Met de opkomst van supersnelle dataverbindingen is het steeds populairder geworden: kantoorautomatisering volledig uitbesteden aan een IT-dienstverlener. Via Citrix of Microsoft Terminal Server krijg je een opstap aangeboden in een rekencentrum. Samen met vele andere gebruikers maak je via zo’n opstapserver gebruik van e-mail, office en bedrijfsapplicaties. “Ontzorgen” wordt het ook wel genoemd. Maar hoe ver gaat dat ontzorgen eigenlijk?
Gedeelde omgeving, gedeelde risico’s
Daar waar IT-dienstverleners ervoor kiezen meerdere klanten gebruik te laten maken van hetzelfde domein en/of hetzelfde netwerk, zien we zonder uitzondering dat klanten via een aantal slimme trucs elkaars data kunnen benaderen. Deze dienstverlening wordt vaak verkocht als SAAS of Cloud, maar is technisch niet anders dan een traditionele bedrijfsomgeving.
Waar we vroeger in onze eigen bedrijfsomgeving onze kwetsbaarheden alleen met onszelf deelden, delen we ze in dit soort ‘Cloud/SAAS’-gelabelde diensten over het algemeen met alle andere klanten.
Concreet: wat gaat er mis?
Veelal hoef je als klant nauwelijks moeite te doen om data van andere klanten te benaderen. Net als vroeger binnen de eigen IT-omgeving kent ook de gedeelde omgeving open shares, gedeelde print queues of vrij toegankelijke ‘temp’-directories.
Omdat bedrijfsapplicaties vaak administrator-rechten vereisen, verstrekt de leverancier zijn klanten de mogelijkheid om technisch applicatiebeheer uit te voeren. Die rechten geven toegang tot geheugenregisters waarin ook gegevens staan waarmee je op andere servers kunt kijken — een bekende eigenschap van Windows-domeinen. Zo kan elke klant met administrator-rechten eenvoudig rondkijken op de servers van de andere ‘Cloud’-klanten.
Wat kunt u doen?
Uiteraard geldt dit niet voor alle diensten die als Cloud of SAAS worden verkocht. Maar onderzoek wijst uit dat bijna alle op basis van Windows of Citrix Terminal Server afgenomen externe IT met vergelijkbare tekortkomingen te maken heeft.
Overweegt u uw IT uit te besteden? Maak goede inhoudelijke afspraken met uw leverancier over de beveiligingskwaliteit, inclusief een ‘right to audit’. Bent u al overgestapt? Controleer of de gemaakte afspraken worden nagekomen, of voer een algemene kwetsbaarhedenscan uit.