image

FBI waarschuwt bedrijven voor risico's van cloudcomputing

woensdag 25 oktober 2017, 12:02 door Redactie, 8 reacties

Er is een toename van het aantal mkb-bedrijven dat voor cloudcomputing kiest, wat naast voordelen ook allerlei risico's met zich meebrengt, zo waarschuwt de FBI. Volgens de Amerikaanse opsporingsdienst moeten bedrijven met twee risico's voornamelijk rekening houden.

Namelijk dat er geen toegang meer tot de in de cloud opgeslagen data kan worden verkregen en dat iemand anders de data steelt. Een ddos-aanval op een cloudprovider kan er bijvoorbeeld voor zorgen dat clouddiensten slecht of niet bereikbaar zijn, maar ook een stroomstoring kan de toegang beperken. Daarnaast kunnen aanvallers via keyloggers en malware de inloggegevens voor de clouddienst stelen en zo toegang tot de gegevens krijgen. Bedrijven die voor een cloudprovider kiezen moeten dan ook verschillende vragen stellen, aldus de FBI.

Zo moet er gekeken worden of de cloudprovider over adequate back-ups beschikt en redundantie heeft aangebracht. Ook moeten cloudproviders voldoende loggen en beschermingsmaatregelen tegen ddos-aanvallen hebben genomen. Een ander punt waarop moet worden gelet is het handhaven van sterke wachtwoorden en het gebruik van tweefactorauthenticatie. Als laatste adviseert de FBI om te kijken naar het gebruik van encryptie door de cloudprovider, zowel tijdens het transport als de opslag. "Je wilt dat legitieme gebruikers de enige zijn die er toegang toe hebben", zo stelt de opsporingsdienst.

Reacties (8)
25-10-2017, 18:23 door Anoniem
Eens naar een medische ICT beurs geweest toen cloudopslag net in de mode kwam.
Niemand maar dan ook echt niemand sprak over de nadelen.
Hoevelen daar niet met een valse voorlichting het bos in zijn gejaagd...

Je kan dan ook wel concluderen: als alle ICT bedrijven eerlijk waren geweest, hoefde de FBI en wie weet wie nog meer
nu niet te waarschuwen voor de nadelen.
25-10-2017, 21:32 door Anoniem
"Niemand maar dan ook echt niemand sprak over de nadelen."

nou ja zeg... dat meen je niet ?!?!

'fool me once, shame on you, fool me twice, shame on me' blijft bij velen wel toepasselijk.
25-10-2017, 23:36 door Anoniem
Door Anoniem: "Niemand maar dan ook echt niemand sprak over de nadelen."

nou ja zeg... dat meen je niet ?!?!

'fool me once, shame on you, fool me twice, shame on me' blijft bij velen wel toepasselijk.
Hier niet.

Besef wel dat het hier ging om cloudservices voor bedrijven in de zorg he, die dus zelf meestal van toeten nog blazen weten op ICT-gebied.
26-10-2017, 06:26 door Anoniem
Door Anoniem: Eens naar een medische ICT beurs geweest toen cloudopslag net in de mode kwam.
Niemand maar dan ook echt niemand sprak over de nadelen.
Hoevelen daar niet met een valse voorlichting het bos in zijn gejaagd...

Je kan dan ook wel concluderen: als alle ICT bedrijven eerlijk waren geweest, hoefde de FBI en wie weet wie nog meer
nu niet te waarschuwen voor de nadelen.

Als je je voorlichting en IT bedrijfsstrategie af laat hangen van sales-georiënteerde beurzen waar het voornamelijk draait om klanten werven en een voet tussen de deur krijgen, dan vraag je ook om problemen.
26-10-2017, 10:24 door Anoniem
Het MKB heeft in het algemeen niet de kennis om zelf hun IT op te zetten en te beheren. Ze zullen dat toch uit moeten besteden. Ook dan is het raadzaam om te vragen of de leverende partij de juiste maatregelen heeft genomen. Ook dan is het raadzaam om te werken met tweefactor authenticatie en andere beveiligingsmiddelen.

Alleen als je voldoende kennis en geld hebt om zelf een IT omgeving, inclusief datacentrum cq. serverfaciliteit, kun je verdedigen dat je door kunt werken als je externe link eruit ligt door een DDoS. Alleen als je ervoor zorgt dat je niet vanaf buiten in kunt loggen, kun je stellen dat de kans op een inbraak door een externe aanvaller nihil is.

Peter
27-10-2017, 14:41 door Anoniem
Door Anoniem: ...

Alleen als je voldoende kennis en geld hebt om zelf een IT omgeving, inclusief datacentrum cq. serverfaciliteit, kun je verdedigen dat je door kunt werken als je externe link eruit ligt door een DDoS. Alleen als je ervoor zorgt dat je niet vanaf buiten in kunt loggen, kun je stellen dat de kans op een inbraak door een externe aanvaller nihil is.

Peter

Wat dacht je van gewoon segmenteren en uitwijken naar andere verbindingen?
28-10-2017, 10:48 door karma4 - Bijgewerkt: 28-10-2017, 14:48
Door Anoniem: Het MKB heeft in het algemeen niet de kennis om zelf hun IT op te zetten en te beheren. Ze zullen dat toch uit moeten besteden. Ook dan is het raadzaam om te vragen of de leverende partij de juiste maatregelen heeft genomen. Ook dan is het raadzaam om te werken met tweefactor authenticatie en andere beveiligingsmiddelen.

Alleen als je voldoende kennis en geld hebt om zelf een IT omgeving, inclusief datacentrum cq. serverfaciliteit, kun je verdedigen dat je door kunt werken als je externe link eruit ligt door een DDoS. Alleen als je ervoor zorgt dat je niet vanaf buiten in kunt loggen, kun je stellen dat de kans op een inbraak door een externe aanvaller nihil is.

Peter
Het MKB bedrijf hoeft ook niet alles van:
- voertuigtechniek van een bepaald merkt te weten als dat niet toevallig hun specialisme is.
- de gangbare elektrische apparaten te weten hoe en waarvoor ze ingezet kunnen worden en of ze veilig zijn.
Er zijn bij die gebieden strikte regelgevingen waar een en ander aan moet voldoen met onafhankelijke instanties.

Het is het hobbyisme en de leverancier zal het wel weten houding die deze volgende stop ophoudt.
Komt hij weer: Er zijn fraaie openbare richtlijnen zoals de ISO27002 BIR-TNK BIG NEN7510 die als open standaarden bij de nora genoemd worden. Deze worden braaf in de aanbestedingsprocedures genoemd (tenderned.nl) en vervolgens vergeten.
Als dat op de kostbare projecten voor de overheid en het zelfde in het bedrijfsleven al zo mis gaat wat kan je dan verwachten voor het MKB. Niets toch.

Tijd voor een professionaliseringsslag in de ICT.


Wat dacht je van gewoon segmenteren en uitwijken naar andere verbindingen?
prima voorstel om aan de vereisten te toetsen en naar implementatie te kijken.
Begin dat niet met segmenteren om te segmenteren want dan is het vrijwel zeker at je faalt (eg VM's Docker).
Je moet segmenteren daar waar om het de klassficatie van de informatie/data gaat
28-10-2017, 22:09 door Anoniem
oh jeej de iso dit en iso dat tijger is weer on the prowl! wat lijkt ie toch stoer zo he? alsof die van alles het beste weet... altijd...

enniewee

bedrijven zullen alles aan je beloven om je in hun cloud te krijgen, dat is waar ze geld mee verdienen. de klant moet niet naief zijn en weten dat het om de centen in zijn zak gaan en eigenlijk aan het eind van de dag niet zo of het verkochte daadwerkelijk wel de juiste optie voor de klant was.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.