EU-veiligheidsagentschap benadrukt cloud computing-risico's

Gebruikers van cloudcomputing worden geconfronteerd met problemen zoals het verlies van controle over gegevens, problemen bij het voldoen aan de wet en bijkomende juridische risico's bij de overgang van een juridisch rechtsgebied naar een ander, op basis van een beoordeling van cloud computing-risico's van het Europees Agentschap voor netwerk- en informatiebeveiliging (ENISA). Het bureau benadrukte dat deze problemen de ernstigste gevolgen hebben en een van de meest waarschijnlijke zijn voor bedrijven die cloud computing-diensten gebruiken, volgens ENISA.

ENISA onderzocht de activa die bedrijven in gevaar brengen wanneer zij zich wenden naar cloud computing, inclusief klantgegevens en hun eigen reputatie; de kwetsbaarheden die bestaan ​​in cloud computing-systemen; de risico's waaraan deze kwetsbaarheden bedrijven blootstellen, en de waarschijnlijkheden dat die risico's zich zullen voordoen.

[Lees meer: ​​Hoe malware van uw Windows-pc te verwijderen]

Wanneer u overstapt op cloud-gebaseerde computerservices, moeten bedrijven overgeven controle over de cloudprovider over een aantal problemen, die de beveiliging negatief kunnen beïnvloeden. In de gebruiksvoorwaarden van de provider zijn bijvoorbeeld mogelijk geen poortscans, kwetsbaarheidsbeoordelingen en penetratietesten toegestaan. Tegelijkertijd kunnen Service Level Agreements (SLA's) deze services niet bevatten. Het resultaat is een hiaat in verdedigingen, zei ENISA in het rapport.

Compliantie kan ook een groot probleem blijken te zijn als de provider niet de juiste certificatieniveaus kan bieden of als het certificatieschema niet is aangepast voor cloudservices., aldus het rapport.

Een van de voordelen van cloudservices is dat gegevens op meerdere locaties kunnen worden opgeslagen, wat de dag kan redden in geval van een incident in een van de datacenters. Het kan echter ook een groot risico zijn als de datacenters zich bevinden in landen met een wankel juridisch systeem, volgens het rapport. Andere aandachtspunten zijn vendor lock-in, falen van mechanismen die verschillende bedrijven scheiden, managementinterfaces. die worden benaderd door hackers, gegevens niet correct worden verwijderd en kwaadwillende insiders.

Om deze risico's te minimaliseren, stelt het rapport een lijst met vragen voor die een bedrijf nodig heeft om potentiële cloudproviders te vragen. Welke garanties biedt de provider bijvoorbeeld dat klantresources volledig geïsoleerd zijn, welk beveiligingseducatieprogramma wordt uitgevoerd voor personeel, welke maatregelen worden genomen om ervoor te zorgen dat serviceniveaus van derden worden gehaald, enzovoort.

Uiteindelijk een goed contract kan de risico's verminderen, aldus het rapport. Bedrijven moeten vooral letten op hun rechten en plichten met betrekking tot gegevensoverdrachten, toegang tot gegevens door wetshandhavingsinstanties en meldingen van inbreuken op de beveiliging, zei het.

Het rapport van ENISA is echter niet allemaal doem en somberheid. Het gebruik van cloud computing-services kan resulteren in een robuustere, schaalbare en kosteneffectieve verdediging tegen bepaalde soorten aanvallen, volgens het rapport. Het vermogen om bronnen dynamisch toe te wijzen kan bijvoorbeeld een betere bescherming bieden tegen DDoS-aanvallen (distributed denial-of-service), aldus ENISA.