Onlangs publiceerde het NCSC het Cyber Securitybeeld Nederland over 2017. Dit document is gebaseerd op concrete data, en geeft security managers een handvat na alle vette krantenkoppen die vaak meer op sensatie berusten. De Nederlandse overheid geeft een vergelijkbaar beeld met 2016: beroepscriminelen, staten en cybercriminelen en hacktivisten vormen nog steeds de grootste dreigingsgroepen.
Na het vaststellen van de actoren wordt er gekeken naar de acties die door hen uitgevoerd worden. Het is onderzocht dat meer dan de helft van de datalekken het gevolg is van menselijke fouten. Geen verrassend nieuws, maar wel reden om te kijken naar andere manieren van it-inrichting en beveiliging.
Naast de risico’s zijn er nog andere ontwikkelingen die hier een belangrijke driver voor zijn, zoals het toenemende gebruik van mobiele apparatuur op de werkvloer en de verbinding van allerlei apparaten en systemen met het internet. Ook de wens van het publiek om digitaal te communiceren met (semi-)overheden speelt een belangrijke rol.
Comfortabel in de cloud
In Nederland is afgelopen jaren veel geïnvesteerd in nieuwe datacenters binnen de landsgrenzen. Denk hierbij bijvoorbeeld aan de Rijks datacenters. Het gevoel dat data dichtbij houden beter is voor beschikbaarheid en beveiliging; een gevoel dat gevoed wordt door GDPR uiteraard, maar ook andere bronnen kent, zoals Brexit. De overheids-cio’s staan nu voor de keuze hoe ze beveiligingsbeleid gecentraliseerd kunnen blijven opleggen terwijl data en toepassingen van de eigen it-omgeving naar de cloud wordt verplaatst.
Gartner heeft berekend dat security in 2018 een van de belangrijkste drivers is om over te stappen op de cloud. AWS en Microsoft steken niet voor niets veel tijd en geld in hun security-functionaliteit om meer vertrouwen te wekken in de cloud als veilige hosting optie. Interessant hierbij is dat AWS en Microsoft security benaderen voor hun eigen omgeving, oftewel het beschermen van hun eigen datacenter. Alle functionaliteit en diensten die hierboven liggen, zeg maar alle diensten van laag vier tot en met zeven in het OSI-model vallen buiten de verantwoordelijkheid van AWS en Microsoft.De recente incidenten in de zorg en bij lokale overheden in verschillende landen benadrukken dat de klok tikt, en dat het een kwestie van tijd is voordat de volgende overheidsinstelling het slachtoffer wordt.
Uiteraard is er keuze in het soort cloud-model. We zien veel instellingen in de publieke sector in één keer overstappen van on-premise naar SaaS (software as a service). Voorheen ging dat stapsgewijs via een IaaS (infrastructuur as a service) en PaaS (platform as a service). Vanuit het oogpunt van security is SaaS niet ideaal om aan alle compliancy-eisen te voldoen. De beveiliging van de publieke cloud gaat niet veel verder dan multi-factor authenticatie. Het is dan ook beter om data en services in zowel de cloud als on-premise te bewaren en te blijven realiseren dat opgeslagen data in principe nooit veilig is voor hackers waar de data zich ook bevindt.
Investeren in security
In Nederland wordt flink geïnvesteerd in beveiliging, met de nadruk op sterkere bescherming tegen aanvallen en vergroten van de kennis binnen bedrijven. Er is een NCTV, een NCSC alsook een Cybersecurity Raad. Ook wordt er met regelmaat de vraag gesteld of een minister van ict wenselijk is. Deze initiatieven vinden in andere landen navolging, en dat is hard nodig om een nieuwe generatie cybersecurity-professionals klaar te stomen voor een nieuwe generatie cyber-aanvallers. Hierin wordt nauw samengewerkt met de landelijke centra voor internetcriminaliteit.
Het is niet langer de vraag of je getroffen wordt door een aanval, maar wanneer het zal gebeuren. Het ligt aan de investeringen en samenwerking hoe groot de schade dan zal zijn. Het NCSC richt zich voornamelijk op webkwetsbaarheden. Applicatie security management is dus top-prioriteit. Met het oog op GDPR nu, maar op de algemene beveiliging op langere termijn, is het dus nu tijd om stappen te zetten. De implementatie van de maatregelen kost tijd, dus het is aan de leiders in de publieke sector om ervoor te zorgen dat ze er op tijd bij zijn.
Migratie naar de cloud is op zich niet veiliger dan elders. Regelmatig zijn grote ICT providers en hostingbedrijven slachtoffer van hacking aanvallen. Zelfs blijken certificaten ook niet altijd meer betrouwbaar en komen er ook berichten dat inlichtingendiensten deel uit maken van de cybercriminals. Hoe kun je dan überhaupt nog vertrouwen hebben in het uitbesteden van infrastructuur, applicatieve systemen en data?
Bij cloudmigratie naar buitenland krijg je ook met andere wetgeving te maken, die mogelijk ook nog strijdig is met de eigen wetgeving. Hosting van clouddata in eigen land heeft daarom de voorkeur. Om enigszins zekerheid te krijgen is het aan te bevelen om regelmatig penetratietesten te laten uitvoeren door gecertificeerde deskundige partners en ook onafhankelijke jaarlijkse audits te laten uitvoeren waarbij ook het accessmanagement en het operationele beheer wordt onderzocht. De hostingpartij moet daar natuurlijk volledig aan meewerken en transparant zijn, zeker als zij de encryptie uitvoeren voor de klant.
Als besloten wordt tot uitbesteding en migratie naar de cloud dan zijn zowel locatie als beveiliging, zoals encryptie op zeer hoog niveau, van groot belang. Het probleem is dat encryptie vaak door de hosting partij moet worden uitgevoerd omdat de technische oplossingen of wetgeving het niet toestaan dat data al vooraf wordt versleuteld.
Uitbesteding en cloudmigratie brengen dus hun eigen risicofactoren mee.
Beste Willem, je hebt gelijk. In de basis zijn aanvallen en bedreigingen dezelfde bij Cloud en een lokaal Data Center. Wat verandert zijn de betrokkenen en derhalve de manier hoe je er mee om moet gaan. Helaas verwacht de gebruiker vaak dat cloud omgevingen veilig zijn, omdat de providers adverteren dat hun omgeving veilig is. Men vergeet dan om te realiseren dat de eigen applicatie niet tot deze “veilige omgeving” behoort en een vulnerability of een SQL injectie niet door de cloudprovider wordt beschermt. Deze kent je applicatie niet en kan dus ook nooit een sterke beveiliging bieden, alleen algemene applicatiebeveiliging, maar dat blijkt in de praktijk schijnveiligheid. Zoals je zegt: Uitbesteding en cloudmigratie brengen dus hun eigen risicofactoren mee.