Cloudproviders zijn niet verantwoordelijk voor veiligheid van jouw data

Elk jaar ondervraagt WithSecure internationale securitybeslissers en IT-managers naar hun belangrijkste prioriteiten en resultaten van security. 27 procent zegt dat het beveiligen van cloudoplossingen prioriteit heeft. “Dit topic is belangrijk omdat organisaties verantwoordelijk blijven voor hun data, ook als die in de cloud staat”, vertelt Maarten van der Velde van WithSecure. “Als het misgaat ligt de verantwoordelijkheid bij de eigenaar van de data, de organisatie.”

Uit het Pulse 2023 onderzoek van WithSecure blijkt dat het voorkomen van databreaches voor 34 procent van de ondervraagden prioriteit nummer één is. Het onderzoek werd uitgevoerd onder 3.072 securitybeslissers of managers in IT, netwerk of cloud uit 12 landen, waaronder Nederland, Duitsland en Frankrijk. “Deze eerste prioriteit is natuurlijk geen verrassing”, vertelt Maarten van der Velde, country salesmanager Benelux bij WithSecure.

27% geeft prioriteit aan beveiligen cloud
Ook de twee prioriteiten daaropvolgend zijn niet opvallend: op twee, met 29 procent, staat bescherming tegen malware en ransomware. En op een gedeelde derde plek met 27 procent staat het voorkomen van geavanceerde e-mail gebaseerde bedreigingen zoals phishing of business email compromise (BEC). De andere prioriteit die op de derde plek staat is het beveiligen van cloud-based samenwerkingstools zoals Microsoft 365 en Salesforce. 

“De beveiliging van bijvoorbeeld Microsoft365 en Salesforce is heel duidelijk een topic dat steeds belangrijker wordt bij bedrijven. We zien vaak dat organisaties niet op de hoogte zijn van de shared-responsibility-modellen waar deze cloudoplossingen gebruik van maken. Leveranciers zorgen ervoor dat je je data niet kwijtraakt, maar ze bekijken niet je data om vast te stellen of data encrypted is of dat er malware in zit.”

In de cloud zit het wel goed
“Organisaties denken al snel dat de gigantische cloudproviders zoals Microsoft, Google en Amazon de beveiliging op orde hebben. En dat klopt, maar jij blijft eigenaar voor jouw data. Dus ook al verplaats jij je data naar de cloud, als je data verloren raakt of encrypted wordt, ben jij eindverantwoordelijk. Daarbij kunnen leveranciers technisch niet verantwoordelijk zijn omdat jij zelf eigenaar bent en blijft van je data, waardoor ze geen zicht hebben op welke data wordt geüpload en gedownload.”

Om organisaties te helpen met de beveiliging van data in de cloud biedt WithSecure een oplossing per cloudservice, zoals bijvoorbeeld M365, OneDrive, Salesforce, om verkeer te controleren. “Een simpele vergelijking is die van de wasstraat: data die van en naar de cloud gaat, wordt via de wasstraat verstuurd. Wij checken dan op kritieke malware en andere kwaadwillende zaken. Maar ook blokkeren we bijvoorbeeld schadelijke websites die als link zijn toegevoegd.”

Wie upload data?
Het probleem is dat organisaties niet altijd zelf de data uploaden naar de cloud. “Stel, je hebt een formulier op je website, waar sollicitanten hun cv kunnen uploaden naar je cloud. Wat dan? Of als de klant schade kan aangeven via hun profiel en ze voegen daar een schadelijke websitelink toe, dat wil je afvangen. Documenten en data worden dan eerst beoordeeld door WithSecure, voordat ze in het systeem terecht komen.”

Er wordt overigens niet alleen nagedacht over hoe beveiliging van clouddata wordt georganiseerd, maar ook waar die data wordt geplaatst en verwerkt. “Het viel mij op dat 73 procent van de respondenten zegt dat data operationeel verwerkt moet worden in hetzelfde land of dezelfde regio als waar de organisatie werkt. Tien jaar geleden wilde iedereen nog naar de cloud, ongeacht waar de data stond. Maar sinds het afgelopen jaar willen organisaties door de geopolitieke situatie precies weten waar hun data staat.”

Geen focus op detectie en response
Overigens komen detectie en response niet echt voor op de prioriteitenlijst, terwijl organisaties wel sneller willen reageren op cybersecurity incidenten (24 procent). “Het rijtje met security priorities is best wel een rijtje met open deuren. Natuurlijk is het tegenhouden van databreaches belangrijk, maar hoe ga je kwaadwillend gedrag detecteren en zorgen dat je op tijd kan reageren”, vraag Van der Velde zich hardop af.

Andere uitkomsten waar organisaties naar streven zijn: het veilig houden van medewerkers in een hybride of remote situatie (25 procent), het verhogen van de kennis en het bewustzijn in security over de hele organisatie (23 procent) en het zeker stellen van businesscontinuïteit (23 procent). Maar ook willen organisaties werken aan een security-first cultuur en het adresseren van nieuwe securitybedreigingen door cloudificatie te introduceren.

Liever nadenken over resultaten
“Als je vanuit de klant denkt, dan wil je het niet over securityproducten hebben, maar over de uitkomsten die deze security kan opleveren. We noemen dat outcome based security”, vertelt Van der Velde. “In de securitycommunity, maar ook partners en eindklanten zijn nog veel bezig met het neerzetten van muren. Maar de complexiteit neemt toe. En wat is dan het resultaat dat je wilt behalen, welk niveau van risico vind je acceptabel?”

Als organisaties vanuit uitkomsten redeneren, dan maken ze betere keuzes in de technologie. “Als je 24/7 rust wilt terwijl je een workforce ondersteunt die hybride en remote werkt, dan kies je andere prioriteiten dan als je op zoek gaat naar een meer generieke oplossing. Je kunt niet zeggen: deze oplossing is voor organisaties met meer dan 100 medewerkers relevant. Nee, voor sommige organisaties is het niet relevant.”

Verschillende behoeften
De behoefte van een voedselproducent die als de dood is dat de productie ook maar een paar minuten stil komt te liggen, is wezenlijk anders dan die van een accountant of advocatenkantoor. Daar moet erg persoonlijke en gevoelige data koste wat kost beschermd worden. “De outcomes zijn voor deze twee organisaties wezenlijk anders en daarom kiezen ze voor een andere samenstelling van oplossingen.”

Welke specifieke behoeften organisaties ook hebben, 86 procent van de organisaties zegt dat het budget de komende 12 maanden toeneemt. “We zijn van ver gekomen in een situatie waarin IT-security op een laag pitje stond als onderdeel van IT naar een situatie waarbij de CISO in de board zit. De security officer heeft nu net zoveel invloed als de CFO en ik denk dat dat alleen nog maar meer gaat worden.”

Auteur: Anne van den Berg