De realiteit is dat we al decennia de technologie hebben om iets superveilig te maken. Maar in praktijk kunnen mensen dan hun job niet meer doen. Stel dat je een document niet zomaar kan verzenden via Outlook zonder bepaalde rechten. In een oude werkomgeving doe je in afwachting daarvan iets anders, maar met smartphones en cloudtoepassingen ga je eerder kijken naar een omweg en ga je die superbeveiligde documenten via Gmail of Dropbox sturen. Je eindigt dus in een situatie dat je werkomgeving zodanig beveiligd is, dat ze net omzeild wordt door mensen die dingen gedaan willen krij...

De realiteit is dat we al decennia de technologie hebben om iets superveilig te maken. Maar in praktijk kunnen mensen dan hun job niet meer doen. Stel dat je een document niet zomaar kan verzenden via Outlook zonder bepaalde rechten. In een oude werkomgeving doe je in afwachting daarvan iets anders, maar met smartphones en cloudtoepassingen ga je eerder kijken naar een omweg en ga je die superbeveiligde documenten via Gmail of Dropbox sturen. Je eindigt dus in een situatie dat je werkomgeving zodanig beveiligd is, dat ze net omzeild wordt door mensen die dingen gedaan willen krijgen."Mede daarom kiest Microsoft voor een aanpak waarbij alle beveiligingslagen mogelijk zijn, zo lang het de productiviteit zelf niet verstoort. Een andere kwestie is hoeveel toegang Microsoft zelf heeft. "Niemand bij Microsoft heeft toegang tot jouw documenten", zegt White. De processen achter Office 365 doen dat momenteel nog wel, maar ook dat moet verdwijnen. "Ons doel is dat geen enkel proces nog klantendata gebruikt en daar zijn we bijna. En mensen die daar nauw bij betrokken zijn worden aan de juiste controles onderworpen, inclusief audits, tijdelijke pincodes en andere procedures. Je geraakt als medewerker van Microsoft dus niet zomaar tot aan gevoelige data. We hebben ook geen achterpoortjes in de software en dat wordt ook gecontroleerd door externe auditeurs." Ondanks de maatregelen blijft Microsoft, en dus ook Office 365, een gedroomd doelwit voor hackers, al is het maar voor de eer. Om dat te voorkomen heeft Microsoft twee teams in dienst. "We verzamelen experts uit de hele wereld, dat zijn mensen uit het veld, academici en white hat hackers, om ze vervolgens in een rood en blauw team te zetten", verduidelijkt Jake Zborowski, verantwoordelijk voor product management bij Office 365. "Het blauwe team bouwt de services terwijl het rode team hackers zijn die zo vaak mogelijk proberen te penetreren (pen-testing, nvdr). Dat zijn georchestreerde aanvallen, brute aanvallen, maar ook pogingen om via phishingmails ergens aan te geraken." Beide teams weten niets van elkaar. "Zo willen we kwetsbaarheden ontdekken voor echte hackers dat doen", zegt White. Over de exacte aantallen wil het bedrijf niets kwijt. Maar het rode team telt tussen de twintig à honderd mensen. Het rode team is een stuk uitgebreider omdat zij de beveiliging zelf opbouwen. Los van de twee teams voert het bedrijf ook een securityreview uit en schakelt het extra diensten van Microsoft in. "We hebben binnen Microsoft een enorme security unit en crime unit die wereldwijd aanvallen onderzoekt. Van hun expertise kunnen we dus ook de vruchten plukken." Wie wint er tussen rood en blauw? Het verbaast ons weinig dat White met enige fierheid zegt dat de ontwikkelaars het van de hackers winnen. "Ze worden zo goed dat het rode team achterop hinkt." "Niemand bij Microsoft heeft toegang tot jouw documenten" Julia White - general manager Office 365