Netskope rapport over cloud gebruik met goede vragen

Afgelopen dinsdag is er een rapport verschenen van Netskope. Het bedrijf publiceert met enige regelmaat en de PDF’s zijn vrij beschikbaar. Ze zijn ook nog eens goed leesbaar en bevatten voor zowel aanbieders, resellers als gebruikers van cloud diensten praktische informatie.

Dat is ook met de september rapportage het geval. Om de twaalf pagina’s door te bladeren is een paar minuten voldoende. De boodschap die de lezer dan tot zich neemt laten bezinken en de acties die eruit moeten volgen zullen veel meer tijd vergen. Dat is ook nodig, want de Netskope heeft deze keer echt goede vragen gesteld. Daartoe behoren niet de standaard vragen over het aantal cloud applicaties dat een bedrijf afneemt. Dat is de categorie “nice to know”.

Need to Know

Het zijn vragen als “weet de klant wat er met zijn data gebeurt” en “wordt de klant verteld dat het zijn data is” die vanwege de GDPR het label “Need to Know” verdienen. De antwoorden op die vragen zijn dan ook niet echt bemoedigend. 67,1% informeert de klanten niet over de twee zaken, terwijl de GDPR daar echt heel duidelijk over is.

Meer dan 80% van de ge-enquêteerden gaf toe dat de data in rest niet encrypted is (hoezo afdoende beveiligingsniveau?) en 41,9% brengt de data onder in datacenters verspreid over meerdere regionen. Vooral als het gaat om back-ups blijken gebruikers daarmee de mist in te gaan. Conclusie: er is nog een hoop mis. Voor de resellers van cloud diensten en partijen die zorgen voor connectiviteit met clouds zou dat een reden moeten zijn de afnemers te informeren over wat er na mei 2018 echt geregeld moet zijn.

Foute toepassingen

Wat Netskope ook heeft uitgevraagd en uitgezocht is waar het fout gaat met applicaties. Applicaties waarmee gebruikers zonder opzet en vooral zonder kennis datalekken zijn geïnventariseerd. De grootste boosdoener (alles gaat over de werkomgeving!) blijkt webmail te zijn (42,3%), gevolgd door cloud storage (30%). Wat er dan wordt verstuurd terwijl dat niet mag is uiteraard in de meeste gevallen PII (Personally Indentifiable Information, of te wel data te herleiden tot personen). Dat is goed voor 27,8% van de gevallen en een probleem voor wie GDPR compliant wil werken. Opvallend genoeg staat op de derde plaats met 25,4% van de gevallen het lekken source code.

Source code meesturen of op een verkeerde plek zetten is niet direct GDPR gerelateerd, maar wel een zeer onwenselijke situatie. Het zijn dit soort bevindingen die er voor zorgen dat de Netskope rapportages doorbladeren iets is dat we iedereen in de sector kunnen aanraden.

Over Redactie ISP Today

ISP Today is het Nederlandstalige platform voor de Internet Service Providers in Nederland. We presenteren nieuws van redactionele kwaliteit met relevantie voor de Nederlandse ISP community. Internet Service Providers en met name de mensen daarachter staan centraal op ISP Today.