Beste MSP, security is nu echt permission to play!

Laten we eerlijk zijn: de meeste MSP’ers hebben al jaren aandacht voor informatiebeveiliging. Alleen noemden we het al die tijd niet zo. Antivirus, anti-spam, back-up, disaster recovery en andere oplossingen werden vooral verkocht om menselijke fouten te kunnen herstellen en de continuïteit van de IT van organisaties te waarborgen. Van criminele hackers hebben we lang niet echt last gehad en vertrouwelijkheid was ook niet zo’n hot topic. Maar tijden zijn veranderd!

Waar komen we vandaan?

Ik herinner mij nog dat ik in 2005 grote moeite moest doen om klanten van mijn MSP te overtuigen dat ze toch echt € 1,- per emailadres per maand moesten betalen voor een anti-spam oplossing. Anti-virus werd langzaam al wel als een noodzakelijk kwaad gezien, maar mocht niet te veel kosten. Sommige bedrijven maakten wel back-ups op tape, maar online backup was nog spannend en werd als te duur ervaren. Dat niemand ooit de tapes testte of verving was geen probleem, want het ging over het algemeen toch wel goed.

Inmiddels is de wereld veranderd. Anti-spam en anti-virus zijn geen optie meer. En een zichzelf respecterende MSP neemt geen klanten aan die geen backup hebben ingeregeld. Tegelijkertijd zijn de eisen aan informatiebeveiliging zo hoog geworden, dat deze basismaatregelen niet meer voldoende zijn.

Wat is informatiebeveiliging nu eigenlijk?

Binnen informatiebeveiliging gaat het om beschikbaarheid, integriteit en vertrouwelijkheid. Kort samen gevat:

  • Beschikbaar: Informatie moet beschikbaar en toegankelijk zijn.
  • Integer: Het in overeenstemming zijn van informatie met de werkelijkheid (informatie is juist, volledig en actueel).
  • Vertrouwelijk: De bevoegdheden en mogelijkheden om kennis te nemen van informatie voor een gedefinieerde groep gerechtigden.

Waar staan we nu?

Waar er dus lange tijd vooral aandacht is geweest voor de beschikbaarheid van data en systemen, zijn integriteit en vertrouwelijkheid steeds belangrijker geworden.

In de afgelopen twee jaar is het aantal ransomware aanvallen schrikbarend toegenomen. De integriteit van data werd aangetast doordat criminelen data versleutelden, soms zelfs onherstelbaar. Ook zien we helaas steeds meer voorbeelden van incidenten waarbij data is aangepast, denk bijvoorbeeld aan facturen waarop het bankrekeningnummer is aangepast waarop de betaling moet binnenkomen.

Door strenger wordende privacywetgeving (AVG) is vertrouwelijkheid ook een steeds belangrijker onderwerp geworden. Deel je data met derden terwijl dat niet de bedoeling is, dan heb je al snel te maken met een datalek dat bij de Autoriteit Persoonsgegevens gemeld moet worden. In theorie met een boete tot gevolg.

Dit betekent dat de eisen aan IT-omgevingen en de bedrijven die aangesteld zijn om deze te beheren, fors verzwaard zijn.

Van ‘nice to have’ naar ‘permission to play’

In de afgelopen vijf jaar zien we binnen Guardian360 een verschuiving. Waar MSP’ers en IT-dienstverleners ‘security’ nog als upsell mogelijkheid zagen, is het inmiddels wel duidelijk dat een goed niveau van informatiebeveiliging standaard is.

Helaas is de jurisprudentie niet eenduidig over wat er van een IT-leverancier verwacht mag worden, Dirkzwager geeft echter een goed inzicht op basis van verschillende gerechtelijke uitspraken. De (bijzondere) zorgplicht van de IT-leverancier (MSP) omvat onder andere:

  • Algemeen criterium: redelijk handelend en bekwaam
  • Stelt belang van afnemer te allen tijde voorop
  • Voldoet aan functionaliteiten en specificaties, en kostenbeheersing
  • Waarschuwt voor risico’s
  • Draagt verantwoordelijkheid voor back-up van data
  • Doet voldoende onderzoek naar afnemer
  • Draagt verantwoordelijkheid voor inschakelen derden
  • Heeft bijzondere zorgplicht jegens derden

Kijkend naar een aantal gerechtelijke uitspraken is het waarschuwen voor risico’s niet voldoende. Als MSP word je geacht meer kennis te hebben dan een klant. Daardoor moet je klanten ook aantoonbaar ondersteunen bij het omgaan met deze risico’s. Dit is ook gerelateerd aan de bijzondere zorgplicht: doordat een MSP meer kennis en ervaring heeft en de klant zijn/haar data en systemen aan de MSP toevertrouwt, moet de MSP extra inspanningen leveren om de beschikbaarheid, integriteit en vertrouwelijkheid te garanderen

Om het simpel te stellen: informatiebeveiliging voor klanten op orde hebben is geen optie meer, het is een vereiste. Dit wordt onderschreven door nieuwe wetgeving in 2023: de NIS2.

NIS2

Het Europees Parlement heeft een “voorlopig akkoord” aangekondigd dat tot doel heeft de cyberbeveiliging en de veerkracht van zowel publieke als private entiteiten in de Europese Unie te verbeteren. De herziene richtlijn, genaamd “NIS2” (kort voor netwerk- en informatiesystemen), zal naar verwachting de bestaande wetgeving inzake cyberbeveiliging vervangen die in juli 2016 werd vastgesteld.

In de nabije toekomst moeten organisaties met meer dan 50 werknemers en meer dan 10 miljoen omzet in verschillende sectoren (waaronder financiële, gezondheids- en overheidsinstellingen) kunnen aantonen dat ze aan de nieuwe richtlijn voldoen. Er is digitaal werk aan de winkel, want de beveiligingseisen gaan omhoog: de noodzakelijke maatregelen worden explicieter, het toezicht erop wordt verscherpt en de boetes bij niet-naleving stijgen fors. Daarnaast wordt het verplicht om verder te kijken dan de eigen beveiligingsrisico’s. Ook de risico’s in de relaties met leveranciers in de toeleveringsketen (zoals managed service providers) moeten in aanmerking worden genomen.

Tot de bepalingen in de nieuwe wetgeving behoren het binnen 24 uur signaleren van cyberbeveiligingsincidenten bij de autoriteiten, het patchen van kwetsbaarheden in software en het treffen van risicobeheersmaatregelen om netwerken te beveiligen.

Hoe Guardian360 MSP’ers ondersteunt

Het Guardian360 Lighthouse platform scant IT-omgevingen elke dag op bekende kwetsbaarheden, zwakke wachtwoorden, openstaande poorten en tienduizenden andere zwakke plekken in de beveiliging van netwerken en webapplicaties. MSP’ers krijgen hierdoor dagelijks inzicht en kunnen snel schakelen. Daardoor kan aan de patch verplichting worden voldaan.

De hacker alert appliance detecteert kwaadwillenden in netwerken. Hierdoor kan hoge schade voorkomen worden. Én kan er worden voldaan worden aan de meldplicht.

Ook brengt het Lighthouse platform afwijkingen van de AVG en 15 normen en richtlijnen in kaart, waardoor een organisatie snel inzicht heeft waar zij afwijkt van dwingende wetgeving.

Uiteraard worden alle gevonden aandachtspunten voorzien van adviezen hoe deze te verhelpen. Hier zijn geen informatiebeveiliging specialisten voor nodig. Ervaren systeem- en netwerkbeheerders kunnen direct met de bevindingen aan de slag!

Wil je klanten nóg beter beveiligen?

Neem dan contact op met Jeff Scipio (https://www.linkedin.com/in/jeffscipio/) of met mijzelf (https://www.linkedin.com/in/janmartijn/) en verhoog het beveiligingsniveau van je klanten vandaag nog!

Bronnen

Geef een reactie

Je e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *