ADVIES: Cloud opslag en veiligheid

Steeds meer bedrijven maken gebruiken van online servers voor het opslaan van bedrijfsinformatie, de zogenaamde cloud storage. In dit artikel geven we advies voor veilig gebruik van deze handige optie.

Ook voor kleinere bedrijven kan online opslag een goede optie zijn. Maar let op! Een server direct toegankelijk vanaf internet stelt gevoelige data potentieel bloot aan extra risico's. Vooral het risico op een datalek door een hacker of indringer is potentieel groot. De gevolgen van verlies van vertrouwelijke informatie kunnen dramatisch zijn voor een bedrijf.

Het volgen van onderstaande adviezen verkleint de kans op een probleem.

Kies een betrouwbare cloud aanbieder

Een server huren om bestanden op op te slaan kan op elke virtuele straathoek. Maar niet elke partij is goed genoeg om bedrijfsinformatie bij neer te zetten. Kies een partij met een goede naam, vooral als het gaat om veiligheid en continuïteit. Bekende namen in dit veld zijn onder andere Google, Microsoft 365, Amazon AWS, Dropbox en Azure. Maar er zijn ook grote Nederlandse aanbieders als KPN en TransIP beschikbaar. En ook kleine aanbieders kunnen goed genoeg zijn, afhankelijk van hun veiligheidsmaatregelen en andere opties.

Neem altijd een betaald (bedrijfs)account bij een cloudaanbieder. Gratis opties lijken vaak heel aantrekkelijk, maar bieden in de regel geen enkele bescherming van de privacy of garantie van continuïteit.

Let op de gegevensbescherming (AVG)

Als u van plan bent om persoonsgegevens online op te slaan, is de AVG een volgend punt om op te letten. Persoonsgegevens mogen zonder toestemming van de verstrekkers de EU niet zomaar verlaten. Kies dus bij voorkeur voor een aanbieder die kan beloven de data binnen de EU op te slaan. Zorg vervolgens voor een goede verwerkersovereenkomst met de dienstverlener. Betrouwbare, grote partijen zullen die op de plank hebben liggen.

Zorg voor een goede configuratie van de server

Dit is het belangrijkste punt. Nog steeds lekken er regelmatig grote hoeveelheden bedrijfdata uit doordat de opslagserver als publiek toegankelijk staat geconfigureerd. Veel bedrijven vertrouwen op "security by obscurity", veiligheid door onzichtbaarheid. Dus wordt er geen beveiliging op de toegang gezet. Enkel de url van de server wordt geheim gehouden.

De laatste tijd zijn het vooral de Amazon S3-servers die vaak de media halen. Een schatting geeft aan dat 7% van de Amazon S3-servers ongewenst publiek toegankelijk is. Slachtoffers van de bijbehorende datalekken in het recente verleden zijn onder andere medewerkers van de Amerikaanse overheid en de fans van de showworstelorganisatie WWE.

Zorg er dus voor dat de server enkel toegankelijk is voor de mensen die bij de data moeten kunnen, door middel van een sterk wachtwoord en versleuteling van de data.

Zorg voor extra veiligheidsmaatregelen

Bij vertrouwelijke informatie is een wachtwoord alleen niet genoeg. Een wachtwoord kan via phishing worden gestolen, waarna de data alsnog op straat ligt. Daarom is er meer nodig voor een goede beveiliging. De simpelste extra beveiligingsmethode is tweestapsverificatie, ook wel tweefactor authenticatie of multifactorauthenticatie gnoemd. Hierbij is er -naast het wachtwoord- nog iets anders nodig om toegang te krijgen, zoals een eenmalige code (bekend van internetbankieren) of een specifiek apparaat als de Yubikey. Kies een cloud provider die minimaal tweestapsverificatie aanbiedt.

Voor hele gevoelige informatie kunnen er nog extra beveiligingsmaatregelen worden getroffen, zoals whitelisting van ip-adressen. Dat zorgt ervoor dat er enkel vanuit specifieke ip-adressen (zoals die van het bedrijf) toegang is tot de server.

Test en laat testen

De veiligheid van systemen is alleen maar gegarandeerd als een bedrijf regelmatig test of ze veilig zijn. Laat dat eigen medewerkers doen of huur een pentesting-bedrijf in.

Instrueer medewerkers

Voor veel medewerkers is databeveiliging niet hun eerste prioriteit. Zij gaan op zoek naar mogelijkheden om hun werk te kunnen doen zonder al teveel beperkingen. Gevolg hiervan is, dat er gevoelige bedrijfsdata via een privé-account (bijvoorbeeld bij Dropbox of Google Drive) kan worden gedeeld met een klant als deze te groot is om als bijlage te versturen.

Goede instructie en de aanbod van een gebruiksvriendelijk bedrijfsalternatief kunnen dit tegengaan.

Ten slotte

Verzekeraars die een cybercrime verzekering aanbieden, hebben vaak ook expertise in huis om te adviseren bij cloud opslag. Maar hiervan gebruik indien nodig.

Deel dit artikel: