MSP’s en MSSP’s (providers die zich exclusief met security bezighouden) moeten continu inspelen op veranderingen in de markt en op mkb-gebied. Met zes specialisten op het gebied van IT-security ging de redactie van ChannelConnect uitgebreid in discussie. “MSP’s moeten zich concentreren op hun specialiteit en samenwerken met collega’s om een compleet aanbod aan te bieden.”
Openingsvraag: waar moet een MSP of MSSP op dit moment van wakker liggen?
“De partner moet zijn klanten duidelijk maken, dat ze onderdeel zijn van een grotere supply chain,” trapt Michael van der Vaart, Chief Experience Officer bij ESET, af. “Maar de partners moeten het bij zichzelf ook goed geregeld hebben.” Met dat laatste doelt Van der Vaart niet alleen op het feit dat ook een MS(S)P aangevallen kan worden, maar tevens dat de software die ze gebruiken om hun eindklanten te managen kwetsbaarheden kan hebben. Kortom: ook de partner is onderdeel van een supply chain.
Bart Jacobs, Commercieel Directeur bij Claranet Benelux, werkt zelf voor een MSP. “Nu lig ik niet zo snel wakker, maar het is inderdaad zaak dat een MSP zich ervan bewust is een draaischijf te zijn tussen leveranciers en eindklanten.” Met die eindklant heeft de MSP natuurlijk een aanbieder-afnemer-relatie. “We moeten die klant wel meenemen op het gebied van security, hij mag er niet vanuit gaan dat wij alles oppakken. Zo zal het bedrijf er zelf ook voor moeten zorgen compliant te zijn.” Waar Jacobs zich wel zorgen over maakt is het vinden van goede mensen. Dat wordt door de meeste aanwezigen herkend.
De partner moet zijn klanten duidelijk maken, dat ze onderdeel zijn van een grotere supply chain
“Security is voor MSP’s van groot belang,” geeft Sander Bakker, Sales Manager bij eSentire aan. Eindgebruikers zijn in dat opzicht afhankelijk van de MSP’s. “Wij leveren onze diensten aan MSP’s, opdat zij die kunnen aanbieden aan hun eindklanten.”
Bakker refereert daarbij aan de verzuchting van Jacobs: MSP’s hebben niet altijd voldoende kennis of personeel in huis om het hele security-landschap 24/7 in te vullen. “Via ons kunnen ze over meer dan tweehonderd analisten beschikken.”
Marcel Reugebrink, Algemeen Directeur van 2Staff, deelt een andere uitdaging voor partijen in de markt. “MSP’s bieden heel veel diensten en de complexiteit in en van IT neemt ongelofelijk toe. Dat betekent dat er een spagaat ontstaat tussen het aantal aanvallen dat ze kunnen waarnemen en analyseren en het aantal mensen dat ze ter beschikking hebben.”
Daarbij wijst Reugebrink erop dat veel datacontacten tussen medewerkers van een bedrijf en de buitenwereld niet via een MSP lopen. “Denk aan sensorinformatie via een door leverancier geplaatste 5G netwerkcommunicatie zonder dat de MSP daarvan af weet.”
Jacobs (Claranet) reageert daar direct op: “Dat is een groot probleem in de maakindustrie. Operationele Technologie (OT) raakt steeds vaker het IT-netwerk. Daar is niet iedereen zich van bewust.”
Voor Aeiko van der Made, Lead Consultant bij OpenText Cybersecurity, is op dit moment Intrusion Detection van het grootste belang. “Hoe zorg je er nou zo snel mogelijk voor dat je optimaal gepositioneerd bent als er een aanvaller in het netwerk zit.” Te vaak wordt een dergelijk incident te laat gedetecteerd. “Als je dat als MSP overkomt heb je echt wel een probleem.”
Operationele Technologie (OT) raakt steeds vaker het IT-netwerk. Daar is niet iedereen zich van bewust
Jeffrey Rijpkema, Vice President of Sales bij Tekle gaat hierop in. “Het is als de schilder die zelf in een huis woont waar de verf afbladdert.”
Rijpkema kent de MSP- en MSSP-sector van binnenuit. “Dat wat ze de klanten adviseren implementeren ze zelf lang niet altijd. Wat dat betreft kan de invoering van NIS2, waarmee MSP’s nadrukkelijk te maken krijgen, een positief effect hebben.”
Een onderwerp om wakker van te liggen is volgens Rijpkema het feit dat organisaties steeds vaker gebruikmaken van automated responses. “Dit, omdat mensen niet langer de kennis hebben, of er te weinig personeel is om alles te overzien. Dan wordt al snel gebruik gemaakt van scripts. Daardoor kun je belangrijke signalen missen of te laat zien.”
 |
 |
 |
|
Jeffrey Rijpkema, VP Sales Tekle |
Marcel Reugebrink, Algemeen Directeur 2Staff |
Bart Jacobs, Commercieel Directeur Claranet Benelux |
 |
 |
 |
|
Aeiko van der Made, Lead Consultant OpenText Cybersecurity |
Michael van der Vaart, Chief Experience Officer ESET |
Sander Bakker, Sales Manager eSentire |
Stelling 1: We hebben AI en ML nodig om de met AI gegenereerde spam te bestrijden.
Volgens Jacobs (Claranet) is dit inderdaad al voor een groot deel werkelijkheid.“Als je kijkt naar security-oplossingen voor e-mail dan vind je weinig producten op de markt die geen machine learning aan boord hebben.” Er is echter zeker sprake van ethische uitdagingen bij de automatisering van een dergelijke oplossing. Van der Vaart (ESET) geeft aan dat zijn onderneming al sinds 1995 gebruik maakt van ML in security-oplossingen. De stelling geeft volgens hem wel een ontwikkeling aan. “Namelijk: het bericht dat je gaat ontvangen is lastiger van echt te onderscheiden. Dat betekent dat je in het traject voordat de ontvanger het in de mailbox vindt moet ingrijpen. Je moet het op een andere manier afvangen, en daar kun je zeker ML of AI voor inzetten.”
Bakker (eStentire) wil het breder trekken dan spam alleen. “Cybercriminelen hebben altijd de modernste technieken ingezet bij alles wat ze doen, en dat gebeurt nu nog. De volgende stap zal kwantumcomputing zijn. De vraag is daarom steeds hoe wij onze reactie op die bedreigingen kunnen versterken.”
Het is een wapenwetloop, merkt Van der Made (OpenText) terecht op. “Daar is ook aan onze kant steeds meer computing power voor nodig.”
Dit overigens in combinatie met het trainen van eindgebruikers in het herkennen van dreigingen. Verschillende bedrijven aan tafel bieden dat aan. Jacobs: “Ook daarbij wordt steeds vaker gebruik gemaakt van AI en ML. Daardoor kun je mensen heel gericht trainen in realistische situaties.”
Reugebrink (2Staff) vraag zich af of de hoeveelheid spam daalt. “Richten criminelen zich inmiddels niet vaker heel getarget op hun slachtoffer?” Volgens anderen is dat verschil niet zichtbaar. Het gaat om verschillende niveaus, van gelegenheidscriminelen die spam-as-a-service loslaten op een groot aantal slachtoffers, tot beroepscriminelen en statelijke actoren die heel gericht ageren. Van der Vaart (ESET): “Die eerste groep blijft groot en wil met weinig werk snel geld verdienen. En daarbij is eigenlijk ieder communicatiekanaal een manier om gebruikers te bereiken.” Dat laatste herkent Rijpkema: “Zelfs via mijn LinkedIn-account ontvang ik continu spam. Via platformen als Facebook en Teams komt minstens zoveel malware op ons af als via de meer traditionele kanalen.”
Stelling 2: De impact van NIS2 zal groot zijn voor MSP’s, zonder dat ze er beter van worden
De stelling adresseert een nog onduidelijk onderwerp. Het is immers nog niet bekend hoe de NIS2-regelgeving er in Nederland uit gaat zien. Het wachten is nog steeds op een consultatieronde door de overheid, maar die werd inmiddels drie keer uitgesteld. Nederland zal waarschijnlijk de deadline niet halen waardoor volgend jaar mogelijk de algemenere Europese richtlijn (tijdelijk) in ons land gaat gelden. Toch is er al wat te zeggen over de impact van NIS2 op MSP’s.
Jacobs, werkzaam bij Claranet, een MSP, reageert als eerste. “We zijn met name bezig met de ketenaansprakelijkheid die NIS2 met zich meebrengt en waarover ik het aan het begin van deze sessie al had.” MSP’s kunnen zeker een rol spelen bij het informeren en adviseren van de eindklant, en moeten zelf ook hun zaken op orde hebben. Rijpkema (Tekle) vraagt zich in dat verband af, of een MSP dan bij de onboarding anders naar nieuwe klanten zal kijken. “Security is de rode draad in ons verhaal,” antwoordt Jacobs. “Wil een eindklant daar niet in mee dan zullen we daar strikt op zijn.” Hij ziet dat eindklanten er in veel gevallen nog lang niet klaar voor zijn. “En dan heb ik het ook over bijvoorbeeld zorginstellingen.”
Van der Vaart (ESET) stelt de vraag hoe MSP’s dit onderwerp interessant maken voor de eindgebruikers. Het heeft immers meer een bestuurlijk dan een technisch kader. Reugebrink (2Staff) reageert hierop. “Ook heel kleine ondernemingen kunnen straks onder NIS2 vallen. Het is van belang er steeds op te wijzen dat de directie verantwoordelijk en hoofdelijk aansprakelijk is. Volgens NIS2 dient het bestuur risicobeheermaatregelen op het gebied van cyberbeveiliging goed te keuren en toezicht te houden op de implementatie ervan. De richtlijn geeft aan dat het bestuur van essentiële entiteiten persoonlijk aansprakelijk gesteld kunnen worden voor de schending van hun verplichting om de naleving van de richtlijn te waarborgen. Dat kan niet gedelegeerd of uitbesteed worden.”
Bakker reageert op het tweede deel van de stelling. “Een MSP wordt er wel degelijk beter van: het is een mooi onderwerp om bij een klant aan tafel te komen. We kunnen niet de hele keten van de klant overzien, maar we kunnen wel aangeven waaraan ze zelf moeten voldoen.” En daarnaast, vult Rijpkema aan, wordt hun eigen bedrijfsvoering ook op een hoger niveau gebracht door deze regelgeving.
Van der Made (OpenText) ziet zeker ook kansen voor MSP’s. “Ze zouden het als een kans moeten benaderen, zowel intern als extern. Intern als check voor de eigen organisatie, extern als gespreksonderwerp om met hun klanten te kijken welke stappen ze nog kunnen maken als het aankomt op NIS2 en wellicht ook welke oplossing daar nog bij passen.”
Jacobs gaat nog in op de ketenverantwoordelijkheid. “In Eindhoven bestaat nu het Cyberweerbaarheidscentrum Brainport dat er met alle bedrijven die er lid van zijn voor wil zorgen dat de hele keten compliant wordt. Zo kunnen enterprises de mkb-schakels in de keten helpen om niet alleen aan de eisen te voldoen, maar brengt men gezamenlijk ook de security-volwassenheid op een hoger plan.”
Stelling 3: Iedereen verzekert zijn huis tegen brand. De kans op een cyberaanval is veel groter, het bewustzijn echter niet
Jacobs (Claranet) is een voorstander van cyberverzekeringen in een zakelijke omgeving. Van der Made (OpenText) is het daarmee eens. “Als de processen bij de klant technisch en qua strategie op orde zijn, men oefent en test, en het gaat dan nog fout is het goed dat er een verzekering is. Maar uiteindelijk blijft een te allen tijde herstelbare kopie van je bedrijfsdata de beste verzekering; die keert een verzekering namelijk nooit uit.”
Van der Vaart (ESET) heeft twijfels. “Ik geloof in het nut van verzekeringen voor kleine bedrijven, om te overleven bij een incident. Maar het moet niet leiden tot schijnveiligheid. Bij een incident is het altijd maar de vraag wat wel of niet gedekt is. Of tot welk bedrag je dan verzekerd bent.”
Rijpkema (Tekle) herkent dit. “Als je een been breekt tijdens een vakantie wordt wel het ziekenhuis en het transport betaald, maar jouw gederfde inkomsten zijn niet gedekt. Het zal lastig zijn dit duidelijk te krijgen bij een cyberverzekering.”
Die duidelijkheid ontstaat pas als verzekeraars, via bijvoorbeeld een automatische check, daadwerkelijk kunnen kijken of de verzekerde alles op orde heeft en houdt. “Daar kan NIS2 wellicht in de toekomst een rol bij spelen. Dan kunnen verzekeraars wellicht bepaalde standaardproposities uitrollen.”
Bakker (eSentire) schetst een situatie zoals die in Amerika bestaat. “Daar ontstaan samenwerkingen tussen verzekeraars en de securityprovider. De laatste zorgt ervoor dat de beveiliging optimaal is, gaat het dan toch mis dan worden ze doorgeleid naar de verzekeraar.”
Bij Managed Detection en Response (MDR) kan Van der Made zich een dergelijke constructie voorstellen. “Bij Endpoint Detection and Response lijkt het me lastiger, voor zoiets moet je breder naar een omgeving kunnen kijken en de opvolging adequaat inregelen. Dus ook naar wat men doet met de meldingen.” Dat is echter precies wat eSentire doet, stelt Bakker, “we reageren op de bedreigingen die we zien en volgen die meldingen op.”
Stelling 4: Eindklanten moeten nauwkeurig bepalen wat ze wel of niet beveiligen.
De toelichting bij deze stelling is wat apart: in het nieuws was een fabrikant van voedingsmiddelen die beweerde dat zijn recepten niet bijzonder waren. “Die mochten best uitlekken.” De manier waarop de machines in zijn fabriek functioneren was volgens de directeur wel uniek. “Daar mag niemand foto’s van maken.”
Volgens Van der Made (OpenText) is selecteren wat nadrukkelijk beschermd moet worden niet nieuw, het wordt al gedaan in de vorm van classificatie van data.” Volgens Rijpkema (Tekle) is dat niet voldoende. “Je moet echt bepalen wat de kroonjuwelen van een onderneming zijn. En vanuit dat gegeven de risico’s bepalen.”
De aanwezigen zijn het erover eens dat dit bij enterprises wel gedaan wordt. Reugebrink (2Staff): “Ik vermoed echter dat veel mkb-ondernemingen nog niet zover zijn.” Hij gaat verder in op het thema, door te stellen dat bij een onderneming, ook als die kleiner is, business continuity, informatiebeveiliging en de professional die dagelijks met de business bezig is samen tot een beleid moeten komen. “Zij kunnen samen een antwoord vinden op de vragen “Welk business proces gaan we beveiligen en hoe gaan we samen met toeleveranciers de digitale keten rondom het businessproces beveiligen?” Bakker (eSentire) reageert instemmend: “En dan zit dit beleid niet alleen verankerd in de strategie van de directie, maar hebben ook de anderen zich geconformeerd op de lange termijn.”
“Maar ook op de business van volgende week,” vult Van der Vaart (ESET) aan. “Voor veel kleinere bedrijven is de toekomst volgende week. Maar ook zij moeten zich realiseren dat het op de driehoek personeel, proces en techniek fout kan gaan. Dan kun je bijvoorbeeld geen klanten meer inplannen. Of facturen uitsturen.”
“Ik geef een geanonimiseerd voorbeeld uit de praktijk,” vult Jacobs (Claranet) aan. “We werken voor een partij die, simpel gezegd, schepen laat varen. Daarop wil een groot aantal contractors en leveranciers onderhoud verzorgen.” Volgens Jacobs houden de business owners binnen de rederij zich daar niet mee bezig, zij willen simpelweg dat die schepen varen. “Het gaat dus eerst om bewustwording. We hebben het hier over OT, dan gaat het potentieel bij een incident om mensenlevens.” Volgens Jacobs, die met Claranet een project verzorgt bij deze rederij, moet je eerst met de business owner praten en uitleggen dat het monitoren van de IT bij en van de toeleveranciers niet minder belangrijk is dan zwemvesten aan boord.
De focus ligt vaak te veel op de techniek en minder op de mensen en processen waardoor er gaten in de verdediging ontstaan
Bakker (eSentire) stelt dat veel bedrijven zich echt wel realiseren dat het niet de vraag is of ze worden aangevallen, maar dat alleen het moment onbekend is. “Maar men realiseert zich niet dat dit consequenties heeft voor de weerbaarheid. De vraag moet zijn: hoe snel kunnen we herstellen en terugkeren naar de oorspronkelijke situatie?” Het antwoord op die vraag is te vinden in een analyse van de risico’s. “Hoe anticipeer je daarop, hoe kun je aanvallen het best weerstaan en als ze toch plaatsvinden: hoe ontdek je de inbraak, hoe stop je het en hoe herstel je de schade. En tot slot: hoe voorkom je een dergelijk incident in de toekomst?”
Dat patroon geldt overigens ook voor de MSP weet Rijpkema. “Zij verkopen geen onfeilbaarheid, maar ook wat na een aanval komt.”
Reugebrink sluit dit onderdeel af. “Ja, NIS2 zet in op security in de keten, en terecht. Maar dat is heel ingewikkeld, blijkt al uit deze discussie. Daar moet over de grenzen van bedrijven heen over nagedacht worden. “En ook dat geldt ook weer voor de MSP,” weet Rijpkema. Die verkopen en beheren immers zelden de complete stack. “Daar werd al eerder in het gesprek aan gerefereerd,” herinnert Jacobs zich. “Ook de software van externe partijen kan kwetsbaarheden hebben.” De deelnemers zijn het er voor een groot deel wel over eens dat de samenwerking tussen de IT-partijen beter kan op dit gebied. Reugebrink: “En ook in dat opzicht moet ik herhalen dat het ook bij die samenwerking gaat om te bepalen hoe de business continuïteit gegarandeerd kan worden. Dat kan een hoop werk zijn.”
Van der Vaart van ESET brengt de complexiteit in zoverre omlaag, door te stellen dat veel MSP’s uiteindelijk vooral Microsoft-omgevingen uitrollen en beheren. “Hun toegevoegde waarde zit in het verhaal daarachter, namelijk de security en het advies over business continuity.” Waarbij, stelt Van der Made, de MSP en de eindklant moeten weten dat niet alle security van de SaaS-aanbieder komt. “Ook voor bijvoorbeeld back-ups kun je maar in beperkte mate op de bekende services vertrouwen.”
Voor Bakker (eSentire) brengt ook die constatering eigenlijk al een te complexe situatie met zich mee voor veel mkb’ers. “Bij elke organisatie waar is ingebroken was eigenlijk al securitytechnologie in huis. Toch vond het incident plaats, want de verdedigende mechanismen werden omzeilt. De focus ligt vaak te veel op de techniek en minder op de mensen en processen waardoor er gaten in de verdediging ontstaan. We kunnen het wel hebben over techniek, mensen en processen, maar zo denkt het mkb niet. Of al die elementen zitten in het hoofd van de directeur. Het is aan een buitenstaander, de serviceprovider, om in die kennis te voorzien.” Jeffrey Rijpkema beaamt dit. “Kleine bedrijven moeten dit allemaal uitbesteden.”
Stelling 5: Bedrijven zouden veel meer openheid moeten geven wanneer ze aangevallen zijn.
In ChannelConnect verscheen eerder dit jaar een column die opriep tot meer openheid. Daar werd door lezers actief op gereageerd, en voor een deel ook afwijzend: ik ga mijn concurrent niet vertellen dat ik gehackt ben!
Bakker (eSentire) wijst erop dat NIS2 partijen zal verplichten een incident binnen 24 uur te melden, waarbij op dit moment nog niet duidelijk is wat er concreet met die melding zal gebeuren. “Het zal bekend worden, maar eigenlijk zou dat niet het probleem mogen zijn. Het kan immers iedereen overkomen.”
Van der Made geeft daar een reactie op. “Afhankelijk van de data waarmee je werkt als organisatie kan ik me toch voorstellen dat er bedrijven zijn die vanuit belangen, reputatie, commercieel, daar in eerste instantie toch terughoudend in zijn.” Jacobs (Claranet) wijst erop dat wanneer bedrijven gezamenlijk optrekken en ook gezamenlijk bevindingen presenteren, zoals ondernemingen in de Brainport doen, dat de bewustwording stijgt.
Reugebrink pleit ervoor meer informatie in de keten te delen. “Als ik CISO ben van een bedrijf en ik besteed zaken uit naar een MSP, dan zou ik een check moeten kunnen doen. Ik wil als verantwoordelijke voor de security toch weten of die partner het goed geregeld heeft.”
Slotronde: tips aan de lezers van ChannelConnect
Tot slot vragen we de deelnemers een advies te geven aan de lezers van ChannelConnect. Aeiko van der Made (OpenText) trapt af: “Als het aankomt op business continuity, zorg dan ook in de eigen organisatie dat je dat goed ingeregeld hebt. En denk daarbij verder dan alleen techniek, dus ook aan processen en mensen. En test het vervolgens ook regelmatig. Marcel Reugebrink van 2Staff benadrukt dat het juist voor de business continuity van groot belang is, dat in een onderneming de CISO, de business owner en de business continuity manager bij elkaar zitten om het bedrijf goed te beveiligen. “Geef vooral ook de business een stem. Leg hem de maatregelen niet op.”
“Ga er steeds vanuit dat een aanval door cybercriminelen plaats zal vinden, niet dat er slechts een kans op een incident is,” is het advies van Sander Bakker (eSentire). “Denk dus na over hoe je zo snel mogelijk herstelt na die aanval. En denk daarbij niet alleen aan techniek, maar ook aan mensen en processen.”
Ga er steeds vanuit dat een aanval door cybercriminelen plaats zal vinden, niet dat er slechts een kans op een incident is
Michael van der Vaart zou MSP’s in het kanaal willen adviseren zich te concentreren op dat waar ze echt goed in zijn. “En als dat niet security is, zoek dan een partner om mee op te trekken. Wellicht kun je dan in een later stadium alsnog security oppakken – of niet: specialisatie is een groot goed.”
Bart Jacobs (Claranet) onderschrijft het advies van Reugebrink als hij adviseert de business niet te vergeten bij de maatregelen die je voorstelt bij een klant. “En vergeet vooral ook de OT-omgeving niet. IT gaat over vervelende e-mail, OT gaat bij een incident wellicht over mensenlevens.”
Jeffrey Rijpkema sluit dan weer aan op het advies van Van der Vaart: “Richt je op je sterke kanten, specialiseer je, maar probeer wel te kiezen voor een segment dat over een paar jaar nog bestaat. Standaardisatie en automatisering zal bepaalde activiteiten overbodig maken.”
