Wanneer MFA en back-ups niet de gewenste veiligheid geven

IT dienstverleners, brancheorganisaties en overheden wijzen al jaren op de noodzaak van het maken van back-ups en het aanzetten van MFA. Je verwacht dat iemand die beiden doet zijn zaakjes goed voor elkaar heeft.

Back-ups

Het heeft echt lang geduurd voordat de meerderheid van de ondernemingen serieus werk is gaan maken van back-ups. Natuurrampen in het buitenland maakten voorheen amper indruk. Dat het pand van de buren of een concurrent afbrandde en daarmee alle IT was schrikken, maar om nou te zeggen dat daardoor de back-up werd ontdekt. Pas toen ransomware angstvallig dichtbij kwam en iedere verkoper, adviseur en accountant wees op de kans echt kapot te gaan zijn bedrijven gaan inzien dat een back-up het verschil maakt.

Daarmee is niet gezegd dat iedereen nu een een goed doordacht back-up plan heeft. Aan de onderkant van het MKB is en blijft het nog steeds huilen met de pet op. Daar wordt in het beste geval blindelings vertrouwd op de cloud waar het officepakket zit of een machine onpremise die ooit is aangeschaft.

Keer op keer blijken bedrijven, ook de grotere, in de fout te gaan bij andere kant van het maken van back-ups. Of die wel kloppen, te herstellen zijn en airgapped genoeg ervaart men pas als het fout gaat.

MFA

MFA is op het eerste gezicht een heel ander verhaal. Banken hebben een belangrijke rol gespeeld burgers en bedrijven daarmee te laten werken. De Nederlandse overheid heeft met DigiD natuurlijk ook een grote rol gespeeld in het aanzwengelen van het gebruik door burgers. Elders is het door een besluit voor alle ambtenaren verplicht .

Dat de cloudaanbieders MFA uitrollen en steeds minder ruimte laten voor onveilig inloggen is een proces dat gestaag doorgaat. Je zou zeggen, een goede ontwikkeling want daarmee wordt de veiligheid van online gedrag en data aanzienlijk verhoogd.

Helaas gaat er bij MFA nog regelmatig wat fout. Net als bij een back-up komt men daar pas achter als er iets aan de hand is. Waar de back-up niet bestaat, onbereikbaar is of beschadigd speelt bij MFA iets anders, maar het effect is gelijk. Wat dat is? Voor de MFA vertrouwen op slechts 1 device, namelijk de smartphone. Als die wordt gestolen of een bad neemt staat menig consument en ondernemer voor een groot probleem. Er is namelijk nooit gedacht aan het maken van offline back-ups, lees herstelcodes.

Het onvermijdelijke is dat door incidenten met back-ups en MFA devices als hierboven staan vermeld het vertrouwen daarin afneemt. Ongewenst, want beiden leiden wel terdege tot een aanzienlijke verbetering van de veiligheid. IT dienstverleners en vendoren moeten in 2024 hier betere uitleg over geven. Dat is niet alleen een kwestie van service en fatsoen, het kan het verschil betekenen tussen een goede klant en een ex-klant.