Is jouw MSP je grootste beveiligingsrisico? Een checklist voor bestuurders

Door Erik Bos, Interim CIO & Security Compliance Specialist

De paradox van uitbesteden

Organisaties besteden hun IT uit om ontzorgd te worden. Maar steeds vaker zie ik dat de "ontzorging" zich omkeert in een blinde vlek: niemand checkt of de Managed Service Provider (MSP) zelf wel veilig werkt.

Het gevolg? Een significant deel van alle ransomware-aanvallen komt via een dienstverlener binnen. Niet via phishing. Niet via kwetsbaarheden in je eigen systemen. Maar via de partij die jouw IT zou beschermen.

De harde waarheid: Je kunt uitvoering uitbesteden. Verantwoordelijkheid nooit.

In dit artikel neem ik je mee langs drie veelvoorkomende zwaktes die ik tegenkom bij MSP-constructies – en geef ik concrete handvatten om dit risico te managen.

Rode vlag 1: De helpdesk als open achterdeur

⚠️ Key takeaway: Zonder strikte verificatie is je helpdesk je grootste beveiligingslek.

Het probleem

"Ik ben mijn wachtwoord vergeten. Kun je me een nieuw sturen?"

"Ik heb een nieuwe telefoon. Kun je me helpen de MFA opnieuw in te stellen?"

Simpele vragen.

Maar hoe verifieert jouw MSP-helpdesk of de beller écht is wie hij zegt dat hij is?

Wat ik te vaak zie:

• Verificatie op basis van vertrouwen of publieke informatie)

• Wachtwoord- of MFA-reset via email zonder tweede factor

• Geen verificatie bij "urgente" aanvragen ("Ik heb nu toegang nodig voor een klant!")

Waarom dit gevaarlijk is:

Social engineering is de meest effectieve aanvalsvector. Een cybercrimineel belt de helpdesk, doet zich voor als werknemer, en vraagt om een wachtwoord-of MFA-reset. Vijf minuten later heeft hij toegang tot je systemen.

Hoe je dit checkt

Test je MSP:

1. Bel zelf naar de helpdesk en vraag om een wachtwoord of MFA-reset

2. Let op: welke verificatiestappen doorloop je?

3. Vraag jezelf af: zou een buitenstaander deze informatie kunnen hebben?

Minimale standaard:

• ✅ Verificatie via tweede factor (SMS, authenticator-app, terugbellen op geregistreerd nummer, MFA alleen instellen voor een gebruiker die toegang heeft tot een beheerd apparaat)

• ✅ Geen wachtwoord- of MFA-reset zonder manager-approval bij privileged accounts

• ✅ Logging van alle helpdesk-acties (wie, wat, wanneer)

Bespreek met je MSP:

• Wat is jullie verificatieprotocol bij wachtwoord-resets?

• Hoe gaan jullie om met "urgente" verzoeken?

• Mag ik een audit krijgen van helpdesk-logs van de afgelopen maand?

Rode vlag 2: Iedereen is admin (tot het misgaat)

⚠️ Key takeaway: Eén gecompromitteerd admin-account = volledige controle over je netwerk.

Het probleem

"Onze consultants hebben Domain Admin nodig om hun werk te doen."

Dit hoor ik vaak. En soms klopt het – voor specifieke taken. Maar structureel Domain Admin rechten? Zelfs voor de helpdesk? Dat is Russische roulette met je beveiliging.

Wat ik te vaak zie:

• Elke MSP-consultant heeft standaard Domain Admin rechten

• Accounts worden gedeeld tussen consultants ("Even inloggen met het admin-account")

• Rechten worden niet periodiek herzien ("Die consultant werkt hier al 5 jaar niet meer, maar zijn account staat nog aan")

Waarom dit gevaarlijk is:

Eén gecompromitteerd MSP-account met Domain Admin = game over. Een aanvaller heeft volledige controle over je Active Directory, kan wachtwoorden wijzigen, data exfiltreren, en ransomware uitrollen.

En als accounts gedeeld worden? Dan kun je niet eens traceren wie wat deed.

Het principe van Least Privilege

Best practice:

• Consultants hebben standaard normale gebruikersrechten

• Voor admin-taken: tijdelijke rechtenverhoging via Privileged Access Management (PAM)

• Alle admin-acties worden gelogd met persoonlijke identificatie

Concrete vraag aan je MSP:Hoeveel consultants hebben momenteel Domain Admin rechten in ons netwerk?

(Meer dan 3-5? Red flag.)

Hoe je dit checkt

Acties:

1. Vraag een overzicht van alle accounts met admin-rechten

2. Check: zijn dit persoonlijke accounts of gedeelde accounts?

3. Check: wanneer zijn deze accounts voor het laatst gebruikt?

4. Vraag naar het proces voor rechtenverhoging

Wat je wilt zien:

• ✅ Named accounts (geen "admin@msp.nl")

• ✅ Tijdelijke rechtenverhogingen voor specifieke taken

• ✅ Automatische expiratie van admin-rechten

• ✅ Logging van alle admin-acties

Wat een dealbreaker is:

• ❌ "We delen één admin-account met het team"

• ❌ "We kunnen niet per persoon loggen wie wat deed"

• ❌ "Iedereen heeft permanent admin omdat dat makkelijker werkt"

Je MSP gaat dit niet leuk vinden en er zijn echt denkbare tussenoplossingen (bijvoorbeeld via passwordmanagers waar medewerkers zelf het wachtwoord niet kunnen zien), maar ga er tenminste met hen over in gesprek.

Rode vlag 3: Geen logging = geen bewijs

⚠️ Key takeaway: Zonder logging betaalt je verzekering niet uit bij een incident.

Het probleem

Je MSP wordt gehackt. Of een medewerker gaat rogue. Of een ex-consultant heeft nog steeds toegang.

De vraag: Kun je achteraf zien wie wat deed?

Wat ik te vaak zie:

• Logging staat niet aan (of alleen voor specifieke systemen)

• Logs worden na 30 dagen overschreven

• Niemand monitort de logs actief

• Bij vertrek van een MSP-medewerker wordt toegang niet direct ingetrokken

Waarom dit gevaarlijk is:

Zonder logging kun je niet:

• Een incident reconstrueren

• Bewijzen dat er geen data is gelekt (belangrijk voor AVG-meldplicht)

• Aantonen dat je zorgvuldigheid hebt betracht (belangrijk voor cyberverzekering)

Verzekeringsmaatschappijen letten hier op: Bij een cyberincident zonder logging weigeren veel verzekeraars uitbetaling. Je kunt namelijk niet bewijzen wat er is gebeurd.

Hoe je dit checkt

Vragen aan je MSP:

1. Welke activiteiten worden gelogd?

• Inlogpogingen (geslaagd én mislukt)

• Admin-acties (wijzigen rechten, aanmaken accounts)

• Toegang tot gevoelige data

• Wijzigingen in configuratie

2. Hoe lang worden logs bewaard?

• Minimaal 6 maanden (bij voorkeur 1 jaar)

• Onveranderbaar (Write Once Read Many storage)

3. Wie heeft toegang tot logs?

• Kun jij als klant op elk moment logs opvragen?

• Worden logs automatisch naar jouw omgeving gekopieerd?

4. Wat gebeurt er bij vertrek van een medewerker?

• Wordt toegang dezelfde dag ingetrokken?

• Worden wachtwoorden gereset?

• Kun je een audit krijgen van acties van deze medewerker in de laatste 90 dagen?

Praktische actie

Eis in je MSP-contract:

• ✅ Logging van alle admin-acties (minimaal 6 maanden bewaren)

• ✅ Maandelijks overzicht van alle accounts met toegang tot jouw omgeving

• ✅ Binnen 24 uur notificatie bij vertrek van medewerker met toegang

• ✅ Jij als klant hebt altijd toegang tot logs

📋 Wat je morgen kunt doen: De MSP Security Checklist

Print deze checklist uit en neem hem mee naar je volgende overleg met je MSP:

Helpdesk & Toegangsbeheer

•  Verificatieprotocol bij wachtwoord-og MFA-reset is gedocumenteerd en wordt nageleefd

•  Tweede factor verificatie is verplicht voor alle admin-accounts

•  Alle helpdesk-acties worden gelogd met timestamp en naam medewerker

Privileged Access

•  Overzicht van alle accounts met admin-rechten is beschikbaar

•  Accounts zijn persoonlijk (niet gedeeld)

•  Admin-rechten verlopen automatisch na X uur

•  PAM-oplossing is geïmplementeerd (of op roadmap)

Logging & Monitoring

•  Logging is actief voor alle kritieke systemen

•  Logs worden minimaal 6 maanden bewaard

•  Jij hebt als klant toegang tot logs

•  Er is een proces voor offboarding van MSP-medewerkers

Contractueel

•  SLA bevat clausules over security-eisen

•  Incident response plan is gedocumenteerd en getest

•  Exit-strategie is beschreven (wat gebeurt er als jullie uit elkaar gaan?)

•  Jaarlijkse security-audit is verplicht

De moeilijke vraag: Vertrouwen én controleren

Dit artikel gaat niet over het wantrouwen van je MSP. De meeste MSP's werken met de beste intenties en beschikken over goede kennis.

Waar het wél over gaat: verantwoordelijkheid.

Als bestuurder of CIO blijf je eindverantwoordelijk voor de beveiliging van je data. Ook als je de uitvoering uitbesteedt.

De vraag is niet: "Vertrouw ik mijn MSP?"

De vraag is: "Heb ik de zekerheid dat mijn MSP werkt volgens best practices?"

En die zekerheid krijg je niet door te vertrouwen. Die krijg je door te verifiëren.

Hulp nodig bij het beoordelen van je MSP-constructie?

Als Interim CIO en security compliance specialist help ik organisaties bij het evalueren van hun MSP-relaties, voornamelijk in Overijssel en Gelderland - Zwolle, Apeldoorn, Enschede, Arnhem, Nijmegen en omgeving.

Dit omvat:

• Quick scan van je huidige MSP-configuratie aan de hand van deze checklist

• Vendor assessment met concrete aanbevelingen

• Contractreview om te checken of security-eisen contractueel zijn geborgd

• Interim CIO-rol bij transitie naar een nieuwe MSP

Benieuwd wat ik voor jouw organisatie kan betekenen? Neem contact op voor een vrijblijvend gesprek.