Taken kan je outsourcen, verantwoordelijkheid niet!

  1. 27 okt 2014
  2. 0 reacties
Wim van Campen 3

Medio oktober maakte het NCSC bekend dat ook 5.600 Nederlandse sites het slachtoffer zijn geworden van wat wel ’de grootste hack ooit’ wordt genoemd. Het betreft de ontdekking van een grootschalige diefstal van 1,2 miljard gebruikersgegevens wereldwijd, die in de zomer van 2014 werd bekendgemaakt door het Amerikaanse beveiligingsbedrijf Hold Security. Het NCSC heeft van Hold Security een lijst ontvangen waarop de 5.600 Nederlandse sites worden genoemd, van een totaal aantal van 420.000 sites wereldwijd (s weg). Daarnaast zouden mogelijk 1,3 miljoen Nederlandse e-mailadressen en logingegevens op de lijst voorkomen.

Van dit soort getallen schrik ik behoorlijk. Het duwt ons maar weer eens met onze neus op het feit dat we leven in een wereld waarin cybercriminaliteit en diefstal van identiteitsgegevens aan de orde van de dag zijn, ook in ons land. Maar wat mij vooral verbaast aan deze onthulling, is het grote aantal webservers in Nederland dat – volgens de informatie van Hold Security althans – zou zijn gehacked. 5.600 is echt een groot aantal Nederlandse servers en dat betekent dus dat op de een of andere manier de beveiliging van deze servers niet op orde was.

Gevolgen

We weten op dit moment nog niet wat er precies is gebeurd of hoe de hackers te werk zijn gegaan, maar dit is toch weer het zoveelste incident op rij in de afgelopen maanden. Een dergelijk ‘incident’ heeft nogal wat gevolgen, niet alleen voor de gebruikers waarvan de gegevens zijn buitgemaakt, maar zeker ook voor de bedrijven en organisaties die deze servers gebruiken. Veel organisaties draaien hun webservers en -services bij externe hostingpartijen. Als het daarbij gaat om een Infrastructure as a Servive (IaaS) -diensten, zijn bedrijven zelf verantwoordelijk voor de server, toepassingen en data die daarop draaien. Maar bij web- en applicatiehosting vertrouwen klanten er vaak als vanzelfsprekend op dat de hostingproviders er voor zorgen dat hun systemen beveiligd zijn.

Wat kun je als klant hier nu aan doen? Hoe kan je er van op aan dat je hostingpartner zijn zaken ook beveiligingstechnisch goed op orde hebt? Voor wat betreft prestaties en uptime is het allang heel gewoon dat er SLAs worden opgesteld waar je als klant het bedrijf aan kan houden. Worden de afgesproken prestatieniveaus of beschikbaarheid niet gehaald, zijn er consequenties voor de aanbieder. Bijvoorbeeld een schadevergoeding of korting. Dus heeft de aanbieder er belang bij dat de afspraken worden nageleefd.  Maar op het gebied van security is dat nog niet echt gebruikelijk, want hoe kan je ‘security’ eenduidig kwantificeren? Moeten hosters verantwoordelijk worden gesteld voor iedere hack? Misschien, maar je houdt toch altijd gevallen waarbij een hostingprovider er alles aan heeft gedaan om zijn servers en sites te beveiligen, dat deze toch kwetsbaar blijken te zijn voor tot een dan toe onbekend lek.

Maak goede afspraken

Toch zijn er wel degelijk stappen die een organisatie kan nemen om er voor te zorgen dat zijn gegevens optimaal worden beveiligd, ook bij websites die draaien bij een externe hostingpartner. Het belangrijkste is dat organisaties zich realiseren dat taken – zoals websites en webtoepassingen – heel makkelijk uit te besteden zijn, maar dat de verantwoordelijkheid toch altijd bij het bedrijf zelf blijft liggen. Daarmee bedoel ik dat het bedrijf de eigenaar van de gegevens is en daarmee de verantwoordelijkheid heeft om zich ervan te verzekeren dat hostingpartners er alles aan doen om de beveiliging van hun systemen op peil te houden. Bij veel bedrijven zie je dat IT te complex voor ze wordt en dat ze het liefst alles outsourcen aan een deskundige partner. Maar er wordt nog te makkelijk vanuit gegaan dat die partner de beveiliging wel op orde zal hebben. Maar hoe weet je dat? Kan die partner dat aantonen? Zijn er audits die aangeven hoe vaak beveiligingspatches worden geïnstalleerd? Vinden er regelmatig beveiligingsaudits plaats? Worden gebruikersnamen en wachtwoorden wel (goed) versleuteld opgeslagen? Er zijn tal van securityzaken waarover je je als klant goed zou moeten informeren voordat je kiest voor een partner. En vervolgens moeten specifiek voor security hele goede SLAs worden afgesloten, zodat je als klant ook weet dat die hostingpartner echt achter zijn maatregelen, procedures en beleid staat.

Informatiebeveiliging is en blijft een zaak die ons allemaal aangaat. Als je weet welke gegevens je hebt en hoe sterk die beveiligd moet worden, kan je daar de verantwoordelijkheid voor nemen en goede afspraken over maken. Op die manier kan een volgende hackpoging misschien tegengehouden worden of kan er in ieder geval voor worden gezorgd dat er geen gevoelige gegevens worden buitgemaakt.

Wim van Campen, vice president Noord- en Oost-Europa bij McAfee, onderdeel van Intel Security