Wanneer er iets mis gaat in de beveiliging van het systeem van de eindklant, kijkt iedereen al snel naar de MSP. Heeft die zijn verantwoordelijkheid wel genomen? Er is steeds meer begrip voor de belangrijke rol die de MSP speelt in het kanaal, maar vaker is er ook aandacht voor situaties waar het mis kan gaan, met name bij de beveiliging van data. Maar de verantwoordelijkheid ligt niet alleen bij de partners, zegt Ryan Weeks, Chief Information Security Officer (CISO) bij Datto. Ook leveranciers spelen een belangrijke rol. Reden te meer voor de MSP om zorgvuldig te zijn bij de keuzes voor zijn leveranciers.
Managed Service Providers spelen een belangrijke rol bij het beschermen van de gegevens van klanten, maar ze vertrouwen erop dat leveranciers deze rol ook serieus nemen. “Inbraken en aanvallen op systemen nemen nog steeds hand over hand toe,” zegt Weeks. “MSP’s moeten constant waakzaam zijn en cyberresilience-benaderingen ontwikkelen die verder gaan dan alleen het aanschaffen en implementeren van beveiligingsoplossingen.”
Vijf pijlers
Een goede, allesomvattende strategie voor cyberbeveiliging, bedrijfscontinuïteit en incidentrespons berust op vijf pijlers: het vermogen om risico’s en bedreigingen te identificeren, en om bescherming te bieden voor alle risico’s (ook recent ontdekte), deze op te sporen, en erop te reageren en eventueel systemen en gegevens te herstellen.
“Veel MSP’s nemen al stappen om deze gebieden te versterken. Maar de beveiligingsstrategie van een organisatie is zo sterk als de zwakste schakel, en zoals verschillende recente beveiligingsinbreuken hebben aangetoond, kunnen derde partijen onvoorziene risico’s introduceren”, zegt Weeks.
Weeks doelt daarmee op de leveranciers, die uiteraard integraal onderdeel uitmaken van de totale leveringsketen van de MSP. “Maar wat de meeste mensen niet beseffen, is dat de relatie tussen MSP en leverancier – opzettelijk of onopzettelijk – risico’s wat betreft eventuele bedreigingen aan het adres van een organisatie kunnen opleveren. Veel MSP’s beginnen zich langzaam te realiseren dat leveranciers de vertrouwelijkheid, integriteit en beschikbaarheid van gegevens misschien niet zodanig beschermen, dat een organisatie weer snel up & running is na een aanval. En de MSP wordt er vervolgens door de eindklant op aangekeken. Eigenlijk zouden MSP’s de mogelijkheid moeten hebben om leveranciers verantwoordelijk te houden voor de kwaliteit van de beveiliging, de resultaten en de mate waarin de software continu paraat is”, bepleit Weeks.
Grondig assessment
Service Level Agreements (SLA’s) tussen partners en eindklanten zijn heel normaal. Waarom zou zo’n SLA niet ook kunnen bestaan tussen leverancier en partner? Volgens Weeks zijn er vier aspecten die bepalen of en hoe een leverancier verantwoordelijk is voor beveiligingsrisico’s, en het is belangrijk dat een MSP deze voldoende onderkent en bespreekbaar maakt bij de leverancier.
“Om te beginnen moet er een grondig assessment van de leverancier en diens producten en diensten plaatsvinden. Daarbij is het belangrijk om de hiaten in de beveiliging vast te stellen die het gebruik van de producten of diensten van de leverancier heeft. “Heb je die niet in kaart gebracht, dan is de kans groot dat je een essentieel onderdeel van de cyberweerbaarheidsstrategie van je organisatie verwaarloost.” Weeks raadt aan om een centraal beheerde inventarisatie aan te maken, waarin elke leverancier wordt geregistreerd, samen met het type producten en diensten die worden aangeboden. Zo kun je in een oogopslag zien waar de hiaten zitten in de aangeboden bescherming.
Prioriteiten stellen
De volgende stap is om prioriteiten te stellen, waarna je op basis van de inventarisatie kunt bekijken bij welke producten en diensten potentieel de grootste schade zou ontstaan wanneer een aanval succesvol is. Dat zijn de producten waar je het eerst aandacht aan moet geven.
“Criteria waarmee je rekening moet houden zijn onder meer: Welk type gegevens bewaart of verwerkt de leverancier namens jou? Hoe diep in jouw organisatie is de leverancier ingebed? Hebben ze bijvoorbeeld lees- en schrijftoegang? In welke mate heeft deze leverancier of dit product interactie met jouw klanten?”
De volgende twee stappen omvatten het evalueren van de leveranciers en het opstellen van SLA’s. Deze gaan met name over hoe er gereageerd wordt op mogelijke inbreuken en door wie. “Zorg ervoor dat de bedrijfscontinuïteitsplannen die zijn ontworpen en getest niet alleen voldoen aan de minimale vereisten, maar ook een antwoord hebben op onvoorziene zaken. Als je je voornamelijk zorgen maakt over jouw gegevens, bouw dan de juiste toegangscontroles in het platform van de toeleverancier in, controleer of de juiste versleutelingsstandaarden worden toegepast en zorg ervoor dat audittrail-logboeken regelmatig worden bekeken.”
Het beheren van leveranciers is een continu proces, geen eenmalige gebeurtenis
Geen eenmalig proces
Ten slotte dringt Weeks er bij de MSP’s op aan de relatie met de leveranciers continu te evalueren. “Het beheren van leveranciers is een continu proces, geen eenmalige gebeurtenis”, zegt Weeks. “Het komt er vooral op aan dat je hiaten in de processen van de leverancier niet over het hoofd te ziet. Blijf alert, onderzoek verder, stel vragen, spreek met de juiste mensen binnen je leveranciers, zodat je ook weet wat hun verdere toekomstplannen zijn en of die straks nog in jouw organisatie passen.”
“Het komt er eigenlijk op neer dat je aan je leveranciers dezelfde vragen moet stellen als in je eigen organisatie: wat zijn de beveiligingsprocessen en -technologieën? Grote tekortkomingen moeten aan beide kanten worden gedocumenteerd en opgevolgd op basis van de onderling opgestelde meetpunten. Tenslotte is het ook zo dat gedocumenteerde kwetsbaarheden ook bij al je leveranciers onder de aandacht moeten worden gebracht. Want ze kunnen ook upstream invloeden hebben. En dat heeft weer gevolgen voor jouw weerbaarheid tegen cybercrime.”
Tekst: Marcel Debets
[Dit artikel is eerder gepubliceerd in Security & Privacy Dossier 2021]