De NAS – een makkelijke en gevaarlijke SoHo en MKB oplossing

Een NAS wordt regelmatig gepromoot als handige oplossing voor de SoHo en MKB omgeving. Als centrale plek voor filesharing en dataopslag vervult het een nuttige taak. Het device past ook goed in elk back-up plan. Naast data op de computers kan een kopie op de NAS en een andere weer extern.

De software voor het gebruiken van een NAS is over de jaren steeds beter geworden. Bijna alle vendoren hebben ingezien dat ze in deze marktsegmenten alleen succes kunnen hebben als het plug-and-play is en makkelijk te bedienen. Aan de grafische interfaces besteden de vendors duidelijk veel aandacht.

Minder aandacht is er de veiligheid. Een NAS kan veilig wordt gebruikt, maar dat veronderstelt twee dingen. Ten eerste moet de fabrieksinstelling zo zijn dat na aansluiten het systeem niet open staat voor het internet. Tweede dat hoort bij veilig gebruik is dat de gebruiker weet wat hij doet.

NAS en AVG

Aantoonbaar gaat het op beide punten vaak mis. Voorheen leidde dat tot pijnlijke situaties dat een bedrijfje alle data zichtbaar maakte. Dat gebeurt nog steeds, maar daar blijft het nu niet meer bij. Een ondernemer die zijn administratie voor het internet vindbaar op een NAS zet veroorzaakt een datalek. Dat is sowieso niet slim. De AVG geldt ook voor dit soort gevallen.

Waarom het nog meer niet slim is, is omdat het tegenwoordig onvermijdelijk is dat de data wordt ontvreemd of ontoegankelijk gemaakt. Als  bonus is er de optie dat via de toegang tot de NAS ook de aangesloten computers besmet raken.

Horrorscenario

Alleen al dit jaar zijn er drie gevallen bekend geworden waarbij het geschetste horrorscenario complete series van NAS machines mogelijk was. Firmware upgrades die veilige instellingen overschreven met default minder veilige zijn voorbijgekomen. En dat geldt ook voor het aanpassen van de interface waardoor het voor de gebruiker makkelijk is verward te raken.

Dat er patches en upgrade beschikbaar zijn voorkomt de nodige schade. Maar het is een illusie te denken dat op dit moment elke NAS voldoende dichtgetimmerd is om aanvallen te kunnen weerstaan. Waarom dat zo is laat zich raden. Niet elke gebruiker is even ervaren en lang niet altijd is duidelijk wie nou verantwoordelijk is voor het beheer van een dergelijk klein device.

Wie via Shodan de top 5 NAS vendors controleert zal dan ook honderden (!) systemen in Nederland vinden die zo te zien niet afgeschermd aan het internet hangen (De  afbeelding laat de score van 1 vendor zien). Dat zijn echt niet allemaal honeypots of mini servers voor het bewust delen van content. Inzoomen op de namen, types en locaties maakt duidelijk dat het hier ook gaat om veel NAS devices die zakelijk worden gebruikt.

Bekend is dat een NAS bijna een impulsaankoop kan zijn. Dan ziet de vaste IT dienstverlener opeens een nieuw device in het netwerk. Of hij zich daar ook echt verantwoordelijk voor voelt en of dat ook de bedoeling is verschilt. Toch is hij vaak de eerste en enige persoon die de SoHo of MKB gebruiker kan wijzen op de keerzijde van de makkelijke oplossing die de NAS is.