Twee op de vijf Nederlandse bedrijven heeft het afgelopen jaar te maken gehad met een datalek in hun cloud-omgeving, blijkt uit onderzoek. Data in de cloud blijft een onverminderd belangrijk doelwit van cybercriminelen. En dat is zorgelijk in een tijdperk waarin de cloud de standaard is.
Er zijn twee trends die een rol spelen in het ontstaan van datalekken in de cloud. Enerzijds heeft dat te maken met de multi-cloud-benadering die veel bedrijven aanhouden. Anderzijds met het soort data dat in de cloud opgeslagen staan.
Compleet veranderd
Waar multi-cloud lange tijd een uitzondering was in het it-landschap van organisaties, is dat nu compleet veranderd. Het is niet meer de uitzondering, maar de regel. Wereldwijd hebben bijna acht op de tien bedrijven nu meer dan één cloudprovider, met een gemiddelde van 2,3 providers. En dat is een flinke toename in vergelijking met voorgaande twee jaren. Er is dan ook een trend gaande waarin bedrijven hun it-landschap opschalen door een nieuwe cloudprovider aan te sluiten. Het voordeel hiervan is dat je vendor lock-ins vermijdt, wat voor corporate- of enterprisebedrijven een issue is. Bovendien is de ene cloudprovider de andere niet en komen ze allemaal met hun eigen voordelen en applicaties. Dit maakt het aantrekkelijk om met meerdere clouds te werken.
Wat er gebeurt als bedrijven gaan samenwerken met een groeiend aantal cloudproviders, is dat de complexiteit van het it-landschap dat beheerd moet worden stevig toeneemt. Dat zien bedrijven ondanks de trend zelf ook in.
Een meerderheid vindt dat beveiliging van data in de cloud steeds complexer wordt. Iedere cloudprovider komt dan ook met zijn eigen beleid, rechten en plichten rondom databeveiliging. Met hoe meer cloudproviders je dus te maken hebt, hoe meer moeite het kost om dit te beheren en om je eigen processen hierop af te stemmen. En dan willen er nog weleens onvoorziene deuren in de cloud open blijven staan.
Gevoelige aard
Een andere reden waarom cloudgegevens een aantrekkelijk doelwit zijn, is dat het steeds vaker om gevoelige data gaat wat daar staat opgeslagen. Zo geeft twee derde van de Nederlandse bedrijven aan dat meer dan veertig procent van alle data die ze in de cloud hebben staan van gevoelige aard is. Dat bedrijven ondanks de complexiteit van de multi-cloud gevoelige data naar de cloud brengen, heeft twee redenen. Ten eerste is cloud tegenwoordig de standaard, waarbij bedrijven meer en meer een cloud first-strategie hanteren. Nieuwe applicaties die je uitrolt, inclusief bijbehorende data, gaan hierbij automatisch naar de cloud. Ten tweede gaat de cloud doorgaans gepaard met veel processing power en mogelijkheden voor artificiële intelligentie. Dat is een aantrekkelijk vooruitzicht. Maar om daar gebruik van te maken, heb je daar veel data nodig. En dus komen data hierdoor ook in de cloud terecht.
Meer gevoelige data in de cloud betekent dat de beveiliging piekfijn in orde moet zijn. Dat schiet er door de bovengenoemde multi-cloudcomplexiteit nog weleens bij in. En dan heb je met data die per definitie gevoelig zijn dus direct een probleem als het uitlekt of in verkeerde handen komt.
Niet blind
Het gebruik van de cloud gaat alleen nog maar toenemen. Laten we dat op een verstandige manier doen en niet blind. Niet alleen voor jezelf en het beschermen van jouw data, maar ook voor naleving van nieuwe wet- en regelgeving voor bepaalde type data in de cloud, zoals Dora of NIS II. Cloudgebruik vraagt om een veilige manier voor databeveiliging. Daarbij zijn zaken als toegangscontrole – ofwel wie heeft er toegang tot wat? – en encryptie/sleutelbeheer belangrijk. Wat dat betreft laten de cijfers zien dat we nog een lange weg te gaan hebben.
(Auteur Steven Maas is sales director encryption Benelux bij Thales.)