De adoptie van cloudopslag diensten versnelde tijdens de coronacrisis. Nieuwe werkvormen waren snel uit te rollen door cloud-services in te zetten. Uit onderzoek blijkt dat het hybride werken leidt tot beveiligingsuitdagingen voor kleine en middelgrote ondernemingen. Dit biedt MSP’s kansen, mits ze hun eigen omgeving goed beveiligen.
Het Nederlandse bedrijfsleven is koploper als het om cloud gaat. 65 Procent van de Nederlandse bedrijven maakte in 2021 gebruik van cloud-diensten. Hieronder vallen zowel het gebruik van cloud-opslag als van cloud-applicaties. In Europa maakte gemiddeld 41 procent van de bedrijven gebruik van cloud.
Ondernemingen slaan daarbij steeds meer bedrijfskritische data op in de cloud. Vooral kleinere ondernemingen houden daarbij twijfels. Het gebrek aan eigendom en controle maakt het moeilijk om gegevensbeveiliging te garanderen. Dit terwijl AVG-wetgeving de nodige eisen stelt aan de bescherming van persoonlijke data. Ook neemt het aantal geavanceerde aanvallen door cybercriminelen toe. Ook kleine en middelgrote ondernemingen zijn steeds vaker slachtoffer van ransomware-groepen.
Zelf monitoren cloudopslag tijdrovend
Het veilighouden van een omgeving, die vaak uit zowel een on-premise als een cloud bestaat is ingewikkeld voor een MKB’er. Dat blijkt uit een rapport van een IS Decisions onder 300 ondernemingen. Zij deden onderzoek bij degenen die de IT beheren binnen kleine tot middelgrote bedrijven. De meeste organisaties (80%) vertrouwen bij cloud-opslag op de native beveiliging van de hyperscaler. Iets minder dan de helft controleert elke dag de toegang handmatig (42%), wat niet alleen tijdrovend en complex is om te doen, maar ook onderhevig aan menselijke fouten. Iets meer dan een derde (38%) monitort steeksproefgewijs de toegang. Dit is minder tijdrovend, maar de kans een aanval te missen of er te laat achter te komen is regel. En 9% controleert de toegang helemaal niet. Dit maakt het lastig de bron te achterhalen als zich een incident voordoet.
Het is duidelijk dat hier kansen liggen voor MSP’s. Toch is ook hun activiteit niet zonder risico. Zo ontstond in april 2022 paniek onder verschillende woningbouwcorporaties. Via een dienstverlener met meerdere partijen in deze sector, werden acht corporaties slachtoffer van een cyberaanval. Websites werkten niet meer en de telefonische bereikbaarheid was slecht. Ook was sprake van een datalek.
MSP zelf een interessant target
De aanval staat niet op zichzelf. MSP’s zijn een interessant target. “Je hebt wellicht als dienstverlener niet veel mensen in dienst, maar hebt wel toegang tot de omgevingen van tientallen klanten,” geeft Ashley Schut van security-specialist ESET aan. “Dat maakt jouw bedrijf minstens zo interessant voor cybercriminelen als een enterprise-organisatie.”
Daarbij komt nog, dat de verschillende ransomware, zoals BlackCat, specifieke tools inzetten die vaak door MSP’s worden ingezet. Bijvoorbeeld om de klantomgevingen te beheren of om software uit te rollen. Ook de bekende Kaseya ransomware-aanval die in juli werd gelanceerd, trof Managed Service Providers (MSP’s). Ook hier maakten hackers gebruik van een kwetsbaarheid in de remote monitoring software van de softwareleverancier. De aanval trof ongeveer 60 MSP’s en duizenden klanten van deze providers.
Aanbieders cloudopslag moeten veiligheid laten zien
Als het gaat om security bij cloudopslag komen dus eigenlijk twee uitdagingen bij elkaar. Enerzijds het beveiligen van de data (en de omgeving) van de klant. Anderzijds het beveiligen van de eigen omgeving van de MSP. Daar waar de MPS’s vaak wel hun klanten wijzen op de gevaren, maar er zelf voor hun eigen bedrijf nog niet zo mee bezig zijn, daar is de skepsis bij de klanten er al sinds de eerste cloud stappen. Uit het eerder aangehaalde onderzoek van IS Desicions blijkt dat als het gaat om gegevensbeveiliging, organisaties zich nog steeds duidelijk zorgen maken over het vertrouwen van derden.
Hoewel de voordelen van de cloud algemeen onderkend worden, laat onderzoek zien dat 61% van de MKB-bedrijven vindt dat hun gegevens niet veilig zijn in de cloud. 63% meent dat cloudproviders meer moeten doen om dataveiligheid aan te tonen. Ook is 53% bezorgd dat gegevens niet-versleuteld zijn wanneer ze in de cloud worden opgeslagen, of zich van en naar de cloud bewegen. Deze cijfers zijn zo verontrustend, omdat MKB’ers niet over eigen specialisten beschikken en zich juist daarom wenden tot partners als het over cloud-opslag gaat.
Momentum voor partners
De incidenten in combinatie met de groei van de cloud-adoptie, zorgen dus voor momentum voor MSP’s. Maar naarmate meer en meer klanten cloudopslag gebruiken, moeten MSP’s de meerlaagse beveiligingsoplossingen bieden die nodig zijn om hun gegevens veilig te houden. En die ook zelf toepassen. De manier waarop de partner zijn eigen beveiliging organiseert, is steeds vaker een belangrijk selectiecriterium voor (potentiële) klanten. “Practice what you preach,” zegt Schut van ESET. “Daarbij kun je klanten aan de hand van jouw eigen beschermingsstrategie in de praktijk demonstreren hoe de beveiliging van de data werkt.”
Gebruik als provider van cloudopslag een XDR-platform om je weerbaarheid te vergroten.
De leverancier lanceerde onlangs een XDR-platform speciaal voor MSP’s. Schut: “Met dit beveiligingsniveau kunnen MSP’s uitgebreidere proactieve beveiliging aanbieden aan klanten in de vorm van de XDR-tool.” Dit brengt de MSP’s twee belangrijke voordelen: ten eerste een professionalisering van de dienstverlening door het inzetten van de meest geavanceerde security-oplossingen. “Ten tweede moedigen wij MSP’s ook aan om het platform zelf te gebruiken om zo de eigen weerbaarheid te vergroten. Juist om als MSP veiliger te kunnen opereren.”
Vijf best practices
Na de Kaseya-aanval formuleerde de Amerikaanse regering vijf stappen die organisaties helpen de ransomwaretsunami het hoofd te bieden. De aanbevolen best practices, vertaald naar de activiteiten van een MSP zijn :
- Zorg ervoor dat back-ups regelmatig worden getest en dat ze niet verbonden zijn met het bedrijfsnetwerk.
- Update en patch de eigen systemen tijdig en onderhoud de beveiliging van besturingssystemen, applicaties en firmware.
- Test regelmatig het incident response plan. Zorg voor meerdere back-ups van dit plan – ook offline!
- Gebruik een pentester van een derde partij om de beveiliging van de eigen systemen te testen. Deel de resultaten met alle (potentiële) klanten.
- Gebruik steeds de sterkst mogelijke wachtwoorden. Verander die vaak.
- Pas multifactor authenticatie en encryptie toe voor gegevens ‘in rust’ en ‘in transit’.
Bedrijven die cloudopslag willen gebruiken, zullen steeds vaker op zoek gaan naar MSP’s die hen kunnen helpen bij de implementatie van deze best practices.
“Er moet ruimte blijven voor kleinere cloudproviders”
Het succes van cloud heeft gevolgen voor de relatie tussen cloud-aanbieders en het bedrijfsleven. Vooral als het gaat om grote platforms. De Autoriteit Consument en Markt (ACM) ziet risico’s voor de concurrentie op deze markt. Ze vindt het belangrijk om bedrijven en organisaties hiertegen te beschermen.
Gratis cloud-opslag als lokkertje
Manon Leijten, bestuurslid van de ACM wijst erop dat de concurrentie tussen clouddiensten zich vooral richt op het moment waarop bedrijven of instellingen hun aanbieder voor het eerst kiezen. Aanbieders proberen hen dan te verleiden. Bijvoorbeeld met gratis clouddiensten, zoals een bepaalde capaciteit aan cloud-opslag, en door volumekortingen aan te bieden. “Wie eenmaal een keuze heeft gemaakt, kan daarna moeilijk overstappen naar een andere aanbieder.”
Dominantie voorkomen
Simon BestemanBehoud van concurrentie en het voorkomen van dominantie van enkele aanbieders is naar het oordeel van Simon Besteman, directeur van Dutch Cloud Community, essentieel. “Ook kleinere spelers moeten hun kansen op de markt van clouddiensten behouden.”
Kleinere spelers mee laten wegen
Leijten (ACM) onderkent dat. Ze vindt dat aanbieders van clouddiensten verplicht moeten worden om interoperabiliteit mogelijk te maken. Besteman: “Zo verkleinen we de risico’s op lock-in voor afnemers. En geven we kleinere aanbieders de mogelijkheid om beter te concurreren. Bij betere interoperabiliteit kunnen afnemers ook diensten van kleinere spelers meenemen in hun cloud-strategie.”
