Op het moment van schrijven staat KPN volop in het nieuws met een inbraak in de it-omgeving die wordt gebruikt voor haar DSL en internet-beldiensten. Voor veel mensen is het onvoorstelbaar om te lezen hoeveel er op het beveiligingsvlak mis blijkt te zijn bij een partij als KPN, die naast het bedienen van miljoenen klanten tevens verantwoordelijk is voor een stuk vitale infrastructuur. Voor de meeste informatiebeveiligers is het een hoop herkenning.
Het is het geen verrassing dat KPN niet anders blijkt te zijn dan de rest van corporate Nederland en de rest van de wereld. Wat wel bijzonder is ten opzichte van een inbraak bij de meeste andere bedrijven, is de impact die een inbraak bij KPN heeft op andere bedrijven en consumenten. Door de enorme hoeveelheid klanten heeft een enkele fout grote consequenties.
Ditzelfde zien we terug bij cloud-diensten. Ook in de cloud verzamelen grote groepen klanten zich in een centrale omgeving. Op basis van de aanname dat een grote service provider in staat is om een betrouwbare dienst te leveren, worden vertrouwelijke persoonsgegevens, bedrijfsgegevens en transactionele gegevens ondergebracht bij een derde. Op het moment dat de beveiliging ter sprake komt is een vaak gehoorde opmerking: 'het bedrijf schermt met veel grote klanten. Als het voor hen goed genoeg is, is dat het voor ons toch ook?' En hiermee schuiven we de noodzaak om eens goed naar de inhoudelijke kwaliteit van de dienst te kijken het liefst van ons af. De keuze voor SaaS uit de cloud komt regelmatig niet vanuit een functionele behoefte, maar vanuit onvrede over snelheid en kosten van de eigen afdeling. En over 'the next best thing' moet je natuurlijk niet te kritisch zijn.
Als informatiebeveiliger test ik regelmatig 'software uit een cloud'. Met name een goede scheiding van klantdata bij zakelijke software uit de cloud blijkt een ondergeschoven kindje. Dit geldt vooral voor legacy-pakketten die voorheen altijd op de klantlocatie draaiden en nu snel centraal aangeboden moeten worden om aan een klantvraag te voldoen. Omdat de vraag naar SaaS-diensten uit de cloud toeneemt, haasten veel leveranciers zich om hier een oplossing voor te verzinnen. De makkelijkste oplossing is dan om snel een paar servers in een datacenter neer te zetten, er een 'cloud'-label op te plakken, en klanten uit te nodigen om er gebruik van te maken. Vervolgens wordt vergeten dat er een compleet ander beveiligingsmodel nodig is om meerdere klanten veilig vanuit één cloud te bedienen.
Binnen een multi-customer cloud gaan traditionele beveiligingsconcepten over het algemeen niet meer op. Hierdoor is het resultaat van de audits die ik op dit soort omgevingen uitvoer vaak zo bedroevend dat je vanuit je klantrol eenvoudig bij de data van alle andere klanten kunt. Omdat de impact van een inbraak in zo’n cloud de optelsom van de waarde van alle klantdata is, zijn op dat moment miljoenen persoonsgegevens of administraties van honderden miljoenen feitelijk toegankelijk voor iedereen die voor een klein bedrag toegang tot de cloud wil kopen.
En hier zit ook meteen het grote verschil met het voorbeeld van KPN waar ik in de introductie mee begon. Om connectiviteitspartijen als KPN kun je als klant niet heen, maar consolidatie in een cloud is een keuze. Je bepaalt als bedrijf zelf of de impact van misbruik van beveiligingsfouten in software en infrastructuur beperkt blijft tot het eigen personeel, of zich uitstrekt naar iedereen die voor een paar euro toegang tot het platform aanschaft.
Klein beginnen
Als we de berichten mogen geloven kunnen we niet meer om de cloud heen. De industrie doet ons geloven dat we als we kosten willen besparen en schaalgrootte willen creëren alleen de Cloud nog een oplossing is. Maar het kan verstandig zijn om deze nieuwe hype eerst eens uit te proberen met data met een beperkte vertrouwelijkheid en een niet al te hoge integriteitsclassificatie.
Soms komt de keuze voor SaaS voort uit onvrede over de it-afdeling. De interne ict-afdeling is vaak druk of heeft geen prioriteit voor aandachtspunten die de business op dat moment erg belangrijk vindt. Hoewel business en it-alignment vaak wel plaatsvindt en de basis is voor jaarbudgetteringen, is er op nieuwe initiatieven gedurende het jaar vaak slecht in te spelen (de pot met geld is verdeeld). De business besluit de it-afdeling te passeren omdat er zich een goed alternatief aandient en financiert dit vervolgens uit andere potjes. Software uit de cloud lijkt dan vaak te zorgen voor een goed beheersbare investering. De it lijkt nog steeds goedkoop, omdat het niet uit het centrale budget wordt gefinancierd, maar de feitelijke stijging van it-kosten blijft bestaan.
Maar besparen we op dat moment echt investerings- en exploitatiekosten? Als je een bedrijfsapplicatie zonder veel interfaces in een SaaS-omgeving kunt onderbrengen, is de kans groot dat de leverancier goedkoper kan leveren dan je it-afdeling. De aanschafkosten van een applicatie in de cloud ligt vaak veel lager dan de traditionele 'on-premise' installatie van dezelfde of vergelijkbare software. Veel bedrijven verslikken zich vervolgens echter in de interfaces die nodig zijn om de software te laten integreren met andere bedrijfsapplicaties. 'Zakelijke software uit de cloud' wordt vaak verkocht als eenvoudig en voordelig, maar pas op dat je met alle consultancy uren, het maatwerk aan de interfaces en nieuwe functionaliteit waarbij je als 'launching customer' optreedt niet toch een grotere investering moet doen dan je vooraf had verwacht.
Om de beveiliging bij SaaS uit de cloud enigszins onder controle te krijgen, is het verstandig om al voor de contractering een goed, op SaaS uit de cloud toegespitst, beveiligingskader af te stemmen. Vaak resulteert alleen de discussie over dit kader al in verbeteringen van de dienst omdat er aspecten besproken worden waar de leverancier van de dienst nog niet aan had gedacht. En op het moment dat we als afnemers hier allemaal aandacht voor vragen wordt dat effect natuurlijk nog verder versterkt. Geïnteresseerden in specifieke aandachtspunten nodig ik uit om contact op te nemen. Daarnaast is het belangrijk om tijdens de acceptatietest dit kader mee te nemen in een beveiligingscontrole. Op deze manier heb je meer zekerheid over de beveiliging van je data, voordat je dit naar de cloud van een derde kopieert.
Jurdisch
Naast de feitelijke kwetsbaarheden die in meer dan de helft van de geteste omgevingen wordt aangetroffen, zitten er belangrijke juridische consequenties aan het gebruik van de cloud. De WBP staat het immers niet toe om persoonsgegevens zonder meer te exporteren naar derden landen (landen die niet op de lijst van het CBP staan). Dit geldt voor de plaatsing van data op servers in die landen, maar ook voor beheertoegang vanuit die landen. Als bedrijf weet je vaak niet waar de cloud-servers zich bevinden of waar de beheerders van de cloud zich bevinden. Ik vermoed dat de cloud-ontwikkelingen er momenteel voor zorgen dat veel bedrijven zonder het zich te beseffen in strijd met de privacy wet handelen.
In control blijven
Software uit de cloud wordt te makkelijk gezien als het uitbesteden van je problemen. Gelet op de risico's zou je bijna kunnen stellen dat de cloud alleen geschikt is voor bedrijven met een grote mate van volwassenheid, waardoor ze de impact van de cloud keuzes goed kunnen overzien. Zoek je een nieuwe applicatie en overweeg je de cloud? Beoordeel dan nog eens goed of je als organisatie voor de data in deze specifieke omgeving de extra risico's wilt lopen. En vergeet niet om tevens te beoordelen hoe de software gaat integreren in de rest van de it-omgeving en hoe de data (en indien van toepassing, de processen) waar nodig weer terug naar de eigen organisatie gehaald kan worden.
Maarten Hartsuijker is ethisch hacker en security consultant bij classity en audit voor klanten regelmatig SaaS-oplossingen uit de cloud.
