Data beveiliging van Cloud DMS

Gegevensbescherming en de Cloud - een combinatie die voor velen nog steeds zeer problematisch is. En niet zonder reden: volgens het Check Point Security Report 2019 heeft bijna een op de vijf bedrijven vorig jaar een incident omtrent Cloudbeveiliging meegemaakt. Maar wie is de oorzaak van de incidenten en wat zijn de grootste beveiligingslekken?

IT-experts beschouwen de verkeerde configuratie van Cloudplatforms, wat leidt tot gegevensverlies of datalekken, als de grootste bedreiging. In het volgende zal de verkeerde configuratie van Cloudplatforms - die volgens het rapport de meest voorkomende oorzaak van schendingen van gegevensbescherming zijn - worden besproken.

Misconfiguratie als risicofactor

Kortom, het is veel moeilijker om complexe, onderling verbonden Cloudstructuren te beveiligen. Fysieke, lokale servers, zoals die in een intern datacenter bij het gebruik van lokale DMS-software, hebben veel minder flexibele of "bewegende" onderdelen die voortdurend kunnen worden aangepast aan de respectieve zakelijke behoeften. Adequate back-up van "conventionele" DMS-software is daarom veel eenvoudiger dan die van een complexe Cloud-oplossing, die in sommige gevallen bestaat uit vele, voortdurend wisselende onderdelen, die allemaal te allen tijde naar behoren moeten worden beschermd.

Verhoogd risico met DMS-software

De openbare Cloud vormt een extra beveiligingsrisico, aangezien deze vanaf alle computers - overal ter wereld - kan worden gekozen, mits ze het wachtwoord hebben. Daarom geldt dit ook voor alle DMS-systemen die leveranciers beschikbaar stellen via de openbare Cloud. Als de leverancier geen verdere beveiligingsmaatregelen heeft genomen, ligt de beslissing bij het bedrijf: is DMS-software van de openbare Cloud verantwoordelijk? Zo ja, welke maatregelen moeten intern worden genomen om uw eigen gegevens extra te beveiligen? En hoeveel zijn de bijbehorende middelenuitgaven?

DMS-softwarebeveiliging: verantwoordelijkheid voor Cloudleveranciers?

Het 'gedeelde verantwoordelijkheid'-model geeft Cloudleveranciers de leiding. Het bepaalt dat de aanbieder zelf zijn infrastructuur regelmatig bijwerkt en ervoor zorgt dat er geen beveiligingslekken zijn. Aan de andere kant zijn gebruikers verantwoordelijk voor het extra beschermen van hun eigen gegevens.
Sommige IT-experts, die deel uitmaken van het Check Point Security Report 2019, ondersteunen dit model. "30 procent van de ondervraagde IT-experts is ook van mening dat beveiliging de verantwoordelijkheid is van de Cloudserviceleverancier: Cloudbeveiliging moet het wederzijdse vertrouwen tussen de Cloudleverancier en klanten bevorderen en de verantwoordelijkheid eerlijk delen".

In theorie klinkt dit als een plausibel voorstel voor een toekomstig model dat de belangen van alle betrokkenen behartigt. In de praktijk is de juridische situatie volgens de AVG echter duidelijk: het is de verantwoordelijkheid van het bedrijf om zichzelf te informeren over de toepasselijke voorzorgsmaatregelen voor gegevensbescherming van de respectieve Cloudaanbieder en ervoor te zorgen dat deze niet in strijd zijn met de Europese richtlijnen voor gegevensbescherming. Dit is met name problematisch voor leveranciers in het buitenland.

Amerikaanse Cloud leverancier en gegevensbescherming

Een van de grootste problemen van een Cloud DMS-systeem is de Amerikaanse dominantie op het gebied van Cloud-oplossingen. Grote Amerikaanse bedrijven zoals Google, Amazon en Microsoft zijn duidelijk marktleider voor Cloud gebaseerde DMS-oplossingen. Veel Europese bedrijven gebruiken daarom gevestigde oplossingen van Amerikaanse leveranciers bij het kiezen van een geschikte leverancier. Maar wat betekent dit voor de gegevensbescherming van Europese gebruikers?

De relevantie van de Cloud-act voor DMS-systemen

Amerikaanse bedrijven zijn onderworpen aan Amerikaanse wetgeving. Een deel van de wet die op Amerikaanse bedrijven van toepassing is, is de zogenaamde Cloud Act. "Cloud" staat voor Clarifying Legal Overseas Use of Data. Deze wet verplicht alle Amerikaanse IT- en softwareleveranciers (inclusief Cloud leveranciers) om alle gegevens die door hun datacenters worden beheerd op verzoek van de autoriteiten openbaar te maken. Dit geldt ook voor datacenters van Amerikaanse bedrijven die zich buiten de Verenigde Staten bevinden, zoals in de Europese Unie. Voor Europese bedrijven betekent dit in detail dat alle documenten die ze verwerken met behulp van een Cloud DMS-systeem van een Amerikaanse leverancier ook in handen van Amerikaanse autoriteiten kunnen vallen.

De achtergrond van de Cloud Act is dat wetshandhaving in de Verenigde Staten wordt vergemakkelijkt. Cruciaal voor de wet was een vereiste van de kant van de autoriteiten om Microsoft te vragen om gegevens in een Microsoft-datacenter in Ierland toegankelijk te maken voor wetshandhavingsdoeleinden.
Uiteindelijk is het waarschijnlijk aan de Amerikaanse rechtbanken om te beslissen of toegang tot bepaalde gegevens echt noodzakelijk is. Deze onzekerheid creëert onzekerheid voor veel Europese bedrijven. In hoeverre kan een bedrijf de bescherming van gevoelige gegevens garanderen als de Cloud, waarmee het DMS-systeem wordt beheerd, in dienst is van een Amerikaans bedrijf?

GAIA-X: Gegevensbescherming in het DMS-systeem

Om economische onafhankelijkheid te creëren en tegelijkertijd betere controle te krijgen over de naleving van de AVG bij het gebruik van Cloud-gebaseerde DMS-systemen, werd het concept GAIA-X gepresenteerd in het najaar van 2019. Het is gebaseerd op het idee van een Europese Cloudoplossing. Als Europese bedrijven naast de aanbiedingen van Amerikaanse leveranciers ook een Europese Cloudoplossing zouden kunnen gebruiken, zouden wetten zoals de Cloud Act die van toepassing zijn op buitenlandse leveranciers minder relevant zijn. Naleving van de Europese richtlijnen voor gegevensbescherming zou daarom veel eenvoudiger zijn.

Zelfs als dit concept in theorie veelbelovend klinkt, zijn er in de praktijk nog steeds enkele problemen. In de eerste plaats is GAIA-X nog steeds een droom van de toekomst. Het is dus onzeker wanneer een zekere onafhankelijkheid van Amerikaanse bedrijven kan worden gecreëerd. Bovendien bekritiseren experts dat Amerikaanse Cloudleveranciers een moeilijke technische voorsprong hebben. Het is dus duidelijk dat het enige tijd zal duren voordat DMS-systemen uit de Europese Cloud een echt alternatief zijn.

Andere risicofactoren van Cloud-gebaseerde DMS-systemen

Naast de onjuiste configuratie bevat het Check Point Security Report 2019 ook beveiligingslekken zoals de mogelijkheid van ongeautoriseerde toegang tot Cloudresources, onveilige interfaces en het kapen van accounts of dataverkeer (zie.security-insider.de).
Er zijn verschillende manieren om deze beveiligingslekken te verhelpen. Pseudonimisering, codering of multi-factor authenticatie zijn slechts enkele van de maatregelen die bedrijven kunnen nemen om de beveiliging van hun gegevens binnen het DMS-systeem te waarborgen. 
Er moet echter worden opgemerkt dat al deze maatregelen extra middelen vereisen. Dus als er al een functioneel lokaal DMS wordt gebruikt, blijft het twijfelachtig in welke gevallen de overstap naar een Cloudoplossing echt de moeite waard is.