Jouw SaaS-data, jouw verantwoordelijkheid

Dyon de Bruijne-commvault-350400.jpg

De coronacrisis heeft de afgelopen anderhalf jaar tal van werknemers uit het kantoor verdreven. Overal ter wereld werden mensen door de overheid aangespoord om zoveel mogelijk vanuit huis te werken. Maar nu de lockdowns langzaam worden opgeheven, lijkt hybride werken de norm te blijven. Onderzoeksbureau IDC onderschrijft deze visie. Het voorspelt dat 60% van alle data in 2023 door thuiswerkers zal worden gegenereerd.

Maar thuiswerken is niet zonder risico’s. Om ook op de lange termijn het hybride werken te kunnen blijven faciliteren, is het belangrijk om de procedures onder de loep te nemen zodat cybercriminelen de remote werkplek niet kunnen misbruiken om toegang tot het bedrijfsnetwerk te krijgen.

 

Het aantal cyberaanvallen is tijdens de coronacrisis toegenomen. Het aantal ransomware-aanvallen steeg alleen al van 2019 op 2020 met 485%.

Een reden hiervoor zou kunnen zijn dat we simpelweg meer tijd in huis doorbrachten. Door de sluiting van bioscopen, winkels, sportscholen viel zowat elke vrijetijdsactiviteit weg. Daarom brachten we meer tijd op het internet door.

Alle ellende tegelijk

Een andere reden voor de toename in cyberaanvallen is dat veel thuiswerkers de instellingen van hun firewall en access points moesten wijzigen om een verbinding te kunnen maken met de software-as-a-service (SaaS)-oplossingen die ze voor hun werk gebruikten. Dat ging om alles van Office365 tot call center-oplossingen en specifieke bedrijfsapplicaties.

De snelle overstap op SaaS-oplossingen stelde bedrijven in staat om snel het overheidsadvies om zoveel mogelijk thuis te werken op te volgen. Het staat buiten kijf dat dit snelle schakelen banen heeft gespaard, bedrijven van een faillissement heeft gered en een cruciale bijdrage heeft geleverd aan het respecteren van de lockdown en social distancing-richtlijnen. De wereldeconomie zou er heel anders uit hebben gezien als er geen SaaS-oplossingen hadden bestaan.

Maar het betekende ook dat het leeuwendeel van alle data buiten de firewall van de organisatie werd gegenereerd en niet langer werd opgeslagen in de bedrijfsdatacenters. Cybercriminelen zagen hun kans, en dat resulteerde in een piek in ransomware-aanvallen. Die waren niet alleen gericht op bedrijfssystemen, maar ook op de SaaS-oplossingen die het remote werken mogelijk moesten maken tijdens de pandemie.

We moeten waakzamer dan ooit zijn

Op de beveiliging van de meeste SaaS-oplossingen valt weinig aan te merken. Het probleem is alleen dat cybercriminelen steeds slimmere manieren bedenken om toegang tot deze cloudapplicaties te krijgen door het hacken of besmetten van het besturingssysteem van thuiswerkers. Gebruikers van SaaS-oplossingen moeten daarom waakzamer dan ooit zijn en best practices voor cybersecurity volgen. Zo is het zaak dat ze regelmatig hun wachtwoorden wijzigen, geen onversleutelde lijsten met wachtwoorden opslaan en hun antivirussoftware voortdurend bijwerken met de laatste updates.

Medewerkers van de IT-afdeling werken zelf ook vanuit huis. Maar dat ontneemt hen niet van de taak om erop toe te zien dat thuiswerkers de interne beleidsregels voor cybersecurity naleven. De belangrijkste boodschap is dat het gebruik van SaaS-oplossingen helaas geen aanleiding vormt om de aandacht voor de beveiliging te laten verslappen.

Wie is er verantwoordelijk voor de bescherming van data?

Maar de problemen houden daar niet mee op. Veel bedrijven gingen ervan uit dat ze zich na de overstap op SaaS-oplossingen niet langer met dezelfde ijver back-ups hoefden te maken als ze met traditionele bedrijfsapplicaties op locatie deden. Er blijft sprake van het hardnekkige misverstand dat aanbieders van SaaS-oplossing volledig verantwoordelijk zijn voor alle data die door hun applicaties wordt gegenereerd en opgeslagen.

In werkelijkheid zijn aanbieders van SaaS-oplossingen alleen verantwoordelijk voor de beschikbaarheid van de applicatie. Als er onder hun toeziend oog dus een ransomware-aanval plaatsvindt waarbij alle data wordt gewist of versleuteld, zijn ze zelf niet verantwoordelijk voor het gegevensherstel. De eigenaar van de data, ofwel de organisatie, is verantwoordelijk. Cloud providers zoals Microsoft en AWS hanteren een model van gedeelde verantwoordelijkheid voor data. Zij nemen de verantwoordelijkheid voor de applicatie op zich. De organisatie en eindgebruiker moeten zorgdragen voor de data en de inhoud van die data.

Daarom blijft een uitgebreid systeem voor databescherming en disaster recovery onontbeerlijk.

Wat te doen?

Gebruikers van SaaS-oplossingen moeten hun bestaande service-level agreements voor back-ups en gegevensherstel ook toepassen op alle data die binnen SaaS-platforms ligt besloten. Ransomware-aanvallen kunnen de toegang tot data blokkeren of gegevens volledig wissen. Het is daarom van cruciaal belang voor organisaties om onafhankelijk van hun SaaS-aanbieder back-ups van hun data te maken op een manier die aansluit op het interne IT-beleid.

En bedrijven zouden al evenmin een relaxtere houding moeten innemen ten opzichte van disaster recovery omdat ze gebruikmaken van SaaS-oplossingen. Want als die applicaties in verschillende clouds worden gehost en door een groot aantal thuiswerkers worden gebruikt, groeit de complexiteit. Bedrijven kunnen daarom niet zonder een uitvoerig geteste disaster recovery-strategie die regelmatig wordt bijgewerkt.

Bedrijven kunnen op die manier blijven profiteren van het gebruiksgemak van SaaS-oplossingen zonder slachtoffer te worden van het groeiende aantal ransomware-aanvallen.

 

Dyon de Bruijne is Principal Consultant bij Commvault

Meer over
Lees ook
Mark Slagmolen van ProLion: ‘Databeveiliging kent meerdere stakeholders’

Mark Slagmolen van ProLion: ‘Databeveiliging kent meerdere stakeholders’

ProLion was uiteraard ook dit jaar weer aanwezig op Cloud Expo. Regional Manager Benelux, Frankrijk en Nordics Mark Slagmolen gaf twee presentaties over databeveiliging bij ondernemingen en overheden. De rol van resellers is enorm belangrijk bij het vergroten van die security, maar toch hoort Mark regelmatig dat het moeite kost om dit onderwerp bij...

Marc Punte van Ster over MOVEit Automation: ‘Data moet immutable zijn’

Marc Punte van Ster over MOVEit Automation: ‘Data moet immutable zijn’

De Stichting Etherreclame, beter bekend als Ster Reclame, zorgt voor de verkoop van reclameruimte op radio, tv en online van de Nederlandse publieke omroep. Data speelt bij alle processen een cruciale rol en moet dus altijd beschikbaar zijn, en niet te onderscheppen of manipuleren zijn. Systeem- en netwerkarchitect Marc Punte van de Ster, legt uit waarom...

Commvault introduceert Commvault Cloud

Commvault introduceert Commvault Cloud

Commvault, aanbieder van oplossingen die databescherming en cyberweerbaarheid naar hybride clouds brengen, introduceert vandaag Commvault Cloud, powered by Metallic AI. Met dit unieke platform kunnen IT- en security-teams de cyberweerbaarheid van hun organisatie ingrijpend verbeteren in een tijd waarin hacks en ransomware-aanvallen aan de orde van de...