Contents

Cloudmigratie is voor financiële instellingen geen experiment meer. De druk wél. DORA, NIS2 en steeds scherper toezicht dwingen je om elke keuze voor de publieke cloud direct audit-proof te maken.

CIO’s en CISO’s stellen me steeds vaker dezelfde vraag: “Waar zitten de lekken die we niet zien, en wat kost het als iemand anders ze wel vindt?”

Daarom deel ik de vijf misconfiguraties die we het vaakst aantreffen bij banken, fintechs, verzekeraars en andere financiële instellingen. Herken je ze, dan kun je vandaag nog beginnen met dichttimmeren.

Publieke cloud + DORA-druk: nul marge voor fouten

Regelgeving stapelt zich op. DORA, NIS2 en de waakzame Europese Centrale Bank verplichten je om elke keuze voor AWS, Microsoft Azure of Google Cloud meteen audit-proof te maken.

Uit het recente PwC-rapport “Time to raise the game in cloud” blijkt dat 61 procent van de Europese banken al een brede publieke-cloudadoptie heeft bereikt, een kopgroep die de lat voor de rest nóg hoger legt.

Hoe groter de multicloud-mix, hoe sneller een verkeerd vinkje onzichtbaar wordt.

Misconfiguraties, denk aan open S3-buckets of te ruime IAM-rollen, veroorzaken bijna 80 procent van alle security-exposures in de cloud. Traditionele on-prem tools zien die fouten niet, want ze zijn gebouwd voor statische datacenters, niet voor dynamische workloads.

Kortom: publieke cloud versnelt innovatie, maar vergroot ook je aanvalsoppervlak. De vijf misconfiguraties hieronder tonen waar het meestal misgaat en hoe je dat vandaag nog afschermt.

5 stille cloud-lekken die we bij financiële instellingen blijven ontdekken

Gebaseerd op CNAPP-quick-scans bij Nederlandse en Europese banken, fintechs en verzekeraars.

1. Publiek toegankelijke storage-buckets (S3, Blob, GCS)

Een enkel verkeerd vinkje en de inhoud van je bucket staat op straat. 21% van de organisaties heeft nog altijd minstens één public-facing bucket met gevoelige data, blijkt uit de 2024 State of Cloud Security-rapportage van Orca Security.

Fix vandaag: zet Block Public Access (AWS), Private Endpoints (Azure) of Uniform Bucket-Level Access (GCP) standaard op aan en laat je CNAPP dagelijks scannen op afwijkingen.

2. Machine-identiteiten met te brede rechten

Service- en workloadaccounts doorlopen geen MFA, maar leven op tokens en keys. In 41% van de onderzochte incidenten speelde een te royaal geconfigureerde IAM-rol een hoofdrol, aldus het Unit 42 Incident Response Report 2025.

Fix vandaag: automatiseer least privilege met CIEM, roteer certificates minimaal elke 90 dagen en verwijder ongebruikte rollen na 30 dagen.

3. Shadow workloads & ‘zombie’ VM’s

In bijna elke quick-scan zien we workloads die >90 dagen geen patch of login hebben gehad, vaak in test- of dev-subscripties die ooit “tijdelijk” zijn aangezet.

Fix vandaag: tag nieuwe resources met een TTL (time-to-live), laat je CNAPP on-patch-idle workloads automatisch isoleren of uitschakelen en koppel kostenmonitoring voor extra prikkel.

4. Publiek blootgestelde Kubernetes-API’s

82% van de organisaties heeft een Kubernetes-API-server die direct vanaf het internet bereikbaar is, meestal door misconfiguratie, aldus hetzelfde Orca-rapport.

Fix vandaag: kies private clusters of beperk de API tot een jump-subnet en monitor de control-plane continu op drift.

5. Sleutels & secrets zonder eigenaar

De GitGuardian State of Secrets Sprawl 2025 telt 23,8 miljoen nieuw gelekte credentials in 2024; 70% blijft twee jaar later nog actief.

Fix vandaag: maak één centrale vault je single source of truth, forceer automatische key-rotation en wijs elke sleutel een expliciete owner toe in IAM.

 

Continu zicht met CNAPP: iedere misconfiguratie in beeld

Traditionele scanners missen de vaart van de publieke cloud; ze zien pas een fout als de schade al in de log staat. Daarom werken we bij Acora met een Cloud-Native Application Protection Platform (CNAPP). Zo’n platform kruipt agent-less door AWS, Microsoft Azure en Google Cloud en legt, realtime, elke afwijking naast het geldende risicoprofiel.

In onze klantcases zien we twee harde voordelen:

  1. Sneller bewijs van compliance. Auditors krijgen in één dashboard aantoonbaar beleid, niet losse screenshots.
  2. MTTR halveert gemiddeld. Zodra CNAPP een misconfiguratie detecteert, triggert het een workflow die de fout terugdraait of direct aan het SOC doorgeeft.

Wil je weten hoe dat in jouw omgeving uitpakt? Download de CNAPP-whitepaper voor de volledige architectuur en praktijkvoorbeelden.

 

Zie waar je nú lekt: brainstorm met Leon

Ik nodig je uit voor een vrijblijvend gesprek of voorstel over CNAPP Quick-Scan op Azure, AWS of GCP. Binnen een half uur zie je:

  • Welke van de vijf misconfiguraties zich in jouw omgeving verstopt;
  • Hoeveel risico (en mogelijke boete) daaraan hangt;
  • Welke drie acties het meeste rendement opleveren.

Neem contact op via de contactpagina of mail me: netherlands@acora.com.

 

Meer dan een scan? Dit doen we nog meer

Acora Nederland biedt vijf pijlers voor cyberweerbaarheid, van Managed SOC en AI-gedreven pentests tot volledige cloudbeveiliging. Bekijk het complete aanbod op onze pagina Diensten.

Insights by Leon Smit