FBI waarschuwt bedrijven voor risico's van cloudcomputing
Er is een toename van het aantal mkb-bedrijven dat voor cloudcomputing kiest, wat naast voordelen ook allerlei risico's met zich meebrengt, zo waarschuwt de FBI. Volgens de Amerikaanse opsporingsdienst moeten bedrijven met twee risico's voornamelijk rekening houden.
Namelijk dat er geen toegang meer tot de in de cloud opgeslagen data kan worden verkregen en dat iemand anders de data steelt. Een ddos-aanval op een cloudprovider kan er bijvoorbeeld voor zorgen dat clouddiensten slecht of niet bereikbaar zijn, maar ook een stroomstoring kan de toegang beperken. Daarnaast kunnen aanvallers via keyloggers en malware de inloggegevens voor de clouddienst stelen en zo toegang tot de gegevens krijgen. Bedrijven die voor een cloudprovider kiezen moeten dan ook verschillende vragen stellen, aldus de FBI.
Zo moet er gekeken worden of de cloudprovider over adequate back-ups beschikt en redundantie heeft aangebracht. Ook moeten cloudproviders voldoende loggen en beschermingsmaatregelen tegen ddos-aanvallen hebben genomen. Een ander punt waarop moet worden gelet is het handhaven van sterke wachtwoorden en het gebruik van tweefactorauthenticatie. Als laatste adviseert de FBI om te kijken naar het gebruik van encryptie door de cloudprovider, zowel tijdens het transport als de opslag. "Je wilt dat legitieme gebruikers de enige zijn die er toegang toe hebben", zo stelt de opsporingsdienst.
Niemand maar dan ook echt niemand sprak over de nadelen.
Hoevelen daar niet met een valse voorlichting het bos in zijn gejaagd...
Je kan dan ook wel concluderen: als alle ICT bedrijven eerlijk waren geweest, hoefde de FBI en wie weet wie nog meer
nu niet te waarschuwen voor de nadelen.
nou ja zeg... dat meen je niet ?!?!
'fool me once, shame on you, fool me twice, shame on me' blijft bij velen wel toepasselijk.
nou ja zeg... dat meen je niet ?!?!
'fool me once, shame on you, fool me twice, shame on me' blijft bij velen wel toepasselijk.
Besef wel dat het hier ging om cloudservices voor bedrijven in de zorg he, die dus zelf meestal van toeten nog blazen weten op ICT-gebied.
Niemand maar dan ook echt niemand sprak over de nadelen.
Hoevelen daar niet met een valse voorlichting het bos in zijn gejaagd...
Je kan dan ook wel concluderen: als alle ICT bedrijven eerlijk waren geweest, hoefde de FBI en wie weet wie nog meer
nu niet te waarschuwen voor de nadelen.
Als je je voorlichting en IT bedrijfsstrategie af laat hangen van sales-georiënteerde beurzen waar het voornamelijk draait om klanten werven en een voet tussen de deur krijgen, dan vraag je ook om problemen.
Alleen als je voldoende kennis en geld hebt om zelf een IT omgeving, inclusief datacentrum cq. serverfaciliteit, kun je verdedigen dat je door kunt werken als je externe link eruit ligt door een DDoS. Alleen als je ervoor zorgt dat je niet vanaf buiten in kunt loggen, kun je stellen dat de kans op een inbraak door een externe aanvaller nihil is.
Peter
Alleen als je voldoende kennis en geld hebt om zelf een IT omgeving, inclusief datacentrum cq. serverfaciliteit, kun je verdedigen dat je door kunt werken als je externe link eruit ligt door een DDoS. Alleen als je ervoor zorgt dat je niet vanaf buiten in kunt loggen, kun je stellen dat de kans op een inbraak door een externe aanvaller nihil is.
Peter
Wat dacht je van gewoon segmenteren en uitwijken naar andere verbindingen?
Alleen als je voldoende kennis en geld hebt om zelf een IT omgeving, inclusief datacentrum cq. serverfaciliteit, kun je verdedigen dat je door kunt werken als je externe link eruit ligt door een DDoS. Alleen als je ervoor zorgt dat je niet vanaf buiten in kunt loggen, kun je stellen dat de kans op een inbraak door een externe aanvaller nihil is.
Peter
- voertuigtechniek van een bepaald merkt te weten als dat niet toevallig hun specialisme is.
- de gangbare elektrische apparaten te weten hoe en waarvoor ze ingezet kunnen worden en of ze veilig zijn.
Er zijn bij die gebieden strikte regelgevingen waar een en ander aan moet voldoen met onafhankelijke instanties.
Het is het hobbyisme en de leverancier zal het wel weten houding die deze volgende stop ophoudt.
Komt hij weer: Er zijn fraaie openbare richtlijnen zoals de ISO27002 BIR-TNK BIG NEN7510 die als open standaarden bij de nora genoemd worden. Deze worden braaf in de aanbestedingsprocedures genoemd (tenderned.nl) en vervolgens vergeten.
Als dat op de kostbare projecten voor de overheid en het zelfde in het bedrijfsleven al zo mis gaat wat kan je dan verwachten voor het MKB. Niets toch.
Tijd voor een professionaliseringsslag in de ICT.
Begin dat niet met segmenteren om te segmenteren want dan is het vrijwel zeker at je faalt (eg VM's Docker).
Je moet segmenteren daar waar om het de klassficatie van de informatie/data gaat
enniewee
bedrijven zullen alles aan je beloven om je in hun cloud te krijgen, dat is waar ze geld mee verdienen. de klant moet niet naief zijn en weten dat het om de centen in zijn zak gaan en eigenlijk aan het eind van de dag niet zo of het verkochte daadwerkelijk wel de juiste optie voor de klant was.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
