Het Nederlands bedrijfsleven is in een sneltreinvaart afgestevend op de digitale transformatie en software-as-a-service-oplossingen zijn niet meer weg te denken. Gebruikers van deze oplossingen lopen evenwel achter de feiten aan wanneer hun vertrouwde leverancier het doelwit is van een – vaak te voorkomen – ransomware-aanval.
Dit artikel benadrukt waarom saas-oplossingen net zo goed beschermd moeten worden als reguliere it-systemen.
- Saas-oplossingen zijn gemeengoed geworden
Het gebruik van saas-oplossingen zoals Salesforce, Google Workspace en Microsoft Office 365 is de afgelopen jaren explosief toegenomen. Tijdens de pandemie boden ze organisaties een kostenefficiënte en eenvoudige schaalbare manier om alle thuiswerkers toegang te bieden tot een omgeving waarin ze konden samenwerken en gegevens konden uitwisselen.
Tegelijkertijd ruilden Microsoft en Adobe hun oude licentiemodellen in voor abonnementsdiensten. Dit biedt vooral kleinere organisaties met beperkte middelen een ideale gelegenheid om grootzakelijke oplossingen te gebruiken zonder forse investeringen en zonder zich al te veel zorgen te hoeven maken over de onderliggende it. Helaas… Momenteel leren veel organisaties de harde les dat hun saas-oplossingen een gewild doelwit zijn voor cybercriminelen, en dat saas-leveranciers te weinig bescherming bieden voor hun waardevolle data.
- Saas-oplossingen hebben dezelfde mate van bescherming nodig als traditionele applicaties
Organisaties die zich al bewust waren van dit risico, en op zoek gingen naar de mogelijkheden om hun data te beschermen, kwamen er al snel achter dat hun waardevolle data in mindere mate wordt beschermd dan wanneer deze op een eigen private cloud of in eigen it-systemen staat. Een ander belangrijk constatering is dat de meeste saas-oplossingen een shared responsibility-model hanteren; hierbij is de gebruiker zelf verantwoordelijk voor de databescherming. Organisaties die hier al op de hoogte van zijn, doen er goed aan om backups te maken van data binnen de saas-oplossingen die zij gebruiken.
- Inleveren op gebruiksgemak voor een simpele backup
De meeste aanbieders van saas-platforms maken gebruik van een bepaalde oplossing voor het beschermen van de data van hun klanten. Het probleem is dat deze oplossingen nu niet bepaald uitblinken in gebruiksgemak. Ze bieden alleen rudimentaire functionaliteit en halen het niet bij professionele zakelijke oplossingen voor databescherming. Als organisaties verschillende saas-oplossingen gebruiken, zien ze zich vaak geconfronteerd met meerdere backupoplossingen die elk hun eigen functionaliteit, prijsstructuur en user interface kennen. Dit zorgt voor een hoop complexiteit en beheeroverhead, terwijl saas-oplossingen nu juist zijn ontwikkeld met het oog op gebruiksgemak.
Er zijn ook leveranciers-neutrale oplossingen die saas-gebruikers de mogelijkheid bieden om een backup te maken van al hun saas-data en -workloads. Dit kan al zonder forse investeringen, complexiteit, en beheeroverhead, en biedt bescherming voor het leeuwendeel van hun saas-oplossingen.
- Data herstellen zonder financiële verrassingen
Saas-gebruikers doen er goed aan te kiezen voor een oplossing, waarbij backups worden opgeslagen in een cloud die speciaal is ingericht voor databescherming en niet afhankelijk is van een van de grote hyperscalers. Een cloud van een externe leverancier biedt organisaties de volledige regie over alle data waarvan backups zijn gemaakt en maakt het eenvoudig om te waarborgen dat er altijd drie tot vier kopieën van data worden aangemaakt en beschikbaar zijn op verschillende locaties. Een voordeel hiervan is het vermijden van de hoge kosten bij het terughalen van data uit de publieke cloud. Die worden vaak pas na het herstellen van data zichtbaar. Dit soort nare verrassingen zorgt ook voor onduidelijkheid van het budgetteringsproces.
Verder is het belangrijk dat organisaties op zoek gaan naar back-upoplossingen voor saas-omgevingen met een focus op cybersecurity. Deze zouden moeten voorzien in immutable backups, ofwel backups die niet zijn te wijzigen of verwijderen. Daarmee zijn ze onaantastbaar voor ransomware en cybercriminelen. Alle opgeslagen data blijft op die manier veilig, ondanks storingen en beveiligingsincidenten.
- Onafhankelijke oplossingen van externe leveranciers zijn de beste optie
Een probleem is dat veel organisaties er niet van op de hoogte zijn dat het hun verantwoordelijkheid blijft om hun saas-data even doeltreffend te beschermen als de data van hun reguliere bedrijfsapplicaties en it-systemen. Om grip en controle te houden zijn leveranciersonafhankelijke back-upoplossingen een uitweg in de wirwar van complexe en gebrekkige back-uplossingen die de saas-leveranciers bieden.
Voor dit doel en om tegemoet te komen aan de eisen van de wet- en regelgeving hebben organisaties speciale back-upoplossingen voor saas-omgevingen nodig, waarmee zij zelf hun data op elk gewenst moment kunnen herstellen. Cybercriminelen krijgen zo niet het voordeel van de twijfel, en het vergroot de weerbaarheid van organisaties tegenover cyberaanvallen.
Hernieuw je focus voor saas-platformen en oriënteer welke back-uplossingen beschikbaar zijn, welke meer bieden dan de rudimentaire functionaliteit die een standaard saas-leverancier levert.
kijk Henri,
FUD in de cloud.
Kan je als onwetende klant je gaan verdiepingen in het backup/restore/verdienmodel van de saas provider.
En daarna van de FUD provider.
ook daarom on-prem.
Dino zegt niks over de kleine contractuele lettertjes in shared responsibility? Hij richt zijn pijlen op Henri maar laat WC-eend ongemoeid want idee van een reservekopie gaat om de brandverzekering. Wat betreft on-prem heb ik mijn bedenkingen aangaande het off-site bewaren, dubbel gestikt van de tweede locatie lijkt me meer garantie aangaande de continuïteit geven.
Déjà vu aangaande SaaS platformen nam Henri 5 maart 2014 zijn petje af voor een artikel over de risico’s aangaande de continuïteit. Een SaaS-escrow gaat tenslotte niet alleen om de data want er is nog zoiets als de service. Je hebt namelijk weinig aan een back-up als deze data portabiliteit zonder de functionele mogelijkheden komt.
Dino,
Zie het nu pas en aangezien ik geen notificatie krijg van jouw reacties, weet ik ook niet of ik deze zal zien.
De ene saas is de andere niet.
Ik gebruik o.a. Google Workspace als SaaS, maar hier maak ik zelf een back-up van (sync != backup).
Als je het hebt over bijvoorbeeld nmbrs als SaaS. Dan kan ik geen back-up maken, alleen de output (loonstroken en overzichten) kan ik back-uppen. Maar het is uiteindelijk aan nmbrs om te herstellen na een hack.
Dus inderdaad wel meenenem in je risico management, maar per service zal je moeten nadenken over ongunstige scenario’s. Wat als je nmbrs dienst het niet meer doet en gaat doen? Er is geen back-up die jij terug kunt zetten.