Hoe Deloitte schade had kunnen beperken met Storro

Ook deze week was het weer raak: dit keer is Deloitte geraakt door cyberaanvallen. Heel vervelend voor Deloitte en hun klanten waarvan de informatie is ingezien. Het toont (wederom) aan dat zelfs een bedrijf als Deloitte niet zonder meer veilig is, ondanks dat het hoogwaardig cybersecurity advies geeft én vijf keer winnaar van de Global CyberLympics Security Challenge was.

Volgens The Guardian was de oorzaak van deze hack dat een ‘administrator account’ geen twee-factor authenticatie aan had staan en men zo op een emailserver kon binnendringen. Met onbegrensde toegang tot alles. Het gaat om niet zomaar een emailserver, maar om de Microsoft Azure cloud service, met daarop emails van en aan 244,000 medewerkers van Deloitte.

Aan de emails waren veel gevoelige bestanden gekoppeld, met bijvoorbeeld architectuurdiagrammen voor bedrijven, gezondheidsinformatie en andere ‘gevoelige veiligheids- en ontwerp details’. Niet alleen van Deloitte, maar ook van haar klanten.

Het lijkt mij dus crisis bij (teams binnen) Deloitte. En die crisis, die zou (ten dele) te voorkomen zijn geweest. Natuurlijk had een tweede-factor authenticatie gescheeld. Maar ook een andere IT-inrichting zou de impact vele malen kleiner hebben gemaakt.

Want waarom moest deze administrator eigenlijk toegang kunnen krijgen tot alle mails van al deze 244,000 medewerkers? Nu komt de bedreiging van buiten. Maar stel dat de administrator zelf rancuneus werd, en kwaad had willen doen? Dit laatste is niet uit de lucht gegrepen; misschien herinner je je de Snowden leaks of Panama Papers wel. De kans dat dit gebeurt is wellicht kleiner omdat Deloitte goed voor z’n mensen zorgt — maar door een ander type architectuur te kiezen zou dit risico in grote mate ondervangen kunnen worden.

Hoe? Door bestanden decentraal op te slaan — op een ‘need to know’ basis, waarbij een administrator geen need to know heeft. Dus niet meer één plek waar alle informatie staat, één plek waar de regenboog eindigt in een pot met goud voor een hacker, maar in plaats daarvan verdeeld in allemaal kleine compartimenten. En met toegang tot bestanden die cryptografisch wordt afgedwongen. Dat klinkt misschien moeilijk, maar is eigenlijk heel simpel. Het betekent dat je zonder de juiste sleutel nergens bij kunt. Toegang is daarmee niet meer iets dat afhangt van of een administrator al-dan-niet een vinkje aanzet. En misschien nog wel het belangrijkste: je kunt samenwerken met mensen binnen en buiten je organisatie — terwijl je in je dagelijks gebruik met groot gemak kunt doorwerken.

Dit is niet enkel een gedachte die we hebben; we zijn met Storro enkele jaren geleden begonnen om de visie van deze nieuwe vorm van samenwerken een realiteit te maken. En dat lukt. Lees eens verder op https://storro.com/nl/tech/. Wil je ons laten weten wat jij ervan denkt?