Cloud-diensten groeien in volume en populariteit. Niet zo vreemd, want een cloudapplicatie is altijd en overal beschikbaar. Bovendien zijn veel diensten per maand opzegbaar en soms ook goedkoper. Het onlangs verschenen Cloud Report Autumn 2015 van Netskope onderschrijft dit. Het gemiddelde aantal gebruikte cloudapplicaties bij bedrijven is het afgelopen jaar gegroeid met 26 procent naar een totaal van 608 applicaties. Parallel aan de toename van cloudapplicaties, neemt de controle vanuit IT en het management af. Waar bedrijven ook minder grip op hebben is de schaduw-IT; de applicaties die werknemers zonder medeweten van de IT-afdeling gebruiken zoals Facebook, Twitter en Gmail. Het cliché dat vertrouwen goed is, maar controleren beter gaat voor deze ontwikkeling meer dan ooit op.
Het aantal DLP-overtredingen (Data Loss Prevention) in de cloud is nog steeds hoog. In totaal was dit jaar 9,4 procent van alle onderzochte bestanden in officiële cloud-apps in overtreding met een DLP-regel. 94,2 procent van de datalekken vindt plaats in cloudopslagapplicaties; 4,6 procent in webmail. De genoemde 9,4 procent is – dankzij e-discovery, gegevensversleuteling en geïsoleerde werkstromen – weliswaar een daling van 8,5 procent ten opzichte van 2014, maar nog steeds veel te veel. Vooral omdat het vaak gaat om applicaties en data met daarin zeer vertrouwelijke informatie.
Een gezonde app in een gezonde architectuur
De sectoren gezondheidszorg en life sciences gaan van alle sectoren het minst zorgvuldig om met vertrouwelijke informatie die is opgeslagen in datacenters; het gaat dan zowel om actieve als passieve content. Maar liefst 76,2 procent van alle DLP-overtredingen komt op naam van deze twee sectoren. Alarmerend, omdat de brede acceptatie van bijvoorbeeld het Elektronische Patiëntendossier (EPD) maar niet wil lukken. De gezondheidszorg- en life sciences-sectoren staan op de tweede plaats als het gaat om het aantal cloudapplicaties: 1.017 in totaal.
Uit het Netskope-onderzoek blijkt dat content ‘in ruste’ binnen zorgapps in 21,1 procent van de gevallen matcht met een DLP-profiel. De content bevat in die gevallen persoonlijk identificeerbare informatie (PII), betaalkaartinformatie (PCI), beschermde gezondheidsinformatie (PHI), broncode en andere vertrouwelijke informatie. PHI-informatie is alarmerend vaak onderwerp van policyovertredingen, namelijk in 68,5 procent van de gevallen. PHI omvat gevoelige informatie over gezondheidsstatus of gebruik en kosten van gezondheidszorg, die kan worden gelinkt aan specifieke individuen. Persoonsgegevens (personally-identifiable information: PII) zijn in 13,7 procent van de gevallen onderwerp van misbruik.
De IT-sector zou beter moeten weten
Het is niet vreemd dat de technologie- en IT-dienstensector van alle sectoren het hoogste aantal applicaties in gebruik heeft, met een gemiddelde van 1.157 applicaties per bedrijf. Wel is vreemd dat deze sector op de tweede plaats staat als het gaat om het hoogste aantal overtredingen: 14,2 procent. Deze sector zou beter moeten weten. Over het geheel genomen overtreedt 9,4 procent van alle gescande bestanden DLP-regels.
Het wordt tijd dat aanbieders van clouddiensten, directies en IT-afdelingen erkennen dat het belangrijk is om gevoelige data te beschermen volgens de heersende wetgeving. Dit kan alleen door een beter inzicht in hoe en waar bedrijven onvoorzichtig zijn met data en applicaties in de cloud. Maar liefst 89,9 procent van de cloudapps is niet geschikt voor zakelijk gebruik. De reden hiervoor is dat ze belangrijke functies missen, zoals beveiliging en bescherming tegen malware, controle en certificering, service-levelovereenkomsten, compliancy op het gebied van wetgeving, financiën en privacy. Actie is vereist, al is het alleen maar om de reputatie van de cloud te beschermen.
Thomas Kramps, Regional Director Benelux bij Netskope
