Bijna alle bedrijven maken vandaag gebruik van clouddiensten. De cloud is schaalbaar, efficiënt en mobiel, perfect voor de groeiende datastromen en het toenemende thuiswerk van vandaag. Maar zonder gespecialiseerde kennis is de cloud niet zonder risico. Configuratie fouten door medewerkers zouden de grootste oorzaak zijn van cyberincidenten in de cloud. Dat wijzen twee studies van veiligheidsbedrijven uit.
Rapport Accuris
Een studie van Accuris wijst uit dat er configuratie fouten zitten in 93 procent van de cloud opslag omgevingen van bedrijven. Het grootste deel van de organisaties hadden dan ook te maken met een inbreuk op hun netwerk die rechtstreeks aan die verkeerde configuratie was gerelateerd.
Ook een studie van Verizon wees uit dat configuratie fouten de grootste oorzaak waren van data-inbreuken in bedrijfs clouds. Op de tweede plaats in dat onderzoek komen datalekken door menselijke fouten.
250 miljoen accounts Azure-klanten onbeschermd.
Zulke misconfiguraties zijn ook snel gebeurd. Cloud opslag is heel flexibel, waardoor gebruikers instellingen meer kunnen aanpassen aan hun noden dan bij traditionele datacenter opslag mogelijk is.
Dat impliceert echter ook dat er meer verkeerd kan lopen. In januari begin dit jaar overkwam het zelfs Microsoft, dat duizenden gespecialiseerde cloud architecten in dienst heeft. Door een verkeerde configuratie in Azure waren 250 miljoen accounts van Azure-klanten daardoor onbeschermd.
Menselijke fouten
Menselijke fouten vormen ook voor andere vormen van cybercriminaliteit een grote oorzaak.
Zo zouden ransomware-aanvallen vaak veroorzaakt worden door medewerkers die een foute e-mail beantwoorden of op een verkeerde link klikken. Toch is het probleem vooral met betrekking tot cloud opslag opvallend groot.
In de eerste helft van 2019 alleen registreerde Risk Based Security Inc. 149 incidenten met misconfiguraties in cloud opslag. In totaal werden er 3,2 miljard records van persoonlijke informatie gelekt.
Groot misverstand
De oorzaak van de vele misconfiguraties is een gebrek aan inzicht in veiligheidsprotocols.
Veel (kleinere) bedrijven hebben niet de expertise in huis om de toegangsvoorwaarden voor de cloud op een juiste manier in te stellen. Daarnaast rekenen ze er vaak op dat cloud providers zelf zorgen voor de veiligheid van de cloud omgeving, wat een grote misvatting is. Ook encryptie is geen oplossing.
Bron: accurics.com, techpulse.be / Sarah Menu
