Jouw SaaS-data, jouw verantwoordelijkheid

Het aantal cyberaanvallen is tijdens de coronacrisis toegenomen. Het aantal ransomware-aanvallen steeg alleen al van 2019 op 2020 met 485%.

Een reden hiervoor zou kunnen zijn dat we simpelweg meer tijd in huis doorbrachten. Door de sluiting van bioscopen, winkels, sportscholen viel zowat elke vrijetijdsactiviteit weg. Daarom brachten we meer tijd op het internet door.

Alle ellende tegelijk

Een andere reden voor de toename in cyberaanvallen is dat veel thuiswerkers de instellingen van hun firewall en access points moesten wijzigen om een verbinding te kunnen maken met de software-as-a-service (SaaS)-oplossingen die ze voor hun werk gebruikten. Dat ging om alles van Office365 tot call center-oplossingen en specifieke bedrijfsapplicaties.

De snelle overstap op SaaS-oplossingen stelde bedrijven in staat om snel het overheidsadvies om zoveel mogelijk thuis te werken op te volgen. Het staat buiten kijf dat dit snelle schakelen banen heeft gespaard, bedrijven van een faillissement heeft gered en een cruciale bijdrage heeft geleverd aan het respecteren van de lockdown en social distancing-richtlijnen. De wereldeconomie zou er heel anders uit hebben gezien als er geen SaaS-oplossingen hadden bestaan.

Maar het betekende ook dat het leeuwendeel van alle data buiten de firewall van de organisatie werd gegenereerd en niet langer werd opgeslagen in de bedrijfsdatacenters. Cybercriminelen zagen hun kans, en dat resulteerde in een piek in ransomware-aanvallen. Die waren niet alleen gericht op bedrijfssystemen, maar ook op de SaaS-oplossingen die het remote werken mogelijk moesten maken tijdens de pandemie.

We moeten waakzamer dan ooit zijn

Op de beveiliging van de meeste SaaS-oplossingen valt weinig aan te merken. Het probleem is alleen dat cybercriminelen steeds slimmere manieren bedenken om toegang tot deze cloudapplicaties te krijgen door het hacken of besmetten van het besturingssysteem van thuiswerkers. Gebruikers van SaaS-oplossingen moeten daarom waakzamer dan ooit zijn en best practices voor cybersecurity volgen. Zo is het zaak dat ze regelmatig hun wachtwoorden wijzigen, geen onversleutelde lijsten met wachtwoorden opslaan en hun antivirussoftware voortdurend bijwerken met de laatste updates.

Medewerkers van de IT-afdeling werken zelf ook vanuit huis. Maar dat ontneemt hen niet van de taak om erop toe te zien dat thuiswerkers de interne beleidsregels voor cybersecurity naleven. De belangrijkste boodschap is dat het gebruik van SaaS-oplossingen helaas geen aanleiding vormt om de aandacht voor de beveiliging te laten verslappen.

Wie is er verantwoordelijk voor de bescherming van data?

Maar de problemen houden daar niet mee op. Veel bedrijven gingen ervan uit dat ze zich na de overstap op SaaS-oplossingen niet langer met dezelfde ijver back-ups hoefden te maken als ze met traditionele bedrijfsapplicaties op locatie deden. Er blijft sprake van het hardnekkige misverstand dat aanbieders van SaaS-oplossing volledig verantwoordelijk zijn voor alle data die door hun applicaties wordt gegenereerd en opgeslagen.

In werkelijkheid zijn aanbieders van SaaS-oplossingen alleen verantwoordelijk voor de beschikbaarheid van de applicatie. Als er onder hun toeziend oog dus een ransomware-aanval plaatsvindt waarbij alle data wordt gewist of versleuteld, zijn ze zelf niet verantwoordelijk voor het gegevensherstel. De eigenaar van de data, ofwel de organisatie, is verantwoordelijk. Cloud providers zoals Microsoft en AWS hanteren een model van gedeelde verantwoordelijkheid voor data. Zij nemen de verantwoordelijkheid voor de applicatie op zich. De organisatie en eindgebruiker moeten zorgdragen voor de data en de inhoud van die data.

Daarom blijft een uitgebreid systeem voor databescherming en disaster recovery onontbeerlijk.

Wat te doen?

Gebruikers van SaaS-oplossingen moeten hun bestaande service-level agreements voor back-ups en gegevensherstel ook toepassen op alle data die binnen SaaS-platforms ligt besloten. Ransomware-aanvallen kunnen de toegang tot data blokkeren of gegevens volledig wissen. Het is daarom van cruciaal belang voor organisaties om onafhankelijk van hun SaaS-aanbieder back-ups van hun data te maken op een manier die aansluit op het interne IT-beleid.

En bedrijven zouden al evenmin een relaxtere houding moeten innemen ten opzichte van disaster recovery omdat ze gebruikmaken van SaaS-oplossingen. Want als die applicaties in verschillende clouds worden gehost en door een groot aantal thuiswerkers worden gebruikt, groeit de complexiteit. Bedrijven kunnen daarom niet zonder een uitvoerig geteste disaster recovery-strategie die regelmatig wordt bijgewerkt.

Bedrijven kunnen op die manier blijven profiteren van het gebruiksgemak van SaaS-oplossingen zonder slachtoffer te worden van het groeiende aantal ransomware-aanvallen.

Dyon de Bruijne is Principal Consultant bij Commvault