Met de opkomst van supersnelle dataverbindingen is het steeds populairder geworden: je kantoorautomatisering volledig uitbesteden aan een IT dienstverlener. Via Citrix of Microsoft Terminal Server krijg je een opstap aangeboden in een rekencentrum. Samen met vele andere gebruikers maak je via zo’n opstapserver gebruik van je e-mail, office en je bedrijfsapplicaties. “Ontzorgen” wordt het ook wel genoemd. Maar hoe ver gaat dat ontzorgen eigenlijk? En krijg je voor functionele ontzorging geen beveiligingszorgen terug?

Daar waar IT dienstverleners er voor kiezen om meerdere klanten gebruik te laten maken van hetzelfde domein en/of hetzelfde netwerk, zien we zonder uitzondering dat klanten via een aantal slimme trucs elkaars data kunnen benaderen. Deze dienstverlening wordt vaak verkocht als SAAS of Cloud dienstverlening, maar is in wezen technisch niet anders dan een traditionele bedrijfsomgeving. Daar waar we vroeger in onze bedrijfsomgevingen onze kwetsbaarheden vooral met onszelf deelden, delen we ze in dit soort Cloud / SAAS gelabelde diensten over het algemeen met alle andere klanten.

Veelal hoef je als klant van zo’n “SAAS” dienst nauwelijks moeite te doen om data van andere klanten te benaderen. Net als vroeger binnen onze eigen IT omgeving kent ook de gedeelde omgeving vaak open shares, gedeelde print queues of vrij toegankelijk “temp” directories. En hoewel de omgeving met een firewall van de boze buitenwereld is afgeschermd, delen we met tientallen andere klanten de sleutels van deze voordeur. Toegang tot de infrastructuur is gewoon te koop.

Omdat we bedrijfsapplicaties hebben die niet zonder administrator rechten werken, verstrekt de leverancier ons (en andere klanten) de mogelijkheid om zelf technisch applicatiebeheer op onze servers uit te kunnen voeren. De rechten die we hiervoor krijgen geeft ons toegang tot geheugenregisters waarin ook gegevens staan waarmee we op andere servers kunnen kijken (een cadeautje dat we van Microsoft standaard met onze Windows domeinen meegeleverd krijgen). En zo kan elke klant met administrator rechten eenvoudig rondkijken op de servers van de andere “Cloud” klanten.

Uiteraard geldt dit niet voor alle diensten die als Cloud of SAAS verkocht worden. Maar uit onderzoeken blijkt dat bijna alle op basis van Windows of Citrix Terminal Server afgenomen (externe) IT met vergelijkbare tekortkomingen te maken hebben. Tekortkomingen die ertoe leiden dat je als afnemer niet alleen bij de data van anderen kunt, maar dat de andere afnemers van de IT leverancier ook bij jouw data kunnen.

Overweeg je je IT uit te besteden? Maak goede inhoudelijke afspraken met je leverancier over de beveiligingskwaliteit, inclusief een “right to audit”. Ben je al overgestapt? Controleer of de gemaakte afspraken worden nagekomen of voer een algemene kwetsbaarhedenscan uit.