Dropbox: 'Beveiliging heeft bij bedrijven niet de prioriteit die het bij ons heeft'

Elger van der Wel

Deze zomer bleek dat in 2012 gegevens van 68 miljoen Dropbox-klanten waren gestolen.

Dropbox is blij met de groei die het in Nederland doormaakt op de zakelijke markt. Niet onlogisch, want begin dit jaar opende Dropbox een kantoor in Amsterdam, juist met de focus op de zakelijke markt. Het bedrijf zegt niet hoeveel zakelijke klanten het precies heeft in ons land en hoe hard de groei is, maar in Europa heeft de clouddienst inmiddels meer dan 200.000 zakelijke klanten.

Mark CrosbieMark CrosbieAls Trust and Security Manager geeft Mark Crosbie leiding aan het beveilgingsteam van Dropbox in Europa. Eerder werkte hij voor Facebook, IBM en HP.Opvallend daarbij is dat er via Dropbox steeds meer internationaal wordt samengewerkt door bedrijven. De dienst ziet op dat vlak toename van 165 procent sinds vorig jaar. Met de groei van Dropbox op de zakelijke markt, is de veiligheid van de dienst belangrijker geworden dan ooit tevoren. En dat niet alleen. “Je wilt kunnen controleren wie, waarbij kan en vanaf waar. Bedrijven moeten daar volledige controle over krijgen, zonder dat Dropbox voor de gebruiker zijn snelle, makkelijke experience verliest”, legt Mark Crosbie, Head of International Trust and Security, uit.

Op dat vlak breidt Dropbox zijn dienstverlening steeds verder uit. Zo voegde het bedrijf onlangs de mogelijkheid toe aan Dropbox Enterprise om privé-accounts op bedrijfsnetwerken te blokkeren, terwijl de bedrijfsaccounts gewoon blijven werken. Het doel hiervan is datalekken voorkomen.

Ook kunnen beheerders bijvoorbeeld het aantal apparaten waarmee een account synchroniseert beperken. En bij Dropbox Business krijgen beheerders meer mogelijkheden om de gebruiksactiviteiten te controleren.

Beveiliging als prioriteit

Ondanks deze mogelijkheden zijn bedrijven nog steeds huiverig om de stap te maken van hun eigen lokale servers, naar een clouddienst. “Ik spreek hierover ontzettend veel met bedrijven en vraag ze altijd: denk je dat jouw servers beter beveiligd zijn dan de huidige middelen die criminelen tot hun beschikking hebben? In dat geval moet je je data lokaal opslaan”, vertelt Crosbie.

“Maar ik denk dat dat onrealistisch is. Beveiliging heeft bij bedrijven niet de prioriteit die het heeft bij een techbedrijf. Bedrijven hebben zoveel andere problemen die ze moeten oplossen. Onze business is het beveiligen van data. We kunnen daarin een partner zijn voor bedrijven.”

Overigens gelooft Crosbie niet dat bedrijven, als hij ze heeft overtuigd, van de ene op de andere dag al hun eigen servers de deur uit moeten doen. Hij gelooft in een stap-voor-stap-aanpak. “Begin met de afdeling waar veel medewerkers zitten die moeten samenwerken en bestanden uitwisselen; die zijn in eerste instantie de beste adopters van clouddiensten. Ik adviseer om daar mee te beginnen en te kijken wat werkt en wat niet werkt. Om daarvan te leren en het dan pas breder uit te rollen.”

Concurrentie

Dropbox opereert in een markt waarin het veel concurrenten heeft, waaronder ook veel grotere spelers. Toch maakt Crosbie zich daar geen zorgen over. “Veel competitie toont aan dat er op dit vlak heel veel gebeurt en dat er dus ook veel te halen is.” Hij legt uit dat het een groot voordeel is dat veel medewerkers van bedrijven Dropbox al kennen en gebruiken via persoonlijke accounts.

“En Dropbox maakt het verschil door eenvoud en gemak, gecombineerd met beveiliging. Dat is onze unieke propositie.”

Wat het bedrijf daarbij slim doet is heel sterk kijken naar wat zakelijke gebruikers willen. Vandaar de vele extra controle-opties die onlangs werden geïntroduceerd. En vandaar ook dat zakelijke klanten in Europa sinds een klein jaar hun data lokaal in Europa kunnen opslaan, op servers van Amazon in Frankfurt. Om er zo zeker van te zijn dat de Amerikanen niet kunnen meekijken.

Hoeveel klanten dit gebruiken kan Dropbox niet zeggen, maar Crosbie zegt uit eigen ervaring dat het ongelofelijk belangrijk is voor het bedrijf. “Dit komt naar voren in elk gesprek dat ik met een Europese klant heb. Van het noorden tot het zuiden en van het oosten tot het westen.”

Datalek

Het allerbelangrijkste voor een dienst als Dropbox is het vertrouwen van gebruikers en klanten in de dienst. Je wilt er zeker van zijn dat je data veilig is. Echter: net als veel andere bedrijven, kwam de dienst deze zomer in het nieuws doordat de accountgegevens van 68 miljoen gebruikers uit 2012 op straat lagen. De wachtwoorden waren gelukkig goed versleuteld (hashed en salted) en volgens Crosbie is er geen enkel account gehackt.

Hij denkt ook niet dat het incident heel veel negatieve gevolgen heeft gehad voor het bedrijf. “Ik heb niet gezien dat bedrijven onze dienst niet hebben afgenomen vanwege het incident. En de reacties over hoe we het hebben aangepakt waren positief.”

Om beveiligingsproblemen in de toekomst te voorkomen heeft Dropbox natuurlijk een heel team beveiligingsexperts in dienst en probeert dat team ook alle andere ontwikkelaars te laten nadenken over beveiliging. “Als het beveiligingsteam ziet dat mensen twee keer een fout maken, schrijven ze een veilige library of framework, zodat iedereen die kan gebruiken.”

Bug bounty

Daarnaast doet Dropbox sinds twee jaar mee aan een bug bounty program. Dat wil zeggen dat Dropbox mensen betaalt die beveiligingsproblemen in de dienst ontdekken en deze melden. Het gaat om bedragen die beginnen bij 216 dollar en kunnen oplopen tot 10.000 dollar per gemeld probleem. Inmiddels heeft Dropbox bijna een ton uitgekeerd aan hackers en op hun pagina bij HackerOne kun je precies zien wanneer er hoeveel is gemeld, betaald en opgelost.

“Er komen ieder dag reports binnen, ook in het weekend, mede doordat Dropbox bekend is. Sommige mensen proberen ook één ding uit bij heel veel verschillende diensten, waarbij Dropbox vaak wordt meegenomen”, zegt Crosbie hierover.

Volgens hem is het programma een goede indicator voor de buitenwereld dat je je beveiliging serieus moet nemen. “Je moet eerst zorgen dat je hele basis goed beveiligd is en je securityteam moet goed in elkaar zit en goed omgaat met de meldingen. En als je eenmaal begint, moet je ook door blijven gaan met het programma.”

Ondanks alle investeringen in beveiliging kan Crosbie de klanten van Dropbox nooit garanderen dat de dienst 100 procent veilig is.
“Je kunt geen garanties geven. Zeker niet op het vlak van beveiliging. Ik focus op hoe we accounts, bestanden en wachtwoorden beveiligen. En op hoe we omgaan met situaties, zoals bijvoorbeeld afgelopen zomer.”