Britse overheid: gebruik van managed serviceprovider is security trade-off
Het gebruik van een managed serviceprovider (MSP) voor het beheer van systemen is een security trade-off. Organisaties doen er dan ook verstandig aan om te controleren of hun MSP de eigen beveiliging wel op orde heeft, zo adviseert het National Cyber Security Centre (NCSC) van de Britse overheid.
Managed serviceproviders beheren systemen voor hun klanten. Dit heeft als voordeel dat organisaties over meer expertise en kennis kunnen beschikken dan ze zelf kunnen inhuren, aldus het NCSC. Het houdt echter ook in dat organisaties de MSP beheerderstoegang tot hun systemen en data moeten geven. Dit vergroot het aanvalsoppervlak. Zo zijn de afgelopen jaren meerdere MSP's het slachtoffer van aanvallers geworden.
Die weten het systeem van de managed serviceprovider te compromitteren waarmee het de systemen van klanten beheert. Zo krijgen de aanvallers ook toegang tot de systemen van de klanten van de MSP, en kunnen zo bijvoorbeeld ransomware uitrollen. "We hopen dat dergelijke infrastructuur goed is beveiligd en MSP's verschillende apparaten en accounts voor beheertaken gebruiken dan voor e-mail en online browsen", zo stelt het NCSC. "We hebben echter gehoord van bedrijven die dit niet doen."
Organisaties moeten dan ook zelf controleren en bevestigen dat hun MSP de beveiliging op orde heeft, in plaats van dit aan te nemen. Het NCSC geeft vijf zaken die organisaties zo snel mogelijk zouden moeten checken. Het gaat dan bijvoorbeeld of de MSP contractueel verplicht is om eventuele datalekken en inbraken te melden, of de serviceprovider zich aan de regels voor veilig systeembeheer houdt en of de aan de MSP toegekende rechten wel proportioneel zijn voor het uitvoeren van de werkzaamheden.
Het blijft een kwestie van vertrouwen. Vertrouwen wat best vaak beschaamd wordt...
Moet ik nu als klant van een MSP een security audit eisen van de MSP? En wie betaald die? Dit zijn zulke niets zeggende uitspraken. Als de NCSC nu ballen had, dan hadden ze geeist van MSP dat er een half jaarlijkse security audits zijn. En anders mag je niet als MSP opereren.
Het lijkt er steeds meer op dat het opentrappen van open deuren voldoende is als taak van de NCSC. Maar handvaten hoe te doen, tja dat is ook voor hun te lastig.
Dit gaat in de toekomst alleen maar erger worden, want op papier klopt alles, in werkelijkheid .....
TheYOSH
Moet ik nu als klant van een MSP een security audit eisen van de MSP? En wie betaald die?
Het is voor cloud hosting bedrijven heel normaal om hun interne processen (inclusief security update beleid en praktijk) te laten controleren door een externe accountant. Dat geeft dan een mooi SOC2 (o.i.d.) rapport met wat conclusies waar jij als klant naar kan vragen. Geen certificering? Dan kies je gewoon een leverancier die het wel heeft. Daar zijn er genoeg van.
De extra kosten vallen dan ook best mee omdat er 1x een audit gedaan wordt die wat tijd en geld kost, maar een MSP heeft ook veel klanten om die kosten over te verdelen.
Je moet maar hopen dat het systeem veilig is en niet alleen gemaakt is om geld mee te verdienen.
En als er bij de producent wordt ingebroken kan die via het automatische update mechanisme allerlei malware uitrollen.
Organisaties moeten dan ook zelf controleren en bevestigen dat hun softwareproducent de beveiliging op orde heeft.
Maar dat doet niemand, ze kopen het allemaal omdat iedereen het koopt.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.