6 redenen waarom finance veiliger is in de cloud

29 juni 2020 Banken.nl

Thuiswerken brengt extra risico’s met zich mee, zo waarschuwt de Autoriteit Financiële Markten (AFM) op basis van recent onderzoek onder vijftien financiële ondernemingen in Nederland. De gevaren schuilen met name in het toegenomen externe gebruik van bedrijfsnetwerken die, vooral nu iedereen thuiswerkt, een aantrekkelijk doelwit vormen voor cybercriminelen. De AFM identificeert zes risico’s voor finance-organisaties, die grotendeels zijn te herleiden naar de infrastructuur. Met de juiste infrastructuur zijn deze gevaren voor een groot deel te voorkomen. De cloud vormt inmiddels een niet weg te denken onderdeel van zo’n infrastructuur. Aan het woord hierover is Bart van Praag, General Manager bij Workiva.

1. Het risico op datalekken

De AFM wijst erop dat thuiswerken het risico op datalekken vergroot. Een datalek zit in een klein hoekje: webverkeer buiten een VPN om, een pdf-document dat via onveilige kanalen als bijlage wordt verzonden, een geprint document met vertrouwelijke informatie.

De risico’s kunnen deels ondervangen worden door strikt beleid te handhaven over bijvoorbeeld thuis printen. Maar een cloudoplossing biedt meer geavanceerde (en controleerbare) methodes om datalekken te voorkomen. 

Al het gezamenlijke werk gebeurt namelijk in een beveiligde omgeving, waardoor documenten niet via onbeveiligde kanalen gedeeld hoeven te worden. In die cloudomgeving kunnen organisaties tevens strikte permissies aan individuele gebruikers toekennen, zodat ongeautoriseerde gebruikers geen gevoelige documenten kunnen inzien. Door daarnaast printerautorisatie te regelen – of kritieke secties in documenten geheel te blokkeren voor printen – is het risico op datalekken ineens een stuk minder groot

2. Het risico op onveilige IT-systemen door uitstel van patching

Wanneer kwetsbaarheden worden ontdekt in on-premises software, is het aan het in-house IT-team om patches te downloaden, te testen en te installeren voordat kwaadwillenden het gat in je omgeving vinden en uitbuiten. Doet je IT-team dat niet tijdig, dan laat je als het ware de achterdeur wijd open staan. Cloudoplossingen kennen deze problemen niet: iedere organisatie gebruikt op ieder moment de meest recente versie van de dienst, waardoor je ervan verzekerd bent dat security-problemen worden opgelost zodra ze worden ontdekt.

3. Key person risk

Vooral kleinere ondernemingen zijn vatbaar voor een zogenaamd key person risk. Dat betekent dat de bedrijfsvoering significant verstoord wordt wanneer bepaalde mensen wegvallen, bijvoorbeeld in het geval van ziekte. Hoewel grotere ondernemingen voldoende capaciteit hebben om de bedrijfsvoering draaiende te houden, kunnen kleinere ondernemingen bij het wegvallen van slechts één persoon plotseling zonder IT-ondersteuning komen te zitten.

Dit is een groot probleem wanneer de onderneming draait op een on-premises netwerk. Echter, wanneer een organisatie gebruikmaakt van cloudoplossingen, vermindert men de afhankelijkheid van het eigen personeel. IT-ondersteuning wordt namelijk verzorgd door de cloudleverancier, die over het algemeen groot genoeg is om niet vatbaar te zijn voor key person risk. Hierdoor blijven, zelfs wanneer het eigen IT-personeel wegvalt, de bedrijfskritische processen in stand.

4. Het risico dat de continuïteit en de kwaliteit van externe dienstverleners verandert

Het kan eng zijn om het beheer van finance software uit te besteden aan een externe dienstverlener. Wat als de dienst wegvalt? Wat als ze zelf zo veel last hebben van een crisis dat de dienstverlening vertraagt?

Het onderzoek van de AFM geeft geen indicatie dat de dienstverlening van externe leveranciers onder druk is komen te staan. Wel werd er in sommige gevallen iets trager gereageerd op niet-urgente verzoeken. Ook zijn er voor organisaties weinig redenen om zich zorgen te maken over uptime. 

De beschikbaarheid van de diensten is kritiek voor de bedrijfsvoering van leveranciers. Zij zullen er daarom alles aan doen om ervoor te zorgen dat hun diensten maximaal beschikbaar zijn. Nu is geen enkele dienst perfect. Het kan inderdaad voorkomen dat er storingen optreden. Maar dat geldt voor zowel on-premises systemen als cloudoplossingen. Het is dan ook maar de vraag of een verstoring van enkele uren opweegt tegen het in eigen beheer houden van de gehele digitale infrastructuur.

5. Een verhoogd risico op phishing

Cybercriminelen waren er vanaf de start van de coronacrisis als de kippen bij. Phishing mails werden een stuk vaker dan normaal verstuurd. Via phishing mails wordt getracht om inloggegevens te ontfutselen van onoplettende gebruikers. Er is een aanzienlijke investering nodig in de IT-infrastructuur om hier beveiligd te zijn. 

Het is waar dat cloudoplossingen een aantrekkelijk doelwit vormen, vanwege hun nabijheid tot het ‘open’ internet. Leveranciers weten dat donders goed. Daarom is voor hen security serious business! De beste cloudoplossingen zorgen niet alleen voor geavanceerde inlogbeveiliging zoals tweefactorauthenticatie, maar verzorgen ook hoogwaardige data-encryptie wanneer informatie via het internet wordt verzonden én wanneer deze informatie weer wordt opgeslagen. 

Zij zijn daarnaast zeer strikt in het naleven van veiligheidsstandaarden door middel van compliance-certificeringen zoals SOC 2, gespecialiseerde securityteams en regelmatige veiligheidschecks door onafhankelijke partijen. Dat zijn standaarden van een niveau dat je zelden terugziet in on-premisess software.

6. Een groter risico op DDoS-aanvallen

De gevreesde Distributed Denial of Service-aanval (DDoS): cybercriminelen overrompelen de capaciteit van het netwerk om zo de bedrijfsvoering te ontregelen. Zo kan in één klap het gehele netwerk lamgelegd worden, waardoor niemand zijn werk meer kan doen. DDoS-aanvallen zijn ontzettend frustrerend en ook cloudleveranciers zijn een regelmatig doelwit. 

Het verhoogde risico heeft echter geleid tot de beschikbaarheid van sterke tegenmaatregelen. Goede cloudleveranciers hebben betere standaarden dan veel on-premises systemen: een zeer stevige netwerkarchitectuur met meerdere redundante servers, teams die constant monitoren op ontwikkelingen in cybersecurity en uitgebreide responsstrategieën wanneer een aanval plaatsvindt.

De cloud ontzorgt

De veiligheid staat voorop bij financiële organisatie, of men nu thuiswerkt of op kantoor. Door de zes belangrijkste risico’s voor finance-organisaties op een rijtje te zetten laat de AFM zien dat security altijd prioriteit heeft, ook in onzekere tijden. De keuze voor een cloudleverancier met een rigoureuze focus op security verlaagt de risico’s die thuiswerken met zich meebrengt drastisch. Werken in de cloud betekent veilig werken, onafhankelijk van de locatie, nu en in de toekomst.