Datalekken
Er is momenteel veel aandacht voor de beveiliging van ICT systemen door de komst van de meldplicht van datalekken. In het kort gezegd spreken we van een datalek als persoonsgegevens in handen vallen van derden die geen toegang tot die gegevens zouden mogen hebben. Een datalek is het gevolg van een beveiligingsprobleem. In de meeste gevallen gaat het om uitgelekte computerbestanden, al kan een gestolen geprinte klantenlijst evengoed een datalek vormen. Bedrijven en organisaties die verantwoordelijk worden gehouden voor een datalek, kunnen mogelijk boetes krijgen die oplopen tot € 820.000,-. Het belangrijkste doel van deze meldplicht is dat er meer aandacht is voor de beveiliging van ICT systemen die vertrouwelijke persoonsgegevens bevatten.
Vanuit technisch perspectief worden er door bedrijven die met deze gegevens werken dan ook talloze maatregelen genomen die een maximale beveiliging kunnen garanderen.
Maximale beveiliging
Op 27 maart 2017 verscheen er een artikel op NU.nl met betrekking tot mogelijk gevoelige informatie die gebruikers van Microsofts documentensite.docs.com hadden gedeeld met de rest van de wereld. Door via deze website te zoeken op specifieke trefwoorden kwamen documenten tevoorschijn die in sommige gevallen privé informatie bevatten van gebruikers. Het doel van deze Microsoft dienst is ook dat gebruikers eenvoudig documenten kunnen delen met enkele bekenden of deze openbaar kunnen publiceren. Er is dus geen sprake van een beveiligingslek waarvoor Microsoft verantwoordelijk gehouden kan worden. Het softwarebedrijf geeft op deze site heel nadrukkelijk aan dat de gebruikers zich goed bewust moeten zijn van hetgeen zij delen en met wie dit gedeeld wordt. Het is een Clouddienst die volledig past in de lijn van talloze andere leveranciers die soortgelijke diensten bieden waarmee documenten kunnen worden gedeeld, zoals Google Docs en Dropbox. Daarnaast is de consument ook steeds meer Clouddiensten gaan gebruiken om documenten en foto’s in op te slaan.
Gebruikers van Clouddiensten zijn soms slecht op de hoogte van risico’s
Gegevens die na het ingeven van de juiste trefwoorden bij docs.com te vinden waren bevatten o.a.:
- een medisch verslag wat terug te herleiden is naar desbetreffend persoon
- een Excel bestand met honderden adressen voor het versturen van kerstkaarten
- een verzekeringspolis met NAW gegevens van de verzekeringsnemer ten behoeve van fotoapparatuur
- documenten rondom een echtscheiding welke terug zijn te herleiden naar de personen
De personen die deze persoonlijke documenten delen met de buitenwereld, zijn zich hier waarschijnlijk niet van bewust en er zal ook geen kwade opzet aan ten grondslag liggen. Het ligt het meeste voor de hand dat deze personen per ongeluk de bestanden delen. Dat is eigenlijk des te meer zorgelijker, aangezien het aangeeft dat mensen niet altijd goed weten hoe ze nieuwe Cloud technieken moeten gebruiken. Aangezien iedereen zelf de regie heeft over hetgeen hij of zij deelt met de buitenwereld via Clouddiensten, zullen er ook meer fouten gemaakt worden. Naast het feit dat er dus heel veel door particulieren wordt opgeslagen in de Cloud, neemt de populariteit van zakelijke Clouddiensten ook toe. De belangrijkste aanjager in de zakelijke markt hiervan is Office365 die o.a. met Skype, Exchange, SharePoint en OneDrive for Business een heel scala aan Clouddiensten aanbiedt in één pakket.
Als we ons vervolgens beseffen dat het gebruik van zakelijke Clouddiensten de afgelopen jaren ook sterk is toegenomen, dan ligt het voor de hand dat de kans op gebruikersfouten op het gebied van het delen van bestanden zich ook hier meer zal gaan voordoen. Organisaties en Microsoft partners die implementaties uitvoeren van Office365 doen er vaak alles aan om dit zo veilig mogelijk te doen. Zelf biedt Office365 verschillende mogelijkheden die in een volgend blog aan bod zullen komen. Waar het echter hier om gaat is dat uiteindelijk de gebruiker fouten kan maken met betrekking tot het onbedoeld delen van bestanden zoals in bovengenoemd voorbeeld met docs.com.
Office365 kent ook een koppeling met docs.com
Standaard staat deze functie uit, maar in theorie kan deze optie tijdens een pilot periode bijvoorbeeld eens aan zijn gezet en is daarna vergeten. Het is belangrijk om periodiek de beveiligingsinstellingen van Office365 grondig na te lopen.
Om de specifieke belangstelling te controleren met betrekking tot docs.com dien je te beschikken over administrator rechten in Office365. Via de ‘beheer’ tegel klikt je op ‘services en add-ins’. Daarna zie je aan de rechterkant o.a. het docs.com logo waar je ook weer op kunt klikken. Vervolgens zie je of deze aan of uit staat.
Nederlander is bovengemiddelde Cloud gebruiker
In dit artikel wordt een aantal keren genoemd dat het gebruik van Cloud producten de laatste jaren sterk is toegenomen. De bron van deze bewering is cijfermatig onderbouwd en terug te vinden op de website van het CBS.
Citaat:
“Een derde van de Nederlanders zei in 2015 wel eens bestanden op te slaan in de Cloud. Ons land behoort tot de vijf EU landen met het hoogste Cloud gebruik. Cloud gebruikers maken zich over het algemeen minder zorgen over internetveiligheid”.
Bron: https://www.cbs.nl/nl-nl/nieuws/2016/28/nederlander-bovengemiddelde-cloudgebruiker
Bron naar origineel artikel Nu.nl: http://www.nu.nl/internet/4572306/gevoelige-gegevens-vindbaar-via-zoekfunctie-microsoft-documentensite.html
Twijfel je aan de veiligheid van jouw Office365 omgeving? Wij checken dit graag voor je.