De toename van cloud shadow IT brengt serieuze risico’s met zich mee. Organisaties dienen maatregelen te nemen om bedrijfsinformatie te beschermen en het vertrouwen van klanten en burgers te behouden.
Hoe krijgen organisaties grip op ‘cloud shadow IT’?
De opkomst van interactieve cloudapplicaties voor het opslaan, verwerken en delen van informatie, heeft bij de gebruikers geresulteerd in gewenning aan het gemak ervan. Nog nooit was het zo eenvoudig om snel even een bestand te uploaden zodat iemand anders het vrijwel direct kan gebruiken. Vanwege gebruiksgemak en omdat men dit gewend is vanuit het privéleven, zien we steeds vaker binnen organisaties dat cloudapplicaties worden gebruikt die buiten de formele IT- en inkoopprocessen in gebruik zijn genomen. Deze applicaties heten zodoende cloud shadow IT (ook wel schaduw IT genoemd in het Nederlands), omdat ze buiten het zicht van de IT-beheerprocessen blijven en organisaties er dus weinig grip op hebben. Organisaties staan voor de uitdaging om grip te krijgen op cloud shadow IT om hun bedrijfsinformatie te beschermen en datalekken te voorkomen.
Wie maakt er vandaag de dag geen gebruik van bijvoorbeeld Dropbox, OneDrive of WeTransfer om snel zakelijke bestanden uit te wisselen? Of van Evernote om notities vast te leggen en te ordenen? Of Trello om takenlijsten te delen binnen projectteams? Volgens het Trends in Veiligheid onderzoek 2018 van Capgemini, uitgevoerd door GfK, slaat 49% van de mensen wel eens werkgerelateerde gegevens op in de cloud. Cloudapplicaties zijn een verrijking voor dagelijkse werkzaamheden, maar vaak worden dit soort applicaties gebruikt zonder de IT-organisatie erbij te betrekken. Wat veel werknemers zich niet realiseren, is dat zij hierdoor ongemerkt verschillende risico’s zoals datalekken vergroten.
Volgens onderzoek door Netskope gebruiken organisaties gemiddeld 1.022 cloudapplicaties, maar wordt maar liefst 92% van deze applicaties niet voldoende veilig geacht voor het gebruik in organisaties.1 Gezien de toename in het aantal cloudapplicaties en de beweging van organisaties naar de cloud zal dit aantal naar alle waarschijnlijkheid alleen maar toenemen. Daarnaast blijkt uit onderzoek van Symantec dat CIO’s schatten dat hun organisatie slechts tussen de 30 en 40 cloudapplicaties gebruikt.2 In werkelijkheid is dit aantal dus vele malen groter! Dit toont aan dat organisaties vaak onvoldoende inzicht hebben in cloud shadow IT en de risico’s die hiermee gepaard gaan.
Wat is cloud shadow IT?
De term ‘cloud shadow IT’ wordt gebruikt om alle cloudapplicaties aan te duiden die buiten de formele inkoop- en IT-processen in gebruik zijn genomen. Voorbeelden hiervan zijn online opslagdiensten als Dropbox, diensten om bestanden te delen zoals WeTransfer of online converteerders om Word-bestanden naar PDF om te zetten.
Normaal gesproken wordt een softwareapplicatie goedgekeurd voor het verwerken van informatie tot en met een bepaald classificatieniveau en vindt er een controle plaats of het voldoet aan het beveiligingsbeleid van de organisatie. Afhankelijk van het classificatieniveau (bijvoorbeeld openbaar, vertrouwelijk of staatsgeheim) en securitybeleid worden dan beveiligingsmaatregelen genomen. Bij cloudapplicaties zou dat ook moeten gebeuren, maar voor cloud shadow
IT gebeurt dit niet. Daar komt nog bij dat slechts de helft van de ondervraagden op wie het van toepassing is in het Trends in Veiligheid onderzoek 2018 op de hoogte is van het beveiligingsbeleid binnen zijn of haar organisatie. Cruciale vragen blijven vaak onbeantwoord: wordt de data versleuteld en zo ja, volgens welke versleutelingsmethode en wie beheert de sleutels? Wie heeft er toegang tot de data? Waar wordt de data opgeslagen? Het gevolg is dat beveiligingsmaatregelen, zoals logische toegangscontrole en de versleuteling van gegevens, vaak niet gebeurt of van onvoldoende niveau is.
Voor organisaties betekent bovenstaande dat er mogelijk gevoelige bedrijfs- en persoonsgegevens op plekken op het internet worden opgeslagen, zonder dat hier controle over uitgeoefend kan worden. Maar welke risico’s levert dit nu concreet op? En welke impact kunnen deze risico’s hebben op een organisatie? De meest voorkomende risico’s zijn hieronder uiteengezet:
Om grip te krijgen op cloud shadow IT moeten organisaties inzicht krijgen in de cloudapplicaties die binnen de organisatie gebruikt worden. Er zijn diverse tools beschikbaar die dit inzicht kunnen bieden. Een cloud access security broker kan bijvoorbeeld het netwerkverkeer tussen het interne bedrijfsnetwerk en het internet in de gaten houden. Daarnaast kan het overzichten en statistieken creëren van hoeveel mensen gebruik maken van welke cloudapplicaties, en hoeveel data daar dan naartoe gestuurd wordt. Vaak hebben dit soort tools ook een database met kenmerken en een risicoprofiel per cloudapplicatie, waarmee snel inzicht wordt verkregen in de risico’s voor de organisatie.
Nadat organisaties inzicht hebben in het gebruik van cloudapplicaties is het van belang om te bepalen welke zij toe willen staan en welke niet. Voor elke cloudapplicatie dient een weloverwogen keuze gemaakt te worden op basis van een risicoanalyse. Risico-aspecten waar men naar kan kijken, zijn: de hoeveelheid data die vanuit de organisatie naar de cloudapplicatie stroomt, of de aanbieder van de cloudapplicatie een betrouwbare leverancier is, of de cloudapplicatie naar alle waarschijnlijkheid wordt gebruikt voor zakelijke of privédoeleinden etc. Op basis hiervan kunnen de cloudapplicaties ingedeeld worden in categorieën: cloudapplicaties die men voor zakelijke doeleinden nadrukkelijk toestaat, cloudapplicaties die men gedoogt (bijvoorbeeld omdat ze voornamelijk voor privédoeleinden worden gebruikt), en cloudapplicaties die geblokkeerd moeten worden omdat ze een risico vormen. Dit beleid dient expliciet gemaakt te worden voor iedereen in de organisatie, bijvoorbeeld door het te benoemen bij bewustwordingscampagnes.
Zodra duidelijk is welke cloudapplicaties toegestaan zijn en welke niet, kunnen de juiste securitymaatregelen genomen worden. Vaak kan hier een rationalisatieslag gedaan worden, bijvoorbeeld als blijkt dat meerdere online opslagdiensten in gebruik zijn. Naast het feit dat dit helpt om de kosten te verlagen, verkleint dit het risico op datalekken omdat het aantal cloudapplicaties wordt teruggebracht. Vervolgens kun je actief toegangsbeleid gaan voeren zodat de bedrijfsgegevens – die ineens buiten de deur staan – nog steeds beveiligd zijn tegen ongeautoriseerde toegang, en kun je cloudapplicaties aansluiten op bestaande monitoringsoftware (zoals SIEM) om afwijkend gedrag tijdig te signaleren. Een ander voorbeeld van een maatregel is het algeheel blokkeren van de toegang van risicovolle cloudapplicaties. Sommige cloudapplicaties brengen een dermate risico met zich mee (bijvoorbeeld een onversleutelde verbinding, algemene voorwaarden waarin staat dat intellectueel eigendom overgaat naar de cloudleverancier, etc.) dat het slimmer is om toegang niet meer mogelijk te maken. Cruciaal in dit geheel is het informeren van uw medewerkers over de risico’s van het gebruik van cloudapplicaties.
Vervolgens is het zaak om periodiek het gebruik van cloudapplicaties te toetsen. Zeker in het begin zou je eigenlijk iedere maand bovenstaande cyclus moeten doorlopen om nieuwe cloudapplicaties tijdig in beeld te brengen. Ook hiervoor volgt men dan het bovenstaande proces, zodat een risicoanalyse gedaan kan worden en de juiste maatregelen genomen kunnen worden. Daarnaast kunnen tools helpen bij het monitoren op afwijkend gedrag, bijvoorbeeld als ineens meer dan gemiddeld geüpload wordt naar een cloudapplicatie die gedoogd is voor privégebruik. Dit zou dan kunnen duiden op een datalek.
Cloudapplicaties zijn niet meer weg te denken uit de moderne organisatie. Het is dan ook belangrijk om inzicht te krijgen in alle cloudapplicaties die door een organisatie gebruikt worden, zodat de risico’s ervan in kaart gebracht kunnen worden. Volgens het Trends in Veiligheid onderzoek 2018 zegt tweederde (65%) van de ondervraagden bekend te zijn met de risico’s van het opslaan van werkgerelateerde documenten in niet-formeel goedgekeurde cloudapplicaties.
Desondanks zien we dat gemiddeld 1.000 cloudapplicaties in gebruik zijn binnen een organisatie. Het merendeel hiervan is in gebruik buiten de radar van de formele IT-beheerprocessen.
Gezien de stijging in het aantal cloudapplicaties verwachten wij dat dit aantal in de komende 5 jaar alleen maar toeneemt. Om het vertrouwen van klanten en/of burgers te behouden en overtredingen van wet- en regelgeving te voorkomen, moeten organisaties nu in actie te komen om datalekken te voorkomen!
1 Netskope Cloud report September 2017
2 Symantec 1H 2017 Shadow Data Report