De traditionele beveiligingsperimeter bestaat niet meer. Moderne bedrijven opereren in uitgestrekte ecosystemen van leveranciers, SaaS-platforms en externe partners. Een dergelijk ecosysteem biedt veel kansen voor productiviteit, efficiëntie en het verbeteren van dienstverlening voor eindklanten. De onderlinge afhankelijkheid binnen deze ecosystemen is echter ook een van de grootste beveiligingsrisico’s voor organisaties. Volgens recent onderzoek van Zscaler zegt 68% van de IT-leiders dat hun organisatie meer dan ooit afhankelijk is van externe partners, terwijl minder dan de helft risicobeheermaatregelen voor derden heeft geïmplementeerd. Dit is opvallend, aangezien 60% van de respondenten ook meldt dat ze het afgelopen jaar een storing hebben ondervonden die is veroorzaakt door een leverancier of externe partij. En 63% verwacht binnen die komende twaalf maanden nog een dergelijk incident mee te maken.
Dit soort incidenten blijven zelden beperkt tot de eigen omgeving: wanneer een leverancier of serviceprovider wordt gehackt, heeft dit een domino-effect op het hele ecosysteem. De bedrijfsvoering kan stil komen te liggen, gevoelige gegevens worden blootgesteld of de toegang tot cruciale diensten wordt geblokkeerd. Desondanks geeft 42% van de organisaties aan dat hun beveiligingsstrategie externe partners en leveranciers omvat. Aanvullend heeft slechts 34% er vertrouwen in dat hun huidige beveiligingsmaatregelen bestand zijn tegen de volatiliteit van hun toeleveringsketen.
Maatregelen voor beveiliging en veerkracht kunnen in deze verbonden wereld niet langer enkel gericht zijn op de eigen organisatie. Echte veerkracht vereist dat elke interactie, intern of extern, grondig wordt gecontroleerd. De uitdaging is het vinden van de balans tussen het handhaven van hoge beveiligingsnormen en het voorkomen van datalekken, en het efficiënt blijven samenwerken met externe partners.
De verschillende vormen van third-party risico’s
De risico’s van gecompromitteerde derde partijen manifesteren zich op diverse manieren, die elk een unieke dreiging vormen voor de bedrijfscontinuïteit of data-integriteit. In de meeste scenario’s fungeert een externe partner of leverancier als een directe toegangspoort tot het netwerk van een organisatie. Als een organisatie traditionele, te permissieve netwerkverbindingen (zonder brede Virtual Private Network- of IPsec-tunnels) heeft, kan een aanvaller moeiteloos vanuit het netwerk van de leverancier rechtstreeks toegang krijgen tot de omgeving van de hostorganisatie.
Een andere, veelvoorkomende dreiging komt voort uit het overmatig delen van data en informatie. Veel organisaties delen onbewust veel kritieke data met hun partners. En dit overmatig delen van informatie brengt enorme risico’s met zich mee. Als de partner wordt gehackt, krijgt de aanvaller direct toegang tot deze gegevens. Dit betekent dat intellectueel eigendom, klantgegevens of operationele details kunnen worden gestolen, niet door een eigen beveiligingsfout, maar door een fout van de partner. Dit risico is vaak moeilijk te beperken zodra de gegevens eenmaal zijn overgedragen.
Een laatste risico is een onderbreking van de bedrijfscontinuïteit doordat de diensten van de partner offline gaan door een incident of cyberaanval. Zeker als het gaat om een provider van clouddiensten, een SaaS-platform of externe dienst, kan het verlies hiervan een impact hebben op kritieke bedrijfsfuncties waardoor de hele dienstverlening lam wordt gelegd. Hoewel dit geen direct datalek betreft, heeft het wel een grote impact op de veerkracht en continuïteit.
AI-agents introduceren een nieuwe, nog veelal onbekende risicocategorie als het gaat om het beheren van third-party risico’s. AI-agents hebben toegang nodig tot data en systemen. Daarmee vormen ze als het ware de snelstgroeiende golf van ‘contractanten’ waarmee een organisatie ooit te maken heeft gehad. Zonder duidelijke beveiligingsprotocollen, authenticatiemechanismen en gedefinieerde wettelijke aansprakelijkheid, vormen deze tools een aanzienlijk en potentieel onbeheersbaar risico.
Verbeterde veerkracht gaat verder dan het least privilege-principe
Om deze risico’s effectief te beperken, moeten organisaties hun aanpak verschuiven van toegang op basis van ‘least privilege’ naar toegang tot minimale informatie en met continue vertrouwensverificatie. Dit noemen we ‘least information by design’. Deze aanpak beperkt welke informatie kan worden geraadpleegd of verplaatst, zelfs nadat een gebruiker zich heeft geauthenticeerd. Beleid wordt gebaseerd op de context en intentie, wat zorgt voor gedetailleerde toegang. Een externe partner kan bijvoorbeeld toegang krijgen tot een ERP-systeem, maar niet tot financiële documenten of fusie- en overnamegegevens.
Deze aanpak verfijnt controle tot de minimale functionaliteit. Daarnaast kan toegang beperkt worden tot een ‘alleen lezen’-functionaliteit, waardoor de kans op opzettelijk of onbedoelde beschadiging van gegevens drastisch verkleind wordt. De intentie van de interactie wordt bepaald door bijvoorbeeld een prompt of reeks acties te analyseren. Op basis van die analyse kan een organisatie beveiligingsmaatregelen treffen tegen afwijkend of risicovol gedrag, ongeacht de basisrechten van de gebruiker.
Toegang tot informatie kan ook op een andere manier worden bepaald via een eenvoudige validatie, zonder dat het nodig is continu volledige inloggegevens in te voeren. Deze aanpak werkt via Zero-Knowledge Proofs. Het idee is eenvoudig: bewijzen dat je een stukje informatie kent of bezit, zonder die informatie te onthullen. In plaats van een leverancier volledige voorraadgegevens te verstrekken nadat deze zijn inloggegevens heeft ingevoerd, stelt de leverancier een functiegerichte vraag zoals “Is de voorraad van een specifiek artikel hoger dan 500 stuks?”. Het systeem geeft een ja- of nee-antwoord zonder het voorraadsysteem of precieze informatie te delen.
Door deze methode te gebruiken, kan een organisatie ervoor zorgen dat, zelfs als een externe partner wordt gehackt, de gestolen inloggegevens alleen toegang geven tot specifieke feiten en niet tot een bredere databank. De potentiële schade van een third-party hack wordt daarmee drastisch geminimaliseerd.
Zero trust voor het hele ecosysteem
De sleutel tot veerkracht in een ecosysteem van externe partners en leveranciers is het afbreken van de scheiding tussen ‘insiders’ en ‘outsiders’. Iedereen moet behandeld worden als een externe partij. Want waarom zou een werknemer, die ontevreden of nalatig kan worden, inherent meer vertrouwen krijgen dan een gecontroleerde, professionele partner? Door dezelfde principes van minimale bevoegdheden, minimale informatie en strikt toegangsbeheer toe te passen op elke interactie, inclusief AI-systemen, kunnen organisaties een uniforme en robuuste beveiligingsstrategie realiseren.
De tijd dat we konden vertrouwen op een sterke perimeter is voorbij. Veerkracht in het tijdperk van onderlinge verbondenheid vereist continue toegangscontrole, het beperken van informatie en verificatie van de intentie voor elke gebruiker en elke functie binnen het netwerk.
Door Tony Fergusson, CISO in Residence bij Zscaler