Ermetic onderzoek
Ermetic uit de VS heeft IDC verzocht onderzoek te doen naar cloud security. De scope van het onderzoek is de Amerikaanse markt. De meningen van de 300 benaderde CISO’s zijn dus niet per se herkenbaar of bruikbaar. Belangrijk is ook vooraf te weten dat de opdrachtgever een start-up is die iets doet met ID management.
Als uitgangspunt voor het onderzoek geldt de volgende aanname: “Many companies today believe that by relying on the public cloud provider, they can actually achieve better security.“ Vervolgens wordt gekeken waar de impact van het verschijnsel “shared responsibility model”. Dit kan deels verklaren waarom er dan toch zo vaak data vanuit de veilig geachte cloud lekt.
Vier van de vijf kent datalekken
79 procent, of te wel vier van de vijf, respondent geeft aan dat ze de afgelopen anderhalf jaar een of meerdere datalekken hebben meegemaakt. De definitie van datalek is niet helemaal gelijk aan wat wij normaal hanteren. In dit geval gaat het namelijk uitsluitend om data vanuit de cloud. Het verlies van een laptop of USB stick met klantgegevens is buiten beschouwing gebleven.
Ondanks deze beperkte scope staat bij 42 procent van de respondenten de teller zelfs op meer dan 10 cloud datalekken. Waarom deze score zo hoog is lijkt vooral te maken te hebben met het eerder genoemde “shared responsibility model”. Als een IT beheerder van een bedrijf waarneemt dat er sprake is van “excessive permissions” of raadplegingen van data is te snel de aanname dat de cloud provider zal ingrijpen. Die provider heeft natuurlijk een hoop tools om dat mogelijk te maken, maar het is de klant die dat moet activeren en/of accorderen.
Cloud heeft niets opgelost
Inzoomend op die ongezonde situatie blijkt dan twee op de drie CISO’s van mening is dat zijn eigen collega’s over onvoldoende kennis beschikken om de toegang tot de cloud en de data veilig te maken en houden. Het ontbreken van kennis was indertijd de reden de IT processen naar de cloud te brengen. Nu komen ze er regelmatig achter dat daarmee de problemen niet zijn opgelost.
Dat Ermetic deze bevinding aangrijpt om de eigen ID tooling onder de aandacht te brengen spreekt voor zich. Voor de Nederlandse lezer is het beknopte onderzoekje (7 pagina’s tekst) een reminder. Een cloudprovider kan veel, maar niet alles. Afhankelijk van je eigen rol (provider of gebruiker) moet je altijd scherp houden. Cloud kan leiden tot hogere veiligheid, maar dat kan alleen als de data-eigenaar echt weet wie waarvoor verantwoordelijk is. Als er geen duidelijke afspraken zijn en de kennis ontbreekt zijn datalekken onvermijdelijk. En volgens dit onderzoek blijft het dan ook niet bij een lek.
