DEZE BLOG IS GEBASEERD OP EEN ARTIKEL GESCHREVEN DOOR SIMON PAMPLIN, CTO, CERTES NETWORKS
In het huidige digitale landschap zijn datalekken een harde realiteit geworden voor bedrijven van elke omvang. Nu cybercriminelen met de dag geraffineerder worden, is het een kwestie van wanneer, en niet of, een datalek zal plaatsvinden. Dit maakt het des te belangrijker voor bedrijven en hun Managed Service Providers (MSP’s) om een duidelijk begrip te hebben van hun respectieve verantwoordelijkheden als het gaat om cyberbeveiliging, met name als het gaat om het dragen van de financiële gevolgen.
Volgens recent onderzoek zijn zowel bedrijven als MSP’s echter alarmerend onzeker over hun wettelijke en financiële verplichtingen in geval van een datalek. De contracttaal is vaak dubbelzinnig, wat ruimte laat voor juridisch getouwtrek en beide partijen aan aanzienlijke risico’s blootstelt. Wanneer een datalek plaatsvindt en gevoelige informatie wordt blootgelegd, komt uiteindelijk geen van beide partijen als winnaar uit de bus.
Zoals Simon Pamplin, CTO van Certes Networks, benadrukt, is het spelen van de schuldvraag niet de oplossing. In plaats daarvan moet de hoogste prioriteit worden gegeven aan de bescherming van de gegevens zelf, zodat zelfs als een cyberaanvaller erin slaagt door de verdediging heen te breken, er niets te zien en niets te winnen valt. Dit betekent een proactieve benadering van de beveiliging van gevoelige gegevens, waaronder de implementatie van sterke encryptie, toegangscontroles en andere geavanceerde beveiligingsmaatregelen die de gevolgen van een mogelijke gegevensinbreuk kunnen beperken.
Uiteindelijk zijn duidelijke communicatie en samenwerking tussen bedrijven en hun MSP’s de sleutel tot succesvolle cyberbeveiliging. Door samen duidelijke verwachtingen en verantwoordelijkheden vast te stellen en robuuste beveiligingsmaatregelen te treffen, kunnen organisaties het risico van een datalek beperken en de gevolgen minimaliseren als dat toch gebeurt.
Financiële last
De financiële last van een datalek kan aanzienlijk zijn, niet alleen wat betreft de directe financiële kosten, maar ook de potentiële reputatieschade voor een bedrijf. Helaas blijkt uit recent onderzoek dat veel bedrijven zich niet volledig bewust zijn van hun wettelijke en financiële verplichtingen als het gaat om inbreuken op de cyberbeveiliging.
Uit een onderzoek van Sapio Research in opdracht van Certes Networks is gebleken dat een aanzienlijk aantal bedrijven hun cyberbeveiligingsverantwoordelijkheden eenvoudigweg uitbesteden aan IT Service Providers (ITSP’s) of Managed Services Providers (MSP’s). In het geval van een datalek verwachten deze bedrijven dat hun ITSP of MSP het grootste deel van de financiële kosten op zich neemt.
Volgens het onderzoek verwacht 48% van de bedrijven die een beroep doen op derden voor het leveren van beveiligingsbeleid dat hun ITSP de kosten dekt in het geval van een datalek. Verbazingwekkend is dat 73% van de ITSP’s zichzelf verantwoordelijk acht voor het betalen van boetes en schadevergoedingen en vindt dat zij 51% van de kosten moeten betalen.
Deze dubbelzinnigheid en dit gebrek aan duidelijkheid over de financiële verantwoordelijkheden en wettelijke verplichtingen zijn een belangrijk punt van zorg. In plaats van het schuldspel te spelen en te proberen de financiële last op ITSP’s en MSP’s af te schuiven, moeten bedrijven prioriteit geven aan de bescherming van hun gevoelige gegevens om inbreuken te voorkomen.
Zoals Simon benadrukt, moet de nadruk liggen op het implementeren van robuuste beveiligingsmaatregelen om ervoor te zorgen dat zelfs als een aanvaller erin slaagt het systeem te doorbreken, er niets te zien en niets te winnen valt. Dit beschermt niet alleen de gevoelige gegevens van het bedrijf, maar helpt ook de financiële gevolgen van een mogelijke inbreuk te minimaliseren.
Kortom, bedrijven kunnen het zich niet veroorloven hun cyberbeveiligingsverantwoordelijkheden volledig uit te besteden aan ITSP’s en MSP’s. Het is belangrijk dat bedrijven hun wettelijke en financiële verplichtingen kennen en proactief stappen ondernemen om hun gevoelige gegevens te beschermen om de financiële gevolgen van mogelijke datalekken te minimaliseren.
De verantwoordelijkheid voor datalekken is een juridisch en reglementair mijnenveld. Veel bedrijven vertrouwen op IT Service Providers (ITSP’s) of Managed Services Providers (MSP’s) om de verantwoordelijkheid op zich te nemen voor de financiële kosten in verband met datalekken. Uit recent onderzoek is echter gebleken dat er onduidelijkheid bestaat over de verplichtingen van beide partijen.
Het probleem wordt nog verergerd door het feit dat senior managers die persoonlijk aansprakelijk zijn voor de naleving van de voorschriften inzake informatiebescherming, hun verantwoordelijkheden niet kunnen overdragen aan externe dienstverleners. Dit roept de vraag op of dergelijke regelingen bestand zijn tegen regelgevend toezicht.
Om juridische en financiële problemen te voorkomen, is het belangrijk dat bedrijven een duidelijk inzicht hebben in hun verantwoordelijkheden en nauw samenwerken met hun ITSP’s of MSP’s om ervoor te zorgen dat passende beveiligingsmaatregelen worden genomen. Uiteindelijk ligt de verantwoordelijkheid voor de bescherming van gevoelige gegevens bij het bedrijf, en het is belangrijk om een actieve rol te spelen bij de beveiliging van deze informatie.
Het is naïef om van een deskundige op het gebied van netwerkbeveiligingsinfrastructuur te verwachten dat hij de volledige implicaties van financieel en reputatieverlies in verband met een datalek begrijpt. Dat is niet hun taak. Zij zijn verantwoordelijk voor de prestaties van de infrastructuur – niet voor de waarde of zekerheid van bedrijfsgegevens.
Simon Pamplin, CTO, Certes Networks
Endemische misvatting
Vertrouwen op een MSP of ITSP kan een goede manier lijken om de zero-trust benadering van het scheiden van beleidsverantwoordelijkheid en systeembeheer te ondersteunen. Elke beveiligingshouding moet echter worden gedefinieerd vanuit een zakelijk standpunt om de gevoeligheid van specifieke gegevenssets weer te geven. Door de verantwoordelijkheid bij de MSP te leggen, wordt de volledige beveiligingshouding zowel gedefinieerd als geleverd door een netwerkbeveiligingsteam, waardoor een duidelijk gebrek aan scheiding van taken kan ontstaan.
Deze aanpak kan ertoe leiden dat contractuele overeenkomsten zinloos worden als een regelgever hard optreedt tegen het gebrek aan scheiding van taken. Bovendien is het juridische standpunt dat de eigenaar van de gegevens verantwoordelijk en aansprakelijk is voor elke inbreuk op de gegevens. Daarom zal elk bedrijf dat ten onrechte denkt dat de MSP of ITSP de rekening betaalt, waarschijnlijk voor een onaangename verrassing komen te staan.
Deze perceptie geeft aan dat veel te veel bedrijven niet op het juiste niveau nadenken over de werkelijke implicaties van gegevensbeveiliging. Functionarissen voor gegevensbescherming en compliance, alsook senior managers, kunnen persoonlijk aansprakelijk zijn voor de bescherming van gevoelige bedrijfs-, klant- en partnergegevens die bij deze beslissingen betrokken zijn. Daarom is het essentieel om te overwegen of het vragen van het netwerkbeveiligingsteam om een MSP aan te stellen voor het leveren van een SD-WAN een adequate aanpak is voor gegevensbescherming en compliance.
Veeleisende waarborgen
De verantwoordelijkheid voor de bescherming van gevoelige gegevens kan niet alleen op de schouders van een deskundige op het gebied van netwerkbeveiligingsinfrastructuur worden gelegd. Zij zijn weliswaar verantwoordelijk voor de prestaties van de infrastructuur, maar niet voor de waarde of zekerheid van bedrijfsgegevens. Het is belangrijk dat bedrijven eigenaar worden van hun gegevens en eisen dat hun MSP of ITSP een extra niveau van gegevensbescherming biedt. In plaats van alleen op de netwerkinfrastructuur te vertrouwen, moeten bedrijven op zoek gaan naar een MSP die beveiligingsmaatregelen biedt die specifiek zijn ontworpen om hun gegevens te beschermen. Op die manier kunnen bedrijfsleiders de zekerheid krijgen dat hun gegevens veilig zijn en aan de regels voldoen.
In plaats van het schuldspel te spelen, moet de prioriteit liggen bij het beschermen van de gegevens om ervoor te zorgen dat zelfs wanneer een aanvaller doorbreekt, er niets te zien en niets te winnen valt.
Simon Pamplin, CTO, Certes Networks
Laag 4, op beleid gebaseerde encryptie is een doeltreffende oplossing voor de bescherming van gegevens in doorvoer. Door alleen de payload van de gegevens te versleutelen en de headergegevens ongemoeid te laten, worden netwerkdiensten en -toepassingen minimaal verstoord. Bovendien biedt deze aanpak een duidelijke scheiding tussen beleidsbepaling en systeembeheer, zodat het versleutelingsbeleid kan worden gebaseerd op de gevoeligheid van bedrijfsgegevens. Dit komt niet alleen ten goede aan gegevensfunctionarissen, maar ook aan netwerkbeveiligingsteams, omdat zij de prestaties van de infrastructuur op peil kunnen houden en er tegelijkertijd voor kunnen zorgen dat gevoelige gegevens beschermd blijven. In het algemeen is de invoering van beleidsgebaseerde encryptie van laag 4 een win-win oplossing voor beide partijen.
Conclusie
Het recente onderzoek van Sapio Research in opdracht van Certes Networks wijst op een grote zorg voor zowel bedrijven als ITSPs/MSP’s, namelijk wie de financiële kosten en juridische verantwoordelijkheid draagt in geval van een datalek. Dit is een belangrijke kwestie omdat beide partijen op lange termijn zakelijke gevolgen kunnen ondervinden die verwoestend kunnen zijn.
Om dergelijke risico’s te vermijden, moeten bedrijven voor een andere aanpak kiezen en een extra laag gegevensbescherming eisen. Het gebruik van beleidsgebaseerde versleuteling in laag 4 zorgt ervoor dat de gegevenslading gedurende de gehele reis wordt beschermd, terwijl alleen de gegevenslading wordt versleuteld en de headergegevens onleesbaar blijven. Deze aanpak beperkt de verstoring van netwerkdiensten of toepassingen tot een minimum en maakt een duidelijke scheiding mogelijk tussen beleidsbepaling en systeembeheer.
Bedrijven moeten eigenaar worden van hun gegevens en eisen dat de MSP of ITSP een ander niveau van gegevensbescherming biedt. Op die manier vertrouwt het bedrijf niet langer op een derde partij om zijn gegevens te beschermen, maar neemt het zelf de verantwoordelijkheid. Deze aanpak elimineert niet alleen het probleem van schuld of kosten, maar beschermt ook de gegevens over de infrastructuur die de MSP of ITSP levert.
Klik hier
om te lezen hoe Layer 4 crypto segmentatie en data assurance uw gegevens en uiteindelijk uw bedrijf zal beschermen.