Van bezemkast naar datacenter: waarom je bedrijfsgegevens óók fysiek moet veiligstellen

Klantgegevens, winst- en verliesrekeningen, balansen, socialemedia-interacties, licenties en arbeidscontracten: in iedere organisatie circuleert een ongelofelijke hoeveelheid data. En die blijft maar groeien. Uit onderzoek blijkt dat de hoeveelheid data van een gemiddelde organisatie wereldwijd in de afgelopen 18 maanden met 42% is toegenomen. We kunnen inmiddels dus spreken van een exponentiële groei van big data.

Terwijl grote bedrijven hun data vaak opslaan in eigen datacenters ligt dat voor midden- en kleinbedrijven net even anders. ‘Daar zit de IT-afdeling vaak letterlijk in de bezemkast’, zegt Erwin uit de Bos, Senior Solutions Architect bij Digital Realty. ‘En staan computers en servers te draaien, maar is er weinig expertise in huis om ervoor te zorgen dat alles ook daadwerkelijk blijft draaien én goed beschermd is.’

Mkb’ers nog niet klaar voor datagroei

In de praktijk blijken mkb’ers nog niet klaar te zijn voor de datarevolutie. Volgens het CBS is slechts één procent ‘écht klaar’ voor Big Data. Het CBS onderzocht de ‘magische combinatie’ waaraan een bedrijf moet voldoen om in het tijdperk van big data te kunnen werken: het moet financieel gezond zijn, innovatief zijn, online activiteiten vertonen én recent in een transitieproces hebben gezeten.

‘Bijna 60% van de kleine en middelgrote bedrijven doet het financieel goed’, zo stellen CBS-onderzoekers. ‘Slechts 1% is echt vernieuwend, 6% is in verandering en 8% is actief op internet. Maar minder dan 1% van deze bedrijven combineert ten minste drie van deze kenmerken, wat betekent dat ze klaar zouden zijn voor big data. Hoe groter het bedrijf, hoe waarschijnlijker dit is. Bij eenmansbedrijven is het 0%, maar bij middelgrote bedrijven met 50 tot 250 werknemers is het 8%.’

Onbewust van hoeveelheid data

Waar meer data aanwezig is, kan ook meer data gestolen worden. ‘Bij de meeste organisaties vliegen de terabytes je al gauw om de oren’, zegt Uit de Bos. ‘Niet al die data is natuurlijk even belangrijk. Informatie over het lunchmenu is voor een hacker minder interessant dan de financiële gegevens van klanten. Maar je moet je als organisatie écht bewust zijn van alle data die je creëert. En álles wat is aangesloten op je netwerk, kan een potentieel ingangspunt zijn voor cybercriminelen.’

Terwijl smart devices niet alleen voor de verlichting thuis zorgen, zijn steeds meer apparaten verbonden met het internet. Dat zorgt voor de nodige markante hackverhalen. ‘Recent hadden we een voorbeeld van een bedrijf dat gehackt was via een lamp die was aangesloten op de WiFi. Nieuwe koelkasten hebben ook een IP-adres en kunnen dus gehackt worden.’

Belang van fysieke locatie

Binnen die discussie over databeveiliging blijft één element onderbelicht. ‘Als het over cybersecurity gaat, dan hoor je vrijwel nooit iets over het fysieke aspect’, vertelt Uit de Bos. ‘Het gaat over firewalls, over hackers, over wachtwoorden, maar zelden over de fysieke locaties waar de data wordt opgeslagen én beveiligd.’

Dat is dan ook precies waar Digital Realty in specialiseert. Het bedrijf bouwt onroerend goed. Specifiek: datacenters, die fungeren als cruciale knooppunten voor organisaties om hun IT-infrastructuur te huisvesten. ‘Wij faciliteren op grote schaal het fysieke aspect van databeveiliging op meer dan 300 locaties verspreid over 30 landen. Wij zorgen voor een state-of-the-art datacenter, met 24-7 security, goede beveiliging, toegangscontrolesystemen en camerasystemen.’

Encryptiesleutels als achilleshiel

Uit de Bos wijst op het belang van bewustzijn rond verschillende soorten data in een bedrijf. Hij benoemt encryptiesleutels als een voorbeeld van gegevens waar bedrijven mogelijk niet volledig van op de hoogte zijn. ‘Als deze sleutels worden gehackt, kunnen alle gegevens die ermee zijn versleuteld, worden blootgesteld. Denk daarbij aan klant- of persoonsgegevens en orderdata. Uiteindelijk ben je als organisatie, hoe groot of klein je ook bent, verantwoordelijk voor die sleutels.’

‘Daarnaast is er een nieuwe wetgeving op komst’, voegt Uit de Bos toe. ‘NIS2 is een nieuwe Europese wet voor cybersecurity die strengere regels invoert voor organisaties in belangrijke sectoren. Het doel is om de beveiliging van netwerk- en informatiesystemen te verbeteren. De wet vereist melding van incidenten binnen 24 uur en dat organisaties zelf risicoanalyses uitvoeren en passende maatregelen nemen.’

Tip 1: Vertrouwen in een betrouwbare partner

Dat zal voor veel mkb’ers een lastige taak worden, ziet Uit de Bos. ‘De meeste kleinere of middelgrote bedrijven hebben simpelweg vaak niet de expertise in huis hebben om zelfstandig cybersecurity te beheren. Ze zijn te klein en het is een te complex vraagstuk om op een economisch haalbare schaal uit te voeren. Het vertrouwen in je leveranciers is daarom ontzettend belangrijk, vergelijkbaar met het kiezen van een automerk bij leasen: die bouw je ook niet zelf. De partner moet wel in heldere taal kunnen uitleggen hoe ze de beveiliging aanpakken. Zorg ervoor dat je een partner vindt die het je kan uitleggen hoe die jouw beveiliging regelt.’

Tip 2. Verspreid je beveiliging niet over één provider

Wanneer je een scala encryption keys en belangrijke bedrijfsgegevens opslaat, doe dat dan niet bij één provider, zegt Uit de Bos. ‘Zorg ervoor dat encryption keys niet op één plek staan. Een goede partner moet dit duidelijk uitleggen. Kies voor het zero-trust principe en begrijp de exit- en herstelstrategie in het geval van een hack.’

Tip 3: Laat je hacken en test je herstelstrategie

Een back-up maken van alle bedrijfsgegevens is vaak in een handomdraai gedaan. Maar wat is dan de vervolgstap? ‘Een back-up maken is slechts het begin. Test je herstelstrategie alsof je gehackt bent’, adviseert Uit de Bos. ‘Voer penetratietests uit om de kwetsbaarheden van je organisatie te identificeren. Huur iemand in die controleert of jouw organisatie eenvoudig te hacken is. Je moet niet paranoïde zijn, maar je moet wel op de hoogte zijn.’

Tip 4: Denk aan de uitvaltijd

Eén component is voor mkb’ers vaak een killer, ziet Uit de Bos. ‘Uitvaltijd treft elk bedrijf dat afhankelijk is van online verkoop, omdat klanten dan geen producten en diensten kunnen kopen, wat uiteindelijk leidt tot verlies van inkomsten. In een extreem scenario kan de uitvaltijd zelfs zorgen voor een verlies van klanten, iets waar 37% van mkb’ers mee te maken kreeg.’

Zijn advies is dan ook om verschillende technologieën van diverse leveranciers te gebruiken. ‘Je moet bij iedere partner nagaan of er een getest plan ligt om je snel weer operationeel te krijgen. Overleef je bijvoorbeeld twee weken zonder bepaalde ordersystemen? Dat is een afweging die je moet maken.’

Tip 5: Vergeet je fysieke beveiliging niet

Ten slotte: onderschat de waarde van fysieke beveiliging niet, aldus Uit de Bos. ‘Natuurlijk is het voor hackers makkelijker om elektronisch toe te slaan dan fysiek een organisatie binnen te dringen. Maar wanneer je als organisatie groeit, en je data nog steeds in een set containers hebt staan, moet je je afvragen of dat de veiligste manier is.’

Dat vertaalt zich verder naar bedrijven die de nodige vertrouwelijke documenten fysiek uitprinten. Uit onderzoek blijkt dat werkend Nederland nog altijd veel papier gebruikt: een gemiddelde van 11,3 bladzijdes per persoon, per dag. ‘Een ontevreden werknemer die fysiek data steelt of afgeperst wordt om documenten te stelen: het zijn helaas nog steeds legitieme scenario’s’, zegt Uit de Bos. ‘Een datacenter maakt dat fysiek natuurlijk vele malen lastiger dan de eigen bezemkast.’