Microsoft, Google en AWS worden aangespoord om de beveiligingsinstellingen van hun clouddiensten te verstrengen. De oproep komt van lokale bedrijven en ook van gebruikersverenigingen als CIO Platform en Beltug. Zij hadden hierover recent een onderhoud met de top van Microsoft EMEA.
Vandaag moeten bedrijven en overheden de beveiligingsinstellingen van hun clouddiensten bij Amazon, Microsoft en Google vaak zelf instellen om bijvoorbeeld een veiliger optie voor het inloggen te activeren. Dat is niet alleen tijdrovend, maar ook niet altijd aangewezen. Want de aangewezen configuratie blijft daardoor geregeld achterwege, wat leidt tot een minder veilig gebruik van de clouddiensten.
Dat moet anders en beter, vinden een aantal bedrijven en overheidsinstellingen, zoals ASML, Rabobank en AkzoNobel. Zij deden een oproep en ook Beltug en CIO Platform zijn hierop aangesloten.
Het gaat onder meer om het instellen van de tweestapsverificatie. ‘Ook krijgen mensen standaard vaak te veel rechten bij het werken in de cloud. Verder wordt een back-up in bepaalde gevallen pas gemaakt nadat het bedrijf zelf een aanpassing doorvoert’, illustreert Freddy Dezeure, voorheen hoofd van CERT-EU, de cyberbeveiligingsdienst van de EU en een van de initiatiefnemers van deze oproep naar de cloudgiganten. Dezeure is overigens ook keynote spreker op de volgende editie van Cybersec Europe op 21 en 22 mei 2025 in Brussel.
Microsoft
Recent werd er over de kwestie rond cloudbeveiliging een meeting georganiseerd met vier Europese gebruikersverenigingen en de top van Microsoft EMEA. Daarbij waren Cigref uit Frankrijk, Voice uit Duitsland, CIO Platform uit Nederland en Beltug uit België aanwezig.
‘Daar werd bevestigd dat Microsoft vorig jaar is begonnen met het aanpassen van de standaardinstellingen’, stelt Danielle Jacobs, ceo bij Beltug. Het bedrijf gaf, volgens haar, aan dat het over de kwestie doorlopend in overleg is met alle betrokken partijen om te zien welke security by default-opties mogelijk zijn.
‘Met de initiatiefnemers van deze oproep, zoals Freddy Dezeure en Lokke Moerel waren er meerdere contacten de jongste weken’, bevestigt Jacobs. ‘Maar met Google en AWS hadden we hierover geen contact’, stelt ze. Toch wil Jacobs ook een ander nuanceren. Het verscherpen van de beveiligingsinstellingen lijkt een no-brainer, maar toch niet altijd evident. ‘Het is niet zo eenvoudig als het lijkt’, merkt ze op. ‘Want de impact op bestaande implementaties, en dan vooral koppelingen met andere software, mag ook niet in het gedrang komen.’ Maar dit mag volgens haar het streven naar betere beveiliging niet in de weg staan. ‘Moeilijk gaat ook.’