Enig idee hoeveel data uit uw organisatie weglekt naar het internet?

De opkomst van cloud shadow IT

De opkomst van interactieve cloudapplicaties voor het opslaan, verwerken en delen van informatie, heeft bij de gebruikers geresulteerd in gewenning aan het gemak ervan. Nog nooit was het zo eenvoudig om snel even een bestand te uploaden zodat iemand anders het vrijwel direct kan gebruiken. Vanwege gebruiksgemak en omdat men dit gewend is vanuit het privéleven, zien we steeds vaker binnen organisaties dat cloudapplicaties worden gebruikt die buiten de formele IT- en inkoopprocessen in gebruik zijn genomen. Deze applicaties heten zodoende cloud shadow IT (ook wel schaduw IT genoemd in het Nederlands), omdat ze buiten het zicht van de IT-beheerprocessen blijven en organisaties er dus weinig grip op hebben. Organisaties staan voor de uitdaging om grip te krijgen op cloud shadow IT om hun bedrijfsinformatie te beschermen en datalekken te voorkomen.

Waarom is cloud shadow IT een probleem?

Wie maakt er vandaag de dag geen gebruik van bijvoorbeeld Dropbox, OneDrive of WeTransfer om snel zakelijke bestanden uit te wisselen? Of van Evernote om notities vast te leggen en te ordenen? Of Trello om takenlijsten te delen binnen projectteams? Volgens het Trends in Veiligheid onderzoek 2018 van Capgemini, uitgevoerd door GfK, slaat 49% van de mensen wel eens werkgerelateerde gegevens op in de cloud. Cloudapplicaties zijn een verrijking voor dagelijkse werkzaamheden, maar vaak worden dit soort applicaties gebruikt zonder de IT-organisatie erbij te betrekken. Wat veel werknemers zich niet realiseren, is dat zij hierdoor ongemerkt verschillende risico’s zoals datalekken vergroten.

Volgens onderzoek door Netskope gebruiken organisaties gemiddeld 1.022 cloudapplicaties, maar wordt maar liefst 92% van deze applicaties niet voldoende veilig geacht voor het gebruik in organisaties.¹ Gezien de toename in het aantal cloudapplicaties en de beweging van organisaties naar de cloud zal dit aantal naar alle waarschijnlijkheid alleen maar toenemen. Daarnaast blijkt uit onderzoek van Symantec dat CIO’s schatten dat hun organisatie slechts tussen de 30 en 40 cloudapplicaties gebruikt.² In werkelijkheid is dit aantal dus vele malen groter! Dit toont aan dat organisaties vaak onvoldoende inzicht hebben in cloud shadow IT en de risico’s die hiermee gepaard gaan.

Wat is cloud shadow IT?

De term ‘cloud shadow IT’ wordt gebruikt om alle cloudapplicaties aan te duiden die buiten de formele inkoop- en IT-processen in gebruik zijn genomen. Voorbeelden hiervan zijn online opslagdiensten als Dropbox, diensten om bestanden te delen zoals WeTransfer of online converteerders om Word-bestanden naar PDF om te zetten.

Normaal gesproken wordt een softwareapplicatie goedgekeurd voor het verwerken van informatie tot en met een bepaald classificatieniveau en vindt er een controle plaats of het voldoet aan het beveiligingsbeleid van de organisatie. Afhankelijk van het classificatieniveau (bijvoorbeeld openbaar, vertrouwelijk of staatsgeheim) en securitybeleid worden dan beveiligingsmaatregelen genomen. Bij cloudapplicaties zou dat ook moeten gebeuren, maar voor cloud shadow

IT gebeurt dit niet. Daar komt nog bij dat slechts de helft van de ondervraagden op wie het van toepassing is in het Trends in Veiligheid onderzoek 2018 op de hoogte is van het beveiligingsbeleid binnen zijn of haar organisatie. Cruciale vragen blijven vaak onbeantwoord: wordt de data versleuteld en zo ja, volgens welke versleutelingsmethode en wie beheert de sleutels? Wie heeft er toegang tot de data? Waar wordt de data opgeslagen? Het gevolg is dat beveiligingsmaatregelen, zoals logische toegangscontrole en de versleuteling van gegevens, vaak niet gebeurt of van onvoldoende niveau is.

Voor organisaties betekent bovenstaande dat er mogelijk gevoelige bedrijfs- en persoonsgegevens op plekken op het internet worden opgeslagen, zonder dat hier controle over uitgeoefend kan worden. Maar welke risico’s levert dit nu concreet op? En welke impact kunnen deze risico’s hebben op een organisatie? De meest voorkomende risico’s zijn hieronder uiteengezet:

• Kans op datalekken doordat veel cloudapplicaties niet voldoen aan de beveiligingseisen van de organisatie. Veel cloudapplicaties voldoen niet zonder meer aan de beveiligingseisen die uw organisatie stelt aan IT-systemen. In het geval van cloud shadow IT wordt in de meeste gevallen niet eens gekeken naar de beveiligingsmaatregelen. En waar organisaties bij gecontracteerde cloudapplicaties nog enige invloed kunnen uitoefenen op de beveiliging ervan, kunnen zij bij niet-gecontracteerde cloudapplicaties helemaal geen invloed uitoefenen. Bovendien staat bij sommige gratis clouddiensten in de algemene voorwaarden dat alle documenten eigendom worden van de leverancier van de clouddienst. Dat betekent dat je als organisatie intellectueel eigendom verliest door het gebruik van deze diensten.
• Bedrijfsgegevens worden op veel onbekende locaties Omdat cloud shadow IT buiten de formele IT-processen in gebruik is genomen, hebben organisaties geen zicht op waar hun bedrijfsgegevens naartoe gestuurd worden. Toename in het gebruik van cloud shadow IT binnen een organisatie betekent des te meer plekken in de cloud waar bedrijfsgegevens staan opgeslagen. Daar komt nog bij dat veel cloudapplicaties onder de radar gebruikmaken van derde partijen die de infrastructuur leveren. Een voorbeeld hiervan is een cloudapplicatie die draait op infrastructuur van Amazon Web Services. Eindgebruikers zien niet van welke derde partijen een cloudapplicatie gebruikmaakt, waardoor het lastig is om in de gaten te houden waar de data precies wordt opgeslagen en wie er toegang tot heeft.
• Overtreding van wet- en regelgeving leidt tot compliance problemen. In Europa kennen we steeds strengere wetgeving voor de bescherming van persoonsgegevens. Organisaties moeten kunnen aantonen dat zij voldoende beveiligingsmaatregelen nemen om een datalek redelijkerwijs te voorkomen. Met het oog op de Algemene verordening gegevensbescherming (AVG) en de hoeveelheid persoonsgegevens die organisaties verwerken, is dit voor hen een belangrijk aandachtspunt. Daarnaast moeten organisaties een register van gegevensverwerkingen opstellen en bijhouden. Dat betekent dat organisaties inzicht moeten hebben in waar data zoal wordt opgeslagen. Als werknemers in het kader van efficiënt werken allerlei (gratis) cloudapplicaties blijken te gebruiken, kan dat leiden tot overtreding van wet- en regelgeving, met potentieel hoge boetes tot gevolg.
• Hoge kosten doordat cloudapplicaties niet centraal ingekocht worden. Volgens onderzoek door Skyhigh Networks gebruiken organisaties gemiddeld 210 cloudapplicaties voor online samenwerking en 76 cloudapplicaties voor het online opslaan en delen van bestanden . De kans is groot dat hier overlap in zit en dat dit aantal fors teruggedrongen kan worden. Door cloudapplicaties centraal in te kopen, kan men gebruikmaken van volumeprijzen en staffelkortingen, die de totale kosten aanzienlijk kunnen verlagen.

Grip op cloud shadow IT

Discover – Inzicht creëren in cloud shadow IT

Om grip te krijgen op cloud shadow IT moeten organisaties inzicht krijgen in de cloudapplicaties die binnen de organisatie gebruikt worden. Er zijn diverse tools beschikbaar die dit inzicht kunnen bieden. Een cloud access security broker kan bijvoorbeeld het netwerkverkeer tussen het interne bedrijfsnetwerk en het internet in de gaten houden. Daarnaast kan het overzichten en statistieken creëren van hoeveel mensen gebruik maken van welke cloudapplicaties, en hoeveel data daar dan naartoe gestuurd wordt. Vaak hebben dit soort tools ook een database met kenmerken en een risicoprofiel per cloudapplicatie, waarmee snel inzicht wordt verkregen in de risico’s voor de organisatie.

Review – Het beoordelen van cloudapplicaties

Nadat organisaties inzicht hebben in het gebruik van cloudapplicaties is het van belang om te bepalen welke zij toe willen staan en welke niet. Voor elke cloudapplicatie dient een weloverwogen keuze gemaakt te worden op basis van een risicoanalyse. Risico-aspecten waar men naar kan kijken, zijn: de hoeveelheid data die vanuit de organisatie naar de cloudapplicatie stroomt, of de aanbieder van de cloudapplicatie een betrouwbare leverancier is, of de cloudapplicatie naar alle waarschijnlijkheid wordt gebruikt voor zakelijke of privédoeleinden etc. Op basis hiervan kunnen de cloudapplicaties ingedeeld worden in categorieën: cloudapplicaties die men voor zakelijke doeleinden nadrukkelijk toestaat, cloudapplicaties die men gedoogt (bijvoorbeeld omdat ze voornamelijk voor privédoeleinden worden gebruikt), en cloudapplicaties die geblokkeerd moeten worden omdat ze een risico vormen. Dit beleid dient expliciet gemaakt te worden voor iedereen in de organisatie, bijvoorbeeld door het te benoemen bij bewustwordingscampagnes.

Control – Het nemen van de juiste securitymaatregelen

Zodra duidelijk is welke cloudapplicaties toegestaan zijn en welke niet, kunnen de juiste securitymaatregelen genomen worden. Vaak kan hier een rationalisatieslag gedaan worden, bijvoorbeeld als blijkt dat meerdere online opslagdiensten in gebruik zijn. Naast het feit dat dit helpt om de kosten te verlagen, verkleint dit het risico op datalekken omdat het aantal cloudapplicaties wordt teruggebracht. Vervolgens kun je actief toegangsbeleid gaan voeren zodat de bedrijfsgegevens – die ineens buiten de deur staan – nog steeds beveiligd zijn tegen ongeautoriseerde toegang, en kun je cloudapplicaties aansluiten op bestaande monitoringsoftware (zoals SIEM) om afwijkend gedrag tijdig te signaleren. Een ander voorbeeld van een maatregel is het algeheel blokkeren van de toegang van risicovolle cloudapplicaties. Sommige cloudapplicaties brengen een dermate risico met zich mee (bijvoorbeeld een onversleutelde verbinding, algemene voorwaarden waarin staat dat intellectueel eigendom overgaat naar de cloudleverancier, etc.) dat het slimmer is om toegang niet meer mogelijk te maken. Cruciaal in dit geheel is het informeren van uw medewerkers over de risico’s van het gebruik van cloudapplicaties.

Monitor – Periodiek toetsen van het gebruik

Vervolgens is het zaak om periodiek het gebruik van cloudapplicaties te toetsen. Zeker in het begin zou je eigenlijk iedere maand bovenstaande cyclus moeten doorlopen om nieuwe cloudapplicaties tijdig in beeld te brengen. Ook hiervoor volgt men dan het bovenstaande proces, zodat een risicoanalyse gedaan kan worden en de juiste maatregelen genomen kunnen worden. Daarnaast kunnen tools helpen bij het monitoren op afwijkend gedrag, bijvoorbeeld als ineens meer dan gemiddeld geüpload wordt naar een cloudapplicatie die gedoogd is voor privégebruik. Dit zou dan kunnen duiden op een datalek.

Tot slot

Cloudapplicaties zijn niet meer weg te denken uit de moderne organisatie. Het is dan ook belangrijk om inzicht te krijgen in alle cloudapplicaties die door een organisatie gebruikt worden, zodat de risico’s ervan in kaart gebracht kunnen worden. Volgens het Trends in Veiligheid onderzoek 2018 zegt tweederde (65%) van de ondervraagden bekend te zijn met de risico’s van het opslaan van werkgerelateerde documenten in niet-formeel goedgekeurde cloudapplicaties.

Desondanks zien we dat gemiddeld 1.000 cloudapplicaties in gebruik zijn binnen een organisatie. Het merendeel hiervan is in gebruik buiten de radar van de formele IT-beheerprocessen.

Gezien de stijging in het aantal cloudapplicaties verwachten wij dat dit aantal in de komende 5 jaar alleen maar toeneemt. Om het vertrouwen van klanten en/of burgers te behouden en overtredingen van wet- en regelgeving te voorkomen, moeten organisaties nu in actie te komen om datalekken te voorkomen!