Visie: Zijn Public Cloud-vendors DDoS aanval bestendig?
De afgelopen weken hebben in het teken gestaan van drie bepalende onderwerpen: de troonswissel, het koningslied en de DDoS aanvallen op een aantal grote banken en instellingen.
Toen Koningin Beatrix aankondigde dat zij zou aftreden, gaf zij feitelijk de aftrap voor een wekenlange lofzang op haar koningsschap, uitgebreide vooruitblikken op de nieuwe koning, en indirect leidde zij het debacle van het koningslied in. Over het laatste hebben we inmiddels en masse ons gal gespuwd, de schrijvers en producers verketterd, maar desondanks hebben we uit volle borst meegezongen.
Beatrix trad volgens een uitgekiend en soepel verlopen draaiboek af en Koning Willem Alexander besteeg volledig volgens protocol de troon. Een fantastische dag, die in de aanloop uitvoerig is besproken en tot in detail is voorbereid en uitgevoerd. Een dag ook waarop de beveiling zichtbaar en onzichtbaar tot in de puntjes was verzorgd, zodat het feest ook echt een feest kon zijn.
Onze grote banken, multinationals en overheidsinstellingen zijn ook grondig beveiligd: fysiek aan de poort en ook digitaal met allerhande beveiligingsmaatregelen. Grootschalige DDoS aanvallen op onder andere de ING, iDeal, Rabobank, DigiD en anderen leidden echter tot haperend betalingsverkeer en tot ongekend grote opschudding in het land. In tegenstelling tot het koningshuis niet op positieve wijze.
De belangrijkste vraag die bij veel mensen leeft is: zijn mijn bankgegevens en euro’s wel veilig? Een geheel andere vraag is of onze public cloud providers dergelijke aanvallen het hoofd kunnen bieden. Hoe veilig zijn Google, Amazon en Verizon? In het verlengde daarvan: hoe veilig zijn kleinere cloud en hosting providers? Zijn onze bedrijfskritische gegevens, het DNA van hedendaagse ondernemingen en instellingen, wel veilig buiten de deur?
Bot gezegd: “Nee, deze zijn niet veilig.” Althans, deze zijn niet veiliger dan het betalingsverkeer bij de grote banken, inloggevens van webshops, online emailproviders en dergelijke. Vooral het grootschalige, publieke karakter van de grote cloud providers, maakt ze gevoelig voor DDoS aanvallen, hackpogingen vanuit verre landen en malafide organisaties. Lokale grote hostingproviders zijn vaak weer aktief in de entertainment branche (in de ruimste zin van het woord).
Gegevens, applicaties, hele IT systemen die buiten de deur worden geplaatst dienen daarom altijd uitermate goed beveiligd te zijn. De kans dat ze uit de lucht zijn of dat de integriteit ervan bedreigd wordt door externe factoren zijn groter dan intern. Veiligheidsrisico’s zijn de grootste voorbehouden die veel ondernemingen en organisaties hebben ten aanzien van het verplaatsen van data en applicaties naar de cloud. De keuze om interne Private Clouds in te richten en als dienst af te nemen wordt momenteel veelal geprefereerd. Een verstandige keuze in de onveilige situatie waarin the internet of everything zich momenteel bevindt.
Het is meer dan ooit noodzaak het DNA van uw bedrijf of instelling te beschermen. Middels adequate dataprotection oplossingen bijvoorbeeld en het altijd beschikbaar hebben van meerdere versies van uw data op meerdere lokaties bijvoorbeeld. Maar ook door uw endpoints als iPhones, Blackberry’s en tablets goed te beschermen, business-to-business koppelingen te voorzien van de juiste, meervoudige beschermingsoplossingen en correct identification en access management te doen.
En als u dan toch de stap naar een public cloud dienst neemt? Zorg dan net als tijdens de troonswisseling op Koninginnedag voor meer dan adequate beveiliging, een heel strak draaiboek met bijbehorende regie en hoop vooral dat er geen gekken of fanaten opstaan, die zich tot doel stellen schade aan te richten aan een provider, maar hiermee tegelijk uw bedrijfscontinuïteit in gevaar brengen.
Ronald van Heek, Tectrade
