Steeds meer woningcorporaties zetten de stap naar de Azure-cloud van Microsoft. Daarmee verdwijnen de lokale servers en werkt een groot deel van de organisatie volledig online. Deze ontwikkeling brengt naast volop voordelen ook nieuwe risico’s met zich mee. Want wat betekent het als de hele IT-omgeving via internet bereikbaar is? En wie is nu eigenlijk verantwoordelijk voor de beveiliging? CorporatieGids.nl sprak met Sander Meijering, Ethical Hacker bij Hackify, over de grootste kwetsbaarheden bij corporaties en de maatregelen die direct het verschil kunnen maken.
De transitie die veel woningcorporaties doormaken naar de Azure-cloud, is een die Sander veel ziet in de praktijk: “Veel organisaties stappen over en veel kleinere organisaties werken vaak volledig cloudbased, zonder eigen servers of klassieke omgeving op eigen locatie. Het grootste risico van deze ontwikkeling is dat de IT-omgeving via het internet toegankelijk is. Daarmee zijn ze bereikbaar voor iedereen wereldwijd, en dus ook voor hackers. En omdat veel organisaties gebruikmaken van Single Sign-On (SSO), betekent één gehackte login vaak toegang tot meerdere diensten.”
Afhankelijkheid van één partij
Een ander groot risico ligt volgens Sander in de afhankelijkheid van één leverancier: “Wanneer er een storing of fout optreedt bij Microsoft, kan dit de volledige bedrijfsvoering van een corporatie platleggen. Daarnaast brengt de Amerikaanse wetgeving een privacy- en compliancydiscussie met zich mee: data kan onder bepaalde omstandigheden door de Amerikaanse overheid worden ingezien of zelfs worden geblokkeerd. Dat kan leiden tot ernstige verstoringen en conflicten met de Europese AVG-richtlijnen.”
Verantwoordelijkheid
Op de vraag wie verantwoordelijk is voor de veiligheid bij het gebruik van de Azure-cloud, zegt Sander: “Microsoft zorgt ervoor dat de basis veilig is. Zij patchen de servers, updaten de software en zorgen dat grote kwetsbaarheden snel worden verholpen. Hierdoor hoeft een corporatie zich geen zorgen te maken over het up-to-date houden van bijvoorbeeld Outlook of SharePoint. Microsoft beveiligt zo de infrastructuur tot aan het inlogportaal, maar alles wat daarna gebeurt ligt in handen van de organisatie zelf. Het is aan de corporatie om dit correct in te richten en te beveiligen. Wordt dat nagelaten, dan kunnen hackers zich bijvoorbeeld voordoen als medewerkers en toegang krijgen tot privacygevoelige gegevens.”
Nep-apps
Belangrijke onderdelen bij het toegangsbeheer noemt Sander het instellen van multifactor authentication (MFA), het beperken van logins tot specifieke landen en het beperken van rechten voor gebruikers. “Dit verkleint het risico dat een hacker met alleen een gebruikersnaam en wachtwoord toegang krijgt. Daarnaast moeten corporaties zorgvuldig bepalen welke gebruikers toegang hebben tot welke bestanden en diensten. Niet iedereen hoeft overal bij te kunnen en ook gasttoegang verdient speciale aandacht. Een veel vergeten risico daarnaast is het toestaan van externe applicaties. In Azure mogen gebruikers vaak zelf externe apps toevoegen aan de omgeving. Hackers ontwikkelen nep-apps die er betrouwbaar uitzien en via een pop-up netjes toestemming vragen. Wanneer medewerkers akkoord geven, kan zo’n applicatie data inzien of zelfs volledige controle krijgen. Dat kan leiden tot serieuze datalekken.”
Praktisch advies
“Als gespecialiseerd pentestbedrijf zijn we altijd op de hoogte van de nieuwste aanvallen en technieken,” gaat Sander verder. “Met onze ‘Azure Cloud Pentest’ onderzoeken wij de volledige cloudomgeving van een corporatie. Wij krijgen hiervoor toegang tot de omgeving en beoordelen of configuraties veilig zijn. Onze werkwijze bestaat hierbij uit twee stappen. We analyseren eerst alle instellingen en proberen deze van buitenaf te misbruiken, alsof we een kwaadwillende hacker zijn. Daarna maken wij een rapportage waarin de bevindingen duidelijk zijn beschreven, inclusief de risico’s en praktische adviezen. Ook geven we aan welke impact een maatregel heeft op het gebruiksgemak, zodat de organisatie een afgewogen beslissing kan maken. Vervolgens bespreken we de resultaten en vergelijken we dit met hoe andere corporaties het hebben opgelost. Zo krijgt de corporatie niet alleen een technisch rapport, maar ook praktisch advies dat aansluit op de dagelijkse bedrijfsvoering.”
Configuratiefouten
Het grote verschil tussen de Azure Cloud Pentest en een ‘klassieke’ pentest, zit volgens Sander in de aard van de bevindingen: “Bij een reguliere pentest zien we vaak ongepatchte systemen of bekende kwetsbaarheden. In de cloud gaat het juist om configuratiefouten, zoals te ruime rechten of onvoldoende toegangsbeperkingen. Deze zijn vaak sneller op te lossen, bijvoorbeeld door het aanpassen van instellingen, alleen moet je wel helder hebben waar de risico’s en zwakke plekken zitten.”
Initiële toegang
Bij deze pentesten van de Azure-cloud blijft de grootste kwetsbaarheid de initiële toegang. Sander: “Zodra een aanvaller inloggegevens bemachtigt, is de omgeving vaak volledig toegankelijk. Dit risico wordt drastisch kleiner wanneer MFA bedrijfsbreed verplicht is, zonder uitzonderingen voor bepaalde accounts of locaties. Wel is MFA geen wondermiddel meer. Geavanceerde phishingtechnieken zoals AiTM (Adversary-in-the-Middle) of Device Code Phishing kunnen MFA omzeilen. Daarom adviseren wij om gebruik te maken van phishing-resistente methodes zoals Passkeys of hardware tokens zoals YubiKeys. Dit is voor medewerkers een grotere stap in gebruik, maar wel aanzienlijk veiliger.”
Datalekken door AI
De komende jaren zal AI een steeds grotere rol spelen in het veilig houden van de organisatie, sluit Sander af: “Microsoft zet zwaar in op Copilot, een AI-assistent die toegang krijgt tot de bedrijfsdata van een organisatie. Dat brengt nieuwe risico’s met zich mee. Een verkeerd ingestelde of misbruikte AI kan gevoelige data prijsgeven. Ook ontstaan er compliancevraagstukken, omdat Copilot data verwerkt en gebruikt voor training, wat gevolgen kan hebben voor de privacywetgeving. Woningcorporaties zullen dus kritisch moeten kijken naar hoe en waar Copilot gebruikt kan worden. Vooral persoonsgegevens en andere gevoelige informatie verdienen extra aandacht, zodat de inzet van AI niet leidt tot datalekken of overtredingen van de AVG.”
Bron: CorporatieMedia, Foto: Hackify
Zoals ieder jaar was het een voorrecht om CorporatiePlein te mogen organiseren. En de 2025-editie, de vijftiende van het…
www.corporatieplein.nl
CorporatieGids Magazine - September 2025 Inhoud Rob Boogaard (Clavis): Lagere werkdruk en tijdswinst door de inzet van AI Leen Spaans en Henk Korevaar…
Zoek en vind leveranciers en adviesbureaus die IT-diensten en oplossingen aanbieden aan woningcorporaties.
