Hoe veilig is Dropbox?

Hoe veilig is Dropbox?Hoe veilig is Dropbox? Dropbox is een geweldige applicatie. Het verzorgt dataoplsag in de Cloud, maar nog belangrijker: Synchronisatie van bestanden tussen verschillende computers, bestanden delen met meerdere gebruikers en een historie van aanpassingen in bestanden. Het gebruikersgemak is zo groot dat Dropbox een blok (molensteen) aan het been is voor veel beveiligingsdeskundigen die verantwoordelijk zijn voor de informatiebeveiliging binnen organisaties.

LET OP: Als u kijkt naar AVG en GDPR, dan dient dropbox meegenomen te worden in de scan bij AVG Advies

BELANGRIJK: Gebruik dropbox niet als een backup, als u wordt getroffen door RANSOMWARE dan is de kans groot dat ook uw backup is getroffen.

Wilt u de vraag beantwoorden: Is dropbox veilig of hoe veilig is Dropbox? 

Vraag u eerst af welke bestanden worden opgeslagen en wat als deze toch door een klein foutje toegankelijk zou kunnen worden voor anderen?

Het nadeel van gemak en aannamen is dat heel snel ongewenste acties kunnen worden gestart die u niet wilt.

Dropbox alternatief?
Voor zakelijke gebruikers hebben we een Enterprise Secure Dropbox alternatief, neem hiervoor contact met ons op.

Als men op Internet gaat zoeken, dan zijn er een aantal berichten over de veiligheid van Dropbox. De belangrijkste twee zijn: 

[ 21 juni 2011]
"Cloud storage service Dropbox disclosed Monday that all of its users’ files were publicly accessible for nearly four hours on Sunday due a bug in the company’s authentication mechanism. From 1:54 p.m. to 5:41 p.m., anyone could access a Dropbox account without using the correct password.  “This should never have happened,” Dropbox co-founder and CTO Arash Ferdowsi wrote on the company blog. “We are scrutinizing our controls and we will be implementing additional safeguards to prevent this from happening again.”

[7 april 2011]
By Derrek Newton: "Under Windows, Dropbox stores configuration data, file/directory listings, hashes, etc in a number of SQLite database files located in %APPDATA%\Dropbox".
Het blijkt dat de configuratie file niet versleuteld is en als iemand daar toegang toe kan krijgen, dan is het mogelijk dit op een ander systeem te installeren zonder password.
Details van Derrek Newton: BLOG

Deze rapportages geven het volgende:

  1. Dropbox moet nog wat werk verzetten om de applicatie Enterprise approved te krijgen.
  2. Cloud providers zijn veel gevoeliger voor aanvallen en gaten in de beveiliging.
  3. Anno 2013 (april) zijn bovenstaande problemen grotendeels of volledig opgelost en dient een gebruiker altijd de juiste maatregelen te nemen en alert te blijven.

Blijft de vraag: Hoe veilig is Dropbox?

Dit hangt voornamelijk van het gebruik af. Indien er vertrouwlijke informatie wordt opgeslagen, dan is het advies hier heel voorzichtig mee om te gaan. U dient als gebruiker van Dropbox dan een korte training te krijgen over de geavanceerde functies en de best practices. Een van de functies die zeker geactiveerd dient te worden is: Two step authenticatie. Dit houdt in dat naast een gebruikersnaam en password een code wordt gestuurd naar het mobiele nummer. Dit is een extra verificatie. Zeker in de Cloud is Dropbox veilig maar het vriendelijke gebruik van Dropbox kan leiden tot situaties waarbij uw data toch ergens terecht komt waar het niet hoort. Dit is dan te wijten aan het gebruik van Dropbox en niet aan de beveiliging van Dropbox zelf.

Een awareness training van Abraxax kan hierbij zeker helpen om de risico's te beperken.

Meer over workshops awareness informatiebeveiliging is te vinden op de website van BeveiligingsExpert.com

Gebruik van Dropbox binnen bedrijven

Toepassing van Dropbox binnen bedrijven dient met grote voorzichtigheid te worden bekeken. Als het centraal niet wordt geblokkeerd dan vormt dit een groot risico voor een organisaties waar vertrouwlijke informatie aanwezig is. Het is belangrijk te weten welke functionaliteit van Dropbox men wil gebruiken. Hier kan dan naar worden gekeken of dit past binnen de organisatie of dat er naar alternatieven moet worden gekeken. Alternatieven zijn er zeker.

Het incident bij Dropbox wil niet zeggen dat Dropbox onveilig is. Het is vaak veel veiliger dan de beveiliging van data binnen normale organisaties, een dergelijk incident komt vaak niet naar buiten. Bij Cloud providers is het blangrijk dat een lek zo snel mogelijk wordt gecommuniceerd en wordt gedicht. Bedrijven die Dropbox willen bekijken worden aangeraden om Dropbox for Business te overwegen naast enkele alternatieven en dan op basis van goede overwegingen een keuze te maken.

Problemen voorkomen is gebruikers tijdig informeren

Veel van de beveiligingsproblemen worden veroorzaakt doordat gebruikers niet goed zijn geïnformeerd en bedrijven het de gebruikers onnodig moeilijk maken om informatie eenvoudig uit te wisselen (ze hebben immers geen alternatief product). De handige tooltjes zoals Dropbox hebben grote gelijkenis met het speelgoed van kinderen. Het is leuk, het is handig en ze nemen hun speelgoed van huis mee naar school. Het is belangrijk gebruikers periodiek te trainen en te luisteren naar wat zij nodig hebben en wat zij gebruiken. De markt biedt voldoende "explosief snoepgoed" waarmee ze een organisatie in gevaar kunnen brengen. De schuld ligt maar voor een klein deel bij de gebruikers, een organisaties dient een goed beleid te hebben op het gebied van  informatiebeveiliging dat wordt ondersteund door een periodieke training voor alle gebruikers zoals een leuke .en spannende awareness training.

Dropbox in relatie met AVG en GDPR

Zodra Dropbox wordt gebruikt dient men dit (liefst vooraf) te toetsen met de betrekking tot het beleid AVG en GDPR. Dropbox is altijd een controlepunt bij de AVG scan voor organisaties

Dienstverlening Abraxax

Abraxax verzorgt op een speelse en vermakelijke wijze awareness trainingen waarbij een groot deel van moderne gevaren worden behandeld. Deze training wordt gekenmerkt  door een brug te slaan tussen de handige zaken die men privé / thuis gebruikt en de organisatie waar men werkt.