Veel bedrijven die SaaS-applicaties gebruiken, denken dat hun gegevens veilig zijn opgeslagen in de cloud. Voor een deel is dit juist: een clouddienst biedt de gebruiker betere beveiliging dan traditionele on-premise-software. Het is echter belangrijk om te beseffen dat een goede clouddienst alléén geen garantie is voor goede beveiliging.
De cloud kan nog openstaan door menselijke fouten, met datalekken tot gevolg. Managed service providers (msp’s) kunnen zich onderscheiden als strategisch partner door klanten en prospects te wijzen op de noodzaak van SaaS-back-up.
Uitgaven aan it zijn de afgelopen jaren langzaam verschoven van traditionele on-premise-software naar cloud computing en Software-as-a-Service (SaaS). En als we Gartner mogen geloven, is deze groei nog niet ten einde. Het onderzoeksbureau voorspelt voor de komende vijf jaar een verdubbeling van de investeringen in clouddiensten, van 229 miljard tot 500 miljard dollar in 2023. SaaS is hierin het grootste segment; deze categorie is goed voor meer dan de helft van alle uitgaven aan clouddiensten.
SaaS-applicaties als Google, G Suite en Microsoft Office 365 zijn enorm populair. Daarvoor zijn goede redenen. Bedrijven waarderen de flexibiliteit en kostenbesparende aspecten van SaaS en vinden het prettig dat alle werknemers met dezelfde applicaties, zoals Excel en Word, werken. Bovendien verkeren ze nogal eens in de veronderstelling dat ze zich met een SaaS-oplossing ook geen zorgen hoeven te maken over dataveiligheid. Alle informatie is immers veilig opgeborgen in de cloud.
Diefstal van data
Helaas, dit laatste is een misvatting. Hoewel cloud-based diensten betere beveiliging van gegevens beloven dan traditionele on-premise-software, zijn ze in de praktijk wel degelijk kwetsbaar. Het aantal gestolen Office-gebruikersgegevens blijkt bijvoorbeeld ontstellend hoog. Recent onderzoek in de VS en Groot-Brittannië laat zien dat twee op de vijf bedrijven te maken heeft (gehad) met diefstal van data van Microsoft Office 365. Dit gebeurde ondanks het feit dat 80 procent van de bedrijven gebruikmaakte van beveiliging die verder gaat dan de standaard Office-security.
Veruit de belangrijkste oorzaak van dataverlies bij het gebruik van clouddiensten zijn menselijke fouten. Mensen verwijderen per ongeluk documenten, openen phishingmails en downloaden malware. Kortom, mensen maken fouten. SaaS-aanbieders bieden hier weinig tot geen bescherming tegen. Daarom werken SaaS-aanbieders ook volgens het ‘shared responsibility model’. Ze nemen verantwoordelijkheid voor het deel waarover ze controle hebben, zoals de beschikbaarheid van hun applicaties, en garanderen tegen rampscenario’s binnen hun eigen infrastructuur. Maar eindgebruikers zijn te allen tijde zelf verantwoordelijk voor de data die ze creëren (of verwijderen) binnen deze applicaties.
Hoge kosten wegnemen
Bedrijven die te maken hebben met dit soort dataproblemen, draaien dus zelf op voor de schade die ze hiervan ondervinden. De kosten kunnen flink oplopen. Gemiddeld zijn deze bedrijven 133 uur kwijt aan taken als het herstellen van gebruikersgegevens, het vinden van zwakke punten in de beveiliging en het melden van problemen aan het personeel. Bedrijven die zich van deze risico’s willen vrijwaren, zullen ook van hun data in de cloud een back-up moeten maken.
Bedrijven zijn zich hier onvoldoende van bewust. Voor msp’s ligt hier een interessante kans, omdat hun klanten advies en ondersteuning nodig hebben wanneer het gaat over dataveiligheid bij het werken met cloudapplicaties. Uit recent onderzoek blijkt ook dat msp’s het zich ten doel stellen om precies die rol op zich te nemen. Ze passen hun businessmodel aan en richten zich steeds vaker op managed services. Voor meer dan 80 procent van de respondenten zijn terugkerende diensten verantwoordelijk voor een deel van hun omzet. Dit wijst op een veranderende rol voor msp’s, die niet langer slechts ad-hocdiensten bieden, maar ook een strategische partner willen zijn voor mkb-klanten.
Door zich te profileren als strategisch adviseur kunnen msp’s daadwerkelijk invulling geven aan die rol. Ze kunnen hun toegevoegde waarde tonen door misverstanden weg te nemen en klanten en prospects te wijzen op de risico’s van SaaS, zoals dat hun kostbare data niet automatisch op een veilige plaats worden bewaard omdat die zijn opgeslagen in de cloud.
Waar kan ik meer detail vinden over het onderzoek dat twee op de vijf bedrijven te maken heeft (gehad) met diefstal van data van Microsoft Office 365?
Een on-prem ict-er die adviseert regelmatig backups te maken en dat daarnaast zelf doet voor het hele bedrijf : henkie van de servicedesk.
Een cloud ict-er in pak die hetzelfde doet : strategisch adviseur bij de managed service provider partner
Je beweert in de titel dat cloud data opslag onveilig is. Maar in de tekst beweer je dat de belangrijkste oorzaak van dataverlies bij het gebruik van clouddiensten menselijke fouten zijn. Dus niet de cloud, maar de mens als oorzaak van onveiligheid. Daarmee heb je mij als lezer op het verkeerde been gezet.
Jammer, want hiermee ondermijn je het vertrouwen van lezers in je eigen IT-bedrijf Datto en in Computable-experts.
Vreemde reactie van Stef Joosten want het ‘shared responsibility model’ in de cloud betekent inderdaad dat een ieder verantwoordelijk is voor dat deel van de dienstverlening waar ze controle over hebben. Wat je niet weet kun je niet beheren zeg ik altijd en de auteur stelt geheel terecht dat met name de SaaS-diensten niet gericht zijn op het herstel van gebruikersfouten omdat de back-up veelal enkel gericht is op een herstel van de dienst.
De titel is dan ook niet misleidend als je begrijpt dat dataverlies nog wat anders is dan datalekken en soms komen fouten dan ook niet ongelegen. SaaS-provider is niet verantwoordelijk voor de integriteit van afnemers van diensten en neemt daarom exornatiebedingen op in de voorwaarden, je wilt als provider tenslotte niet de schuld krijgen van de bonnetjes die opzettelijk zoek zijn gemaakt. En hetzelfde geldt voor datalekken want het concurrentiebeding in een arbeidscontract blijkt uiteindelijk niet afdoende te zijn. Dat 2 op de 5 bedrijven in Anglo-Amerikaanse jurispendentie te maken heeft gehad met diefstal van data door medewerkers is algemeen bekend als we kijken naar Wikileaks.
Enige in het verhaal waar ik mijn twijfels over heb is de MSP als strategisch adviseur aangaande de cloud want het ‘Wij van WC-eend, adviseren WC-eend’ beperkt zich nog te vaak tot operationeel een dienst verkopen. En als het gaat om een langdurige en betrouwbare opslag van data dan denk ik dat alle cloud diensten afvallen. Dat ik daar valide economische, technische en juridische redenen voor heb blijkt uit de vele opinies waarin ik naar ik hoop mijn expertise bewezen heb. Tot op heden zijn nog (bijna) al mijn voorspellingen over de cloud uitgekomen omdat de IT uiteindelijk telkens weer cyclisch blijkt te zijn.
Graag een bronvermelding voor: “Recent onderzoek in de VS en Groot-Brittannië laat zien dat twee op de vijf bedrijven te maken heeft (gehad) met diefstal van data van Microsoft Office 365. Dit gebeurde ondanks het feit dat 80 procent van de bedrijven gebruikmaakte van beveiliging die verder gaat dan de standaard Office-security. “
ik kan me, in tegenstelling tot Ewout, wel vinden in de reactie van Stef. De oorzaak heeft niet met de technologie (cloud) te maken, maar met de gebruiker.
@Johan
Kon wel eens dit blog zijn:
https://blog.barracuda.com/2019/05/02/threat-spotlight-account-takeover/
en dit the-register artikel:
https://www.theregister.co.uk/2019/05/16/why_office_365_security_is_woeful_despite_government_fingerwagging/
bevestigd dat de gebruikers de zwakste schakel zijn.
Het onderzoek naar de groei waar wij vanuit Datto naar refereren is het onderzoek wat Gartner publiceerde (zie link in het artikel zelf). Er is zelfs een nieuwere versie van dit onderzoek (*), waarbij de cijfers hoger zijn dan het artikel uit 2018.
Het doel van ons artikel is voornamelijk om de lezers ervan op de hoogte te brengen dat het aanbieden van cloud-diensten als Office365, of Google GSuite, vaak als een makkelijke aanvullende dienst gezien wordt, maar dat dit ook zeker een verschuiving van aansprakelijkheid met zich meebrengt waar Ewout het over heeft. Niet iedereen is zich hiervan bewust.
Onterecht denken veel (zakelijke) klanten dat ‘in de cloud’ automatisch veilig is, waar wij toch duidelijk uit eigen onderzoek (**) zien dat men zich niet bewust is van de kleine letters, zie bijvoorbeeld het klakkeloos doorklikken van de EULA. Het vaak gehoorde “Dat zal toch wel goed zitten?”.
Zonder het onderwerp breder te willen trekken, veel ondernemers zijn zich niet bewust van wet- en regelgeving omtrent de opslag van, lekken van, en veiligstellen van data. Dus mocht het fout gaan in een dienst als O365/GSuite, dan is de eigenaar van die data nog steeds verplicht het te melden volgens de regels die er zijn. Veel van onze partners worden dan als eerste aanspreekpunt gezien, vanwege het bieden van de dienst.
Dan is het bieden van een vangnet niet zozeer om je klant te helpen (natuurlijk het eerste doel), maar ook om jezelf in te kunnen dekken, dat het in ieder geval niet aan jou ligt, of heeft gelegen.
(*) https://www.gartner.com/en/newsroom/press-releases/2019-04-02-gartner-forecasts-worldwide-public-cloud-revenue-to-g
(**) onze eigen 1600+ MSP’s wereldwijd, met klanten van 10-5000 endpoints, https://www.datto.com/resources/dattos-2019-state-of-the-msp-report
Bjorn,
“Zonder het onderwerp breder te willen trekken, veel ondernemers zijn zich niet bewust van wet- en regelgeving omtrent de opslag van, lekken van, en veiligstellen van data.”
Ik denk dat je het onderwerp juist wel breder, meer naar de business moet trekken. Bijvoorbeeld door te wijzen op het feit er veelal een omgekeerde bewijslast geldt. Een bestuurder van een rechtspersoon heeft in Nederland de plicht om een deugelijke administatie te voeren. Als deze door een verlies aan data ondeugdelijk is dan zegt de wet dat er sprake is van wanbeleid. En als vermoed wordt dat een slechte administratie de oorzaak is van een faillissement dan leidt dit tot een persoonlijke aansprakelijkheid.
In de opinie getiteld: ‘WA-verzekering in de cloud’ ging ik in op de problemen van ontoegangelijkheid tot je administratie door het faillissement van MSP. Ik ben geen jurist maar uitspraak van Hoge Raad doet vermoeden dat het quid pro quo-principe in het verbintenissenrecht onveranderlijk blijft. Curator mag (en zal) passief wanpresteren en daarmee de kans op een doorstart middels de goodwill vergroten. Stef mist nog één titel welke best wel belangrijk is als adviseur, in het juridische proces- en documentmanagement gaat het namelijk dus om onweerlegbaar bewijzen dat jouw geen blaam treft:
“Dan is het bieden van een vangnet niet zozeer om je klant te helpen (natuurlijk het eerste doel), maar ook om jezelf in te kunnen dekken, dat het in ieder geval niet aan jou ligt, of heeft gelegen.”
En dat met dit statement mijn twijfels aangaande de rol van de MSP als strategisch adviseur bevestigd worden zit in het organisatorische aspect van uitbesteding. Het cyclische principe van de IT gaat niet om het opslaan van het bonnetje – techniek – maar de mogelijkheid om deze terug te vinden – process – en deze te koppelen aan de juiste beslissers – organisatie – want de deugdelijkheid van de administratie kent een grotere context dan data.