Het grote probleem met public cloud

Kristall IT, Jean-Luc Van Haelst

Een van de vragen die mensen ons het vaakst stellen is:
"Is het een slecht idee om bedrijfsgegevens op te slaan op Dropbox?"

Of ook:
"
Moet ik mijn bedrijfsgegevens opslaan op particuliere cloud omgevingen zoals Dropbox, Google Drive of Office 365 of andere....?"

Er zijn veel redenen waarom u dergelijke tools niet zou moeten gebruiken voor zakelijke gegevens. Hieronder staan enkele redenen die wij het belangrijkste achten.

Geen controle over de toegang tot uw bestanden

Wanneer u via e-mail een link naar een openbare cloud deelt, kan iedereen die de link ontvangt, het bestand bekijken dat u hebt gedeeld. Als een e-mail met een openbare link naar een van die openbare clouds wordt onderschept of doorgestuurd, hebt u geen controle over wie het bestand kan zien. Met het hulpprogramma Bestandstoegangsbeheer van Nextcloud kunt u ervoor zorgen dat IP-adresreeksen buiten uw bedrijf geen toegang krijgen tot bestanden als u niet wilt dat deze met derden worden gedeeld. De sleutel hier is: beheerders hebben niet langer de controle. In plaats daarvan hebben de werknemers dat wel. Dit is een enorme wettelijke aansprakelijkheid, zelfs als u er volledig op vertrouwt dat uw werknemers uw bedrijfsbeleid altijd zullen respecteren en altijd 100% verantwoordelijk zijn met betrekking tot beveiliging (zoals het kiezen van sterke wachtwoorden, onder andere).

Je weet niet waar je data staat

Of u nu om de privacy van uw gebruikers geeft, of gewoon wilt voldoen aan uw nalevingsvereisten, het is essentieel dat u weet en kunt kiezen waar uw gegevens worden opgeslagen. Dit is bijvoorbeeld uiterst belangrijk in Europa, waar elk bedrijf dat persoonlijke identificeerbare gegevens van burgers hanteert, tegen mei 2018 GDPR-compatibel moet zijn. Boetes voor elk incident kunnen oplopen tot 20 miljoen of 4% van de jaaromzet van een bedrijf.

Een in de VS gevestigd bedrijf zou bijvoorbeeld zijn servers in China kunnen lokaliseren, waar datacenters erg goedkoop zijn en u er niet over kunnen vertellen. Wilt u dat de Chinese overheid toegang heeft tot uw gegevens? Als het gaat om het opslaan van uw gegevens, is het niet voldoende om een bedrijf te vertrouwen op basis van de locatie. De locatie van de servers van dat bedrijf is ook belangrijk, en u moet in dat geval zelf een keuze kunnen maken, omdat overheden in sommige landen toegang hebben tot alle gegevens die op alle servers in het land zijn opgeslagen. 

 In dergelijke gevallen zou u compliance-regels kunnen overtreden zonder dat u zich daarvan bewust bent en een boete krijgen.


Een single point of faillure

En als een van die bedrijven wordt gehackt, zal elke persoon en elk bedrijf dat op hen vertrouwt, de gevolgen moeten opvangen.De meeste bedrijven gebruiken online opslagdiensten van een paar grote bedrijven. Dat betekent dat veel relevante gegevens zijn geconcentreerd op de servers van zeer weinig bedrijven, die 'single points of failure' worden genoemd. Natuurlijk zijn die servers erg aantrekkelijk voor kwaadwillende aanvallers. 

 Zelfs als de beveiligingsteams van dergelijke grote bedrijven zeer competent zijn, zullen ze te maken krijgen met veel meer aanvallen omdat de inhoud van hun servers zo aantrekkelijk is. Wanneer u uw eigen infrastructuur beheert zoals u dat met Nextcloud kunt doen, kunt u de bedrijfsgegevens van zo'n aantrekkelijke server verwijderen en het risico van hacking verminderen: een krachtig voordeel van decentralisatie van gegevens, zoals het internet is ontworpen.

Je zal niet weten wanneer je gehackt bent

Ondanks al je inspanningen om de juiste online opslagoplossing te kiezen, kun je nog steeds worden gehackt. In dat geval is het essentieel dat u zo snel mogelijk op de hoogte bent van de hack, omdat u waarschijnlijk onmiddellijk actie wilt ondernemen om mogelijke schade te kunnen beperken.  En alles kan worden gehackt, of het nu door kwaadwillende acteurs is die kwetsbaarheden in een systeem gebruiken of door middel van zeer eenvoudige phishing-e-mails. 

 Grote bedrijven staan er niet bekend om, dat ze hun klanten na een hack waarschuwen. Ze hopen waarschijnlijk dat de hack onopgemerkt zal blijven, zodat ze het vertrouwen van hun gebruikers kunnen behouden, zoals in het verleden al verschillende keren is gebeurd. De enige manier om ervoor te zorgen dat u op de hoogte bent van elke inval op de server waar u uw bestanden opslaat, is om controle te hebben over uw eigen infrastructuur en te kunnen volgen wat er met uw gegevens gebeurt.

Je zal niet (exact) krijgen wat je nodig hebt

Wat is beter dan een online opslagoplossing die werkt? Een online opslagoplossing die precies werkt zoals u het wilt. 

Open Source-software staat bekend als veel flexibeler dan grote services die zich aan iedereen proberen aan te passen door een oplossing aan te bieden die is toegesneden op niemand in het bijzonder. Met Nextcloud kunt u uw online opslagoplossing personaliseren met toepassingen. Als u de gewenste toepassing niet vindt, kunt u uw eigen toepassing maken. U krijgt eindelijk een systeem dat precies werkt zoals u het wilt en zodat u in staat bent om een ideale workflow voor uw bedrijf te bouwen.

Je zal niet weten wat er met je data gebeurt

 Wanneer u vertrouwt op bedrijfseigen software is het echt moeilijk voor u om precies te weten wat het met uw bestanden doet. U kunt spyware op de computers van uw bedrijf gebruiken of de software die uw gegevens verwerkt kan achterdeurtjes hebben. Stel je voor dat je een kluisje hebt (bijvoorbeeld in de sportschool) en je eigen sleutel krijgt, maar de sportschool heeft een hoofdsleutel die alle kluisjes kan openen. Hetzelfde geldt voor backdoors: het bedrijf dat u vertrouwt met uw gegevens zou een verborgen manier kunnen hebben om toegang te krijgen tot uw privé- of vertrouwelijke bestanden in de software die u gebruikt. 

Dit is natuurlijk niet altijd het geval - er zijn tal van manieren om diensten gratis aan te bieden zonder gebruikersgegevens te verkopen. Het is echter zo dat sommige bedrijven, inclusief openbare clouds, gegevens verkopen en u deze services wellicht wilt vermijden als het gaat om uw gegevens.

Maar zoals we eerder hebben geanalyseerd, zitten typische softwarelicenties vol afschuwelijke clausules, meestal bekroond met gedwongen arbitrage, zodat je niet eens een kans hebt om te vervolgen als de verkoper zich misdraagt. 

 Het is misschien niet eens hun schuld: de recente beveiligingsproblemen met Spectre en Meltdown hebben aangetoond dat de scheiding van klantgegevens over openbare compute clouds zeer gebrekkig is.

Hoewel het erg moeilijk voor je is om te controleren of proprietary software je bespioneert, of er backdoors in zijn ingebouwd of dat de cloudserver waar het op draait echt veilig is; met open source heb je toegang tot alle code en kan je zelf beslissen waar het draait. U kunt die code wellicht niet begrijpen, maar met open source kunnen andere mensen en bedrijven controleren of de code geen backdoors bevat en haar gebruikers waarschuwen als ze iets vinden dat u moet weten.  

Uiteindelijk draait alles om controle

Uiteindelijk gaat het om controle. Bij openbare cloudleveranciers heb je daar niet veel van. Beloften, zeker, zelfs certificeringen. Maar geen garanties. Zelfhosting blijft de meest elegante manier om perfect de controle te houden over uw bedrijfskritieke gegevens en Nextcloud biedt precies wat u nodig hebt!

Delen

Wil jij weten hoe jou data veilig bewaard kan blijven met de Nextcloud oplossing?