Microsoft is op dit moment de koploper op het gebied van Business Intelligence en Data Analytics, zo blijkt ook uit de meest recente Gartner Magic Quadrant. Steeds meer bedrijven maken er gebruik van en daarom wordt de bewustwording rondom beveiliging en continuïteit steeds belangrijker.
Enige tijd geleden hebben wij een opdracht afgerond op het gebied van security omtrent Power BI. Uit de bevindingen blijkt dat ook in het gebruik van Power BI diverse security risico’s schuil gaan waar mensen en organisaties gemakkelijk overheen kijken. Het is natuurlijk niet mogelijk dat iedereen zomaar bij uw data kan komen wanneer u Power BI gebruikt. Toch zijn er nog security risico’s aanwezig die niet meteen worden herkend. Onterecht wordt aangenomen dat SaaS oplossingen die door (grote of bekende) partijen aangeboden worden per definitie veilig zijn.
Dat betekent niet dat de leverancier hierin tekort schiet, maar eerder dat de gebruikersorganisaties zich niet bewust zijn van hun eigen verantwoordelijkheden. Het is toch immers uitbesteed. Terug naar het voorbeeld van Power BI. Gelukkig doet Microsoft er zelf alles aan om risico’s op het gebied security en privacy te beheersen. Tegelijkertijd geeft Microsoft ook aan dat klanten zelf verantwoordelijk zijn voor bepaalde aspecten in de beheersing. Bijvoorbeeld in de SOC 2 verklaringen die Microsoft publiceert met betrekking tot de beheersmaatregelen die Microsoft heeft ingericht omtrent bijvoorbeeld security en privacy. Aan het einde van dit rapport geeft Microsoft een drie pagina tellend overzicht van de verantwoordelijkheden die u als klant heeft. Omdat het om een beschermd rapport gaat, dat alleen bedoeld is voor klanten die de Microsoft producten gebruiken, kunt u verdere details hier vinden. Blazen wij de risico’s op? Gaat het alleen om theoretische risico’s? Omdat u dit het beste zelf bepaalt geven wij graag twee minder bekende voorbeelden die wij tegen zijn gekomen in ons recente onderzoek.
Het risico van custom visuals in Power BI
Een van de mooie functionaliteiten van Power BI is dat een gebruiker custom visuals vanuit de marketplace kan gebruiken die door anderen zijn gebouwd. Wat gebeurt er echter wanneer een medewerker besluit om buiten de standaard visualisatie een custom visual te gebruiken voor HR data? Bent u er zeker van dat deze gevoelige data niet wordt gedeeld met externe bronnen?
Microsoft geeft zelf een disclaimer dat het de eigen verantwoordelijkheid is van de klant om de codes van deze visuals te beoordelen. De reden hiervoor is dat de visual mogelijk code bevat waardoor uw data wordt gedeeld met derden. Dat is uiteraard niet wenselijk als het gaat om uw vertrouwelijke gegevens. Enkele custom visuals zijn door Microsoft gecertificeerd. Wat de exacte details van deze certificering zijn geeft Microsoft niet aan. Wel wordt vermeld dat de gecertificeerde custom visual geen toegang geeft tot externe services of resources.
Het risico van toegang tot rapporten in Power BI
Het is mogelijk om buiten het bedrijfsnetwerk via een internet browser toegang te krijgen tot Power BI met een relatief simpel wachtwoord zoals Welkom01!. Een dergelijk wachtwoord is relatief eenvoudig en snel te hacken. Discussies over wat goede wachtwoord eisen zijn veranderen continue. Een mogelijke oplossing is het gebruiken van tweestapsverificatie. Dit is veel veiliger dan een wachtwoord doordat er een token wordt verstuurd dat maar tijdelijk geldig is. Ook kan een hacker die buitgemaakt heeft van inloggegevens geen toegang krijgen tot het account. Power BI biedt de functionaliteit om tweestapsverificatie toe te passen. Dit moet dan nog wel in de instellingen worden geconfigureerd. Dit is niet standaard geactiveerd, ook al wordt er een tweestapsverificatie voor de overige Office 365 applicaties gebruikt.
Daarnaast is het mogelijk om toegang te geven tot data door het delen van rapportages of het exporteren van de data. Wat zijn hier de risico’s van? Over het algemeen weten medewerkers wel dat ze niet zomaar data kunnen delen met derden. Maar wat gebeurt er wanneer er een vraag vanuit een belangrijke klant komt en er een rapportje met ze gedeeld wordt. Waar meer informatie in staat dan dat ze nodig hebben, of waar zelfs gevoelige persoonsgegevens in staan. Hoe garandeert u de retention term wanneer personeel HR of debiteuren data exporteert en op hun laptops opslaan? Is het dan wel mogelijk om dan nog GDPR compliant te zijn? Op het gebied van security is immers de menselijk factor altijd de zwakste schakel.
Meer weten?
Het is aan organisaties zelf om in te schatten of deze risico’s van belang zijn. Bent u benieuwd hoe het in uw organisatie is geregeld? Met een QuickScan geven wij snel inzicht in de belangrijkste risico’s voor uw organisatie. Nog niet met BI begonnen of wilt u verdere stappen op het gebied van BI zetten? Onze BI aanpak leest u hier. Neem gerust contact met ons op als u eens wilt sparren over deze onderwerpen.
