Beveiliging biedt kansen voor de hosting sector

Er gaat momenteel geen week voorbij of we lezen dat Nederland een boevenland is op het internet. Of over een nieuw virus, een geslaagde hack of lek. Toch lezen we weinig over het grootste risico; onszelf als gebruiker. We hebben er namelijk, als gebruikers van online diensten, een handje van om gemak te laten prevaleren boven veiligheid. De inbraak bij LinkedIn bracht aan het licht dat het meest gebruikte wachtwoord in de Verenigde Staten ’123456‘ is, gevolgd door ’12345‘, ’password‘ en ’iloveyou.

Eén op de drie gebruikt hetzelfde wachtwoord voor alle sites. Negentig procent van alle wachtwoorden is gemakkelijk te kraken want er zijn veel misvattingen over de complexiteit en kraakbaarheid van W8w00rden. Dat gedrag wordt veroorzaakt door het Dunning-Kruger-effect, een mechanisme dat er voor zorgt dat we de gevolgen van ons eigen gedrag onderschatten en de risico’s van het gedrag van anderen overschatten. Het meest bekende voorbeeld hiervan is te vinden op de weg: bijna alle chauffeurs vinden van zichzelf dat ze bij de beste 25% horen. Het gevoel ’in control‘ te zijn maakt mensen roekeloos.

Serieus
Als hosting- en IaaS-providers nemen we ons aandeel in de informatiebeveiliging serieus. Het aantal incidenten bij datacenters en hosters is dan ook gering. Maar met de beveiliging van datacenters en platforms is maar een klein deel van de informatiebeveiliging geregeld. De keten is zo zwak als de zwakste schakel. De klant van de hoster en de eindgebruikers van een website of dienst hebben ook een aandeel in het uiteindelijke resultaat. En juist daar speelt het eerder genoemde mechanisme ons parten. De angst van de eindgebruiker over wat er mis kan gaan bij een hoster of leverancier is groot, de risico’s van het eigen handelen of nalaten blijft onderbelicht. Het gevolg is dat de klant respectievelijk eindgebruiker zelf onvoldoende maatregelen neemt, en het eindresultaat is een slechte beveiliging van de dienst of site.

Ik heb eerder betoogd dat certificeringen en audits hier te kort schieten. Een ISO-certificaat van een leverancier gaat over een deel van de keten. En niet over de applicatie, de organisatie van de klant, laat staan over de eindgebruiker. Het huidige systeem van certificeringen moeten dus op de schop: een keten is pas veilig als alle delen ervan, bij elke leverancier, en ook de rol van de eindgebruiker is bekeken.

Hele keten
We kunnen nu gaan wachten op de nieuwe ISO’s. Ik vind dat we als hosters ons steentje moeten bijdragen aan het beheersen van risico’s in de hele keten. Door onze klanten voor te lichten en ze explicieter te wijzen op de risico’s die ze lopen bij het niet naleven van richtlijnen. En daar liggen ook kansen voor de sector. Want vroeger of later gaat die voorlichting en toenemende aandacht voor beveiliging zich vertalen in de vraag naar apparatuur, tools en diensten. Providers hebben dan een keuze om die in hun portfolio op te nemen, of dat aan anderen over te laten.

Veilig online werken vereist inzicht in het eigen aandeel in de informatiebeveiliging. De boodschap aan de manager en gebruiker van een website of online applicatie: verbeter uw informatiebeveiliging, en begin bij uzelf.

Foto: geert@cheeseworks.nl


Michiel Steltman is directeur van DHPA en als adviseur werkzaam binnen de cloud- en hostingsector.