Nieuws

Britse overheid: gebruik van managed serviceprovider is security trade-off

dinsdag 10 januari 2023, 11:33 door Redactie, 5 reacties

Het gebruik van een managed serviceprovider (MSP) voor het beheer van systemen is een security trade-off. Organisaties doen er dan ook verstandig aan om te controleren of hun MSP de eigen beveiliging wel op orde heeft, zo adviseert het National Cyber Security Centre (NCSC) van de Britse overheid.

Managed serviceproviders beheren systemen voor hun klanten. Dit heeft als voordeel dat organisaties over meer expertise en kennis kunnen beschikken dan ze zelf kunnen inhuren, aldus het NCSC. Het houdt echter ook in dat organisaties de MSP beheerderstoegang tot hun systemen en data moeten geven. Dit vergroot het aanvalsoppervlak. Zo zijn de afgelopen jaren meerdere MSP's het slachtoffer van aanvallers geworden.

Die weten het systeem van de managed serviceprovider te compromitteren waarmee het de systemen van klanten beheert. Zo krijgen de aanvallers ook toegang tot de systemen van de klanten van de MSP, en kunnen zo bijvoorbeeld ransomware uitrollen. "We hopen dat dergelijke infrastructuur goed is beveiligd en MSP's verschillende apparaten en accounts voor beheertaken gebruiken dan voor e-mail en online browsen", zo stelt het NCSC. "We hebben echter gehoord van bedrijven die dit niet doen."

Organisaties moeten dan ook zelf controleren en bevestigen dat hun MSP de beveiliging op orde heeft, in plaats van dit aan te nemen. Het NCSC geeft vijf zaken die organisaties zo snel mogelijk zouden moeten checken. Het gaat dan bijvoorbeeld of de MSP contractueel verplicht is om eventuele datalekken en inbraken te melden, of de serviceprovider zich aan de regels voor veilig systeembeheer houdt en of de aan de MSP toegekende rechten wel proportioneel zijn voor het uitvoeren van de werkzaamheden.

Ierse privacytoezichthouder aangeklaagd over beslissing datalek Facebook

EFF: cybercrimeverdrag VN vormt bedreiging voor privacy en meningsuiting

Reacties (5)

10-01-2023, 11:46 door Anoniem

Leuk. Maar hoe controleer je dat? Een verhullende stofwolk bestaande uit 'procedures' en 'certificeringen' blijft een stofwolk.
Het blijft een kwestie van vertrouwen. Vertrouwen wat best vaak beschaamd wordt...

10-01-2023, 12:13 door Anoniem

Dus omdat je niet de juiste kennis hebt, wil je graag gebruik maken van MSP. Echter, dan zegt de NCSC dus:

Organisaties moeten dan ook zelf controleren en bevestigen dat hun MSP de beveiliging op orde heeft, in plaats van dit aan te nemen.

Hoe dan?

Moet ik nu als klant van een MSP een security audit eisen van de MSP? En wie betaald die? Dit zijn zulke niets zeggende uitspraken. Als de NCSC nu ballen had, dan hadden ze geeist van MSP dat er een half jaarlijkse security audits zijn. En anders mag je niet als MSP opereren.

Het lijkt er steeds meer op dat het opentrappen van open deuren voldoende is als taak van de NCSC. Maar handvaten hoe te doen, tja dat is ook voor hun te lastig.

Dit gaat in de toekomst alleen maar erger worden, want op papier klopt alles, in werkelijkheid .....

TheYOSH

10-01-2023, 14:42 door bart_hGn4mQe

Door TheYOSH:
Moet ik nu als klant van een MSP een security audit eisen van de MSP? En wie betaald die?

Ja. De MSP.

Het is voor cloud hosting bedrijven heel normaal om hun interne processen (inclusief security update beleid en praktijk) te laten controleren door een externe accountant. Dat geeft dan een mooi SOC2 (o.i.d.) rapport met wat conclusies waar jij als klant naar kan vragen. Geen certificering? Dan kies je gewoon een leverancier die het wel heeft. Daar zijn er genoeg van.

De extra kosten vallen dan ook best mee omdat er 1x een audit gedaan wordt die wat tijd en geld kost, maar een MSP heeft ook veel klanten om die kosten over te verdelen.

10-01-2023, 19:49 door Anoniem

Ja het kopen van software bij anderen, bijvoorbeeld een operating system, is ook een security trade-off.
Je moet maar hopen dat het systeem veilig is en niet alleen gemaakt is om geld mee te verdienen.
En als er bij de producent wordt ingebroken kan die via het automatische update mechanisme allerlei malware uitrollen.
Organisaties moeten dan ook zelf controleren en bevestigen dat hun softwareproducent de beveiliging op orde heeft.
Maar dat doet niemand, ze kopen het allemaal omdat iedereen het koopt.

13-01-2023, 12:18 door Anoniem

Door Anoniem: Als de NCSC nu ballen had, dan hadden ze geeist van MSP dat er een half jaarlijkse security audits zijn. En anders mag je niet als MSP opereren.

Dat kan en mag NCSC helemaal niet, dat is geen wetgever en geen wetshandhaver. De taak van NCSC is om advies en ondersteuning te geven aan de publieke en private sector over het vermijden van computerbeveiligingsproblemen. Ze kunnen alle ballen hebben die je zou willen, maar dingen eisen en verbieden hoort niet tot hun bevoegdheden.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer