland en de Benelux-regio. Dit is een belangrijke stap in de opbouw van een complete regio en de totstandbrenging...