Nieuws

Cybersecurity in de cloud: schuif het niet af op een ander

25 oktober 2025

De media berichten geregeld over datalekken waarbij persoonlijke gegevens online te grabbel worden gegooid door fout ingestelde databases of slecht beveiligde gebruikersgegevens of cloudomgevingen. Denk maar aan Facebook dat in 2019 en Microsoft een jaar later die miljoenen gebruikersrecords onbedoeld publiek toegankelijk maakten. 

We hebben de voorbije jaren massaal de overstap naar de cloud gemaakt, zowel privé als op het werk. De cloud biedt veel voordelen zoals flexibiliteit, snelheid, schaalbaarheid, gebruiksgemak… die we intussen vanzelfsprekend vinden. Minder vanzelfsprekend is veiligheid in de cloud. Zonder een goed uitgedacht beleid en adequate maatregelen zijn bedrijven kwetsbaar voor datalekken, configuratiefouten en compliance-risico’s.

Cloudadoptie in België en de EU 

We mogen best stellen dat Belgische bedrijven voorlopers zijn op het vlak van cloudadaptatie. Volgens het Digital Decade-rapport van de Europese Commissie uit 2024 liggen Belgische bedrijven voorop in digitalisatie. Uit hun onderzoek blijft dat 47,7% cloud computing gebruikt. Dat is ruim boven het Europese gemiddelde (38,9%).

Cloud computing betekent dat je computerkracht, opslag of zelfs software via het internet afneemt van een leverancier, zodat je geen eigen servers of computers nodig hebt om data op te slaan, software te laten werken… Je huurt als het ware IT-capaciteit bij een cloudprovider (zoals Microsoft Azure, Amazon Web Services, Google Cloud, enz.) en betaalt alleen voor wat je gebruikt. 

‘Je moet je als organisatie de vraag stellen tot welk niveau je je kan en wil wapenen tegen uitval bij je cloudleveranciers.’

Portret van Kristof Tuyteleers, Chief Information Security Officer (CISO) bij DNS Belgium, expert in cybersecurity en informatiebeveiliging.
Portret van Kristof Tuyteleers, Chief Information Security Officer (CISO) bij DNS Belgium, expert in cybersecurity en informatiebeveiliging.
Kristof Tuyteleers
Chief Information Security Officer DNS Belgium

In de Benelux maakt zo’n 42% van de organisaties gebruik van cloud services, waarbij zowel front- als backendapplicaties gemigreerd worden. In lekentaal betekent dit dat zowel apps waarop klanten inloggen om bepaalde diensten te gebruiken, als de database en de rekenkracht die nodig zijn om de apps te laten werken, zich in de cloud bevinden.

Uitdagingen bij gedeelde verantwoordelijkheid 

Die snelle cloudadaptatie brengt uitdagingen met zich mee. Aanbieders van cloudoplossingen hanteren immers het ‘shared responsibility model’. Dat betekent dat bedrijven zoals Amazon Web Services, Microsoft Azure, Google… zorgen voor de beveiliging van hun cloud-infrastructuur. Maar dat jij als klant verantwoordelijk bent voor wat je in die cloud doet — denk aan configuraties, toegangsbeheer, data-encryptie, enzovoort. 

Cybersecurity in de cloud is m.a.w. een gedeelde verantwoordelijkheid en daar wringt het schoentje vaak in organisaties. Denk maar aan: 

  • Shadow IT. Werknemers gebruiken eigen tools en programma’s zonder dat de IT-afdeling daarvan op de hoogte is. Als er geen strikt beleid is, lopen organisaties het risico op ‘gaten’ in hun beveiliging.
  • Slechte configuratie van toegangsrechten. Access Control Lists (ACL) zijn lijsten die bepalen wie toegang heeft tot bestanden of systemen, en wat ze ermee mogen doen (lezen, schrijven, verwijderen). Als de ACL te ruim staat ingesteld, kan iedereen via het internet bij gevoelige bestanden.
  • Open storage buckets. Een opslagcontainer in de cloud (zoals een digitale folder) zonder wachtwoord of toegangsbeperking is toegankelijk voor iedereen die de link heeft. Als die persoon slechte bedoelingen heeft, kan die de inhoud van de folder downloaden, wijzigen of verwijderen.

Er is een wettelijk kader, zo moeten Belgische bedrijven voldoen aan regels zoals GDPR en de nieuwe NIS2-richtlijn. De deadline voor de implementatie ervan is 17 april 2026. Het effect van de nieuwe wetgeving zullen we dus pas over een aantal jaar merken. 

Een bijkomende uitdaging is wat in het jargon de multicloudcomplexiteit wordt genoemd. We gebruiken diverse systemen en platforms van verschillende leveranciers en alles veilig en up-to-date houden vergt best wel wat expertise en een coherente strategie.

‘Je moet je als organisatie de vraag stellen tot welk niveau je je kan en wil wapenen tegen uitval bij je cloudleveranciers’, zegt Kristof Tuyteleers, security officer bij DNS Belgium. ‘Grote cloudleveranciers beschikken over datacenters in meerdere landen, waardoor de impact van downtime op één locatie tot een minimum wordt beperkt. Toch is een multicloudstrategie niet automatisch de beste oplossing. Ze verlaagt weliswaar het risico op uitval, maar verhoogt tegelijk de complexiteit -en de kans op fouten- van je infrastructuur. Waardoor je soms netto een lagere beschikbaarheid van de ICT-diensten hebt. Elke organisatie moet daarom zelf afwegen of ze over de nodige middelen en expertise beschikt om dit duurzaam te beheren en te onderhouden.’ 

Datalek door foutieve AWS S3-bucketconfiguratie

In het voorjaar werd ontdekt dat WorkComposer, een tool om het scherm van werknemers in de gaten te houden, per ongeluk 21 miljoen screenshots van haar gebruikers online had laten staan. Dat was te wijten aan een foutieve bucketconfiguratie.

Lees het artikel op de website van DataNews

Google de termen AWS S3-bucketconfiguratie datalek en je krijgt tientallen cases waarbij data miljoenen gebruikers van allerhande tools wereldwijd te grabbel werden gegooid.

Best practices: wat kan je zelf doen?

Cybersecurity in de cloud begint bij een sterke basis. Gelukkig zijn er concrete stappen die je als organisatie zelf kan nemen om je digitale omgeving beter te beschermen:

  • Zero Trust Architecture. Vertrouwen is goed, verifiëren is beter. Bij een Zero Trust-aanpak krijgt niemand automatisch toegang — elke gebruiker, elk apparaat en elke aanvraag wordt eerst geverifieerd. Zo beperk je de risico’s van interne en externe bedreigingen.
  • Beveiliging van API’s. Een API (Application Programming Interface) is een set regels die toelaat dat softwaretoepassingen met elkaar communiceren. Ze zijn vaak de poort naar gevoelige data. Zorg voor strikte toegangscontrole, continue monitoring en rate limiting om misbruik te voorkomen. Denk ook aan authenticatie via tokens en het beperken van publieke endpoints.
  • Encryptie & sleutelbeheer. Versleutel je data — zowel tijdens transport als wanneer ze opgeslagen zijn. Combineer dit met een robuust sleutelbeheer, bij voorkeur gecentraliseerd, zodat je altijd controle houdt over wie toegang heeft tot welke informatie.

Cybersecurity Coalition slaat de brug tussen theorie en praktijk 

De Cybersecurity Coalition in België is een publiek-private samenwerking van overheidsinstellingen, bedrijven en educatieve instellingen. DNS Belgium maakt er onder meer deel uit van de focusgroep cloudsecurity. ‘We ontwikkelen er best practices en bevorderen kennisdeling’, zegt Kristof Tuyteleers, die als security officer van DNS Belgium lid is van de focusgroep.

‘Concreet vergelijken we bijvoorbeeld big tech cloudproviders, discussiëren we over soevereiniteit in de cloud en de reële mogelijkheid dat president Trump de dienstverlening van AWS, Azure etc. onderbreekt. Als je merkt dat recent Europese boetes van Microsoft worden kwijtgescholden en die van Google werd verlaagd, moet je je de vraag stellen hoeveel controle je zelf nog hebt’, aldus Kristof.

  • In het volgende artikel van de Cybersecurity Month ontdek je hoe kinderen veilig blijven online.

Met dit artikel ondersteunen we de Duurzame Ontwikkelingsdoelen van de Verenigde Naties.