6 min Security

Hoe weet je of een derde partij veilig omgaat met je bedrijfsdata?  

Insight: Security Platforms

Hoe weet je of een derde partij veilig omgaat met je bedrijfsdata?  

Oktober staat binnen de IT-industrie gekend als cybersecurity awareness maand. Met verschillende aanvallen van de groepen Killsec en NoName op Belgische organisaties en overheidsinstanties, mag dit thema de nodige aandacht krijgen. We laten vier experten hun licht schijnen op de gebeurtenissen en mogelijke preventiemaatregelen.

Door een hack bij softwarebedrijf Penbox lekte vorige maand data van bank Belfius en verzekeraars DVV en CDA. Deze organisaties werden zo onrechtstreeks slachtoffer van een aanval van ransomwarecollectief Killsec. Gevoelige data van hun klanten was immers gelekt zonder dat een aanvaller ook maar één van de interne systemen van deze bedrijven moest binnendringen.

Hetzelfde geldt voor de klanten van MediCheck. Killsec blijkt de laatste periode erg actief rond te neuzen bij Belgische bedrijven en slaagde erin om ook de interne systemen van MediCheck te compromitteren. Uiteindelijk lekte de patiëntverslagen van de verschillende controleartsen van het bedrijf. De onrechtstreekse impact schaalde op tot 300 bedrijven, ofwel de klanten van MediCheck.

Hackers kiezen voor hoge impact

Voor ransomware-groepen zijn dergelijke organisaties zeer interessante doelwitten. Enerzijds zijn ze actief voor veel organisaties. Onder die honderden bedrijven zullen er verschillende druk uitoefenen om losgeld te betalen, in de hoop dat de data niet verder gedeeld wordt. De aanvallers zien met andere woorden hun kansen stijgen dat het gehackte bedrijven uiteindelijk met geld over de brug komt. Anderzijds gaat het om bedrijven in belangrijke sectoren, financieel en medisch, waardoor de gestolen data een hogere waarde heeft.

Een datalek zet natuurlijk geen enkel bedrijf in een goed daglicht. De systemen van je eigen bedrijf kunnen dan wel zo goed als dichtgetimmerd zitten, maar hoe zit het bij je partners? We gaan in gesprek met verschillende aanbieders van security-oplossingen over hoe je de cyberveiligheid van een partner test.

Bewustwording

De eerste stap waar de experten op wijzen is de bewustwording bij de partner over het belang van goede beveiliging en de cyberrisico’s. “Creëer een cultuur waarin er aandacht is voor security awareness en waar trainingen regelmatig worden gegeven. Verzeker dat werknemers niet alleen in je eigen bedrijf, maar ook in het partnerbedrijf regelmatig worden bijgeschoold over de beste mogelijkheden om data te beschermen en de nieuwste cyberdreigingen”, zegt Chris Morgan, Senior Cyber Threat Intelligence Analyst bij ReliaQuest.

Volgens Simen Van der Perre, Cybersecurity-expert bij Orange Cyberdefense, is het minstens zo belangrijk dat bedrijven zichzelf bewust zijn van hun afhankelijkheid van partners. “Dat begint bij te weten welke data de externe partij voor je bedrijf verwerkt. Daarna bekijk je welke risico’s daaraan verbonden zitten. Daarin wordt een antwoord gezocht op volgende vragen: Wat als data verloren gaat? Wat als data geraadpleegd wordt door mensen die niet gemachtigd zijn? Wat als de data niet beschikbaar is?”  

Wetgevingen niet het eindpunt

Een onderdeel dat hier volgens Arun Kumar, Regional Director APAC bij ManageEngine, aan verbonden zit, is de regelgeving. Het bedrijf laat partners namelijk deelnemen aan bewustwordingsprogramma’s waarin de regelgeving over het omgaan met persoonlijke gegevens een onderdeel vormt. Hij en andere experten zien regelgeving tegelijk als een goed middel om bepaalde beveiligingsvoorwaarden op te kunnen leggen. “Aangezien we bij ManageEngine GDPR-compliant zijn, leggen we ook voorwaarden vast over hoe onze partners met gegevens moeten omgaan als onderdeel van de overeenkomsten.”

“Maak duidelijke afspraken over databescherming en stel contracten op waarin de verwachtingen en beveiligingsprotocollen staan omschreven die je partner dient te hebben. Dit is essentieel om de rollen en verantwoordelijkheden van beide partijen duidelijk te hebben”, zegt Morgan. Wat voor je bedrijf specifiek belangrijk is, ook inzake wetgevingen, krijgen allemaal een plaats in dergelijke contracten.

Een kritiek die doorgaans op wetgevingen zoals het nieuwe NIS2 wordt gegeven, is dat deze wetgevingen te weinig verplichtingen opleggen om te kunnen spreken van een goede staat van beveiliging. Het advies van de verschillende experten zal daarom ook veel meer aspecten bevatten dan de wetgeving alleen. Het kan daarentegen wel een handig opstapje zijn om een gesprek over security met een partner aan te gaan.

Woorden controleren

Een voordeel dat uit het maken van afspraken vloeit is dat het je ook mogelijkheden geeft om hier controles op uit te voeren. Een essentieel onderdeel om een partner werkelijk te kunnen vertrouwen met bedrijfsdata, vindt Morgan. Het is volgens hem ook een goed idee om de verantwoordelijkheid hiervoor bij de partner te leggen. “De security van een partner kan je voortdurend in de gaten houden door periodieke rapporten te vragen over de security posture. Dergelijke rapporten stellen je bovendien meteen op de hoogte van beveiligingsincidenten en de stappen die de partner ondernomen daaropvolgend ondernam.”

Van der Perre geeft nog andere mogelijkheden voor controle. “Denk bij het opstellen van de contracten al na over de mogelijkheden voor controle. Dit kan bijvoorbeeld in de vorm van regelmatige audits, maar ook met penetration testen of certificeringen die de derde partij voor moet kunnen leggen.”

Het gevaar niet uit de weg gaan

Beveiligingsincidenten of datalekken kunnen zich altijd blijven voordoen. Daarom raden de experten aan om het gevaar niet uit de weg te gaan en met de partner de incident-response te bekijken. “Zorg dat er een plan is met de derde partij om te reageren in het geval er een cyber security incident zich voordoet”, stelt Van der Perre. “Goed uitgedachte plannen kunnen de schade beperken en voor sneller herstel zorgen”, vult Morgan aan.

Op dit punt haakt Koen Segers, Managing Director Belux bij Dell nog aan. “Veel bedrijven hebben intussen wel door dat preventie niet volstaat. Het is immers niet de vraag of je getroffen kunt worden door een aanval, maar wel wanneer dat zal gebeuren. De grootste kost van een cyberaanval zit in de tijd die je nodig hebt om de productie of de business terug op gang te brengen. Daarvoor heb je de laatste schone versie van je data nodig – een versie waarvan je weet dat er geen malware in zit. Helaas weten veel bedrijven dat niet, waardoor er veel tijd verloren gaat en er bovendien geen garantie bestaat dat de gebruikte kopie effectief malwarevrij is.”

Een belangrijk gegeven om in het achterhoofd te houden is dat cybersecurity voortdurend verandert, waardoor je altijd kan bijleren van elkaar. “Samenwerken is belangrijk voor een sterke beveiliging. Werk daarom samen aan beveiligingsinitiatieven en deel informatie over mogelijke risico’s voor sterkere databeveiliging”, geeft Morgan ten slotte nog mee.

Lees ook: Ticketmaster-incident toont: aanvallers breken niet meer in, maar loggen in