Tata Consultancy Services (TCS), dat alleen de bovenkant van de markt bedient, heeft een onderzoek online gezet dat somber stemt. CISO’s en CRO’s blijken veel negatiever over de cloud en denken dat supply chain aanvallen geen hoge prioriteit verdienen.
De meeste klanten van TCS zijn onbereikbaar voor IT dienstverleners met een MKB omvang. Daarom lijkt een rapport over die klantgroep voor de meeste lezers van ITchannelPRO weinig relevant. Het punt is echter dat TCS nooit al het werk zelf kan doen. Men zal moet werken met onderaannemers. Dat is de IT dienstverlener die veel te klein is om zelfstandig op aanbestedingen in te tekenen. Hij kan voor een “kleine” klus worden ingehuurd en heeft op dat moment te maken met een eindklant die anders tegen de cloud en supply chain aanvallen aankijkt dan je zou verwachten. Wat ook nog steeds gebeurt is dat grote bedrijven voor lokale vestigingen en duidelijk begrensde opdrachten TCS & co buiten de deur houden en specifiek daarvoor beroep doen op de lokale specialisten.
Schakel in de keten
Kortom de kans dat een IT dienstverlener direct of indirect met een enterprise of multinational te maken krijgt is minder klein dan op het eerste gezicht lijkt. Daarnaast, en dat raakt helemaal een deel van het TCS onderzoek, kan hij leverancier zijn van een bedrijf dat rechtstreeks zaken doet met de klanten van TCS. Dan is hij een directe schakel in de keten en interessant voor elke partij die supply chain aanvallen uitvoert.
Op basis van 607 antwoorden van CISO’s en CRO’s (*) stelt TCS vast dat deze groep het gevaar van een supply chain aanval behoorlijk onderschat. Gevraagd naar mogelijke doelwitten van cyberaanvallen komt deze categorie slechts op een negende plaats. Deze lage ranking moet reden voor zorg zijn, helemaal omdat er inmiddels zoveel succesvolle aanvallen via die route bekend zijn.
Waarom de TCS klanten dit type aanval minder vrezen dan een aanval op bijvoorbeeld de marketing afdeling is niet bekend. Het rapport is daar niet duidelijk over. Voor iedere dienstverlener die direct of indirect in de keten zich van een enterprise zit moet dit een punt van aandacht zijn.
Er is trouwens nog iets dat opvalt aan de antwoorden die TCS heeft vergaard. Los van het feit of men vroeg met de cloud is begonnen of pas recent die kant op bewogen is. Minimaal een kwart van de CISO’s en CRO’s vindt dat “de cloud” risicovoller is dan de platformen die men nu gebruikt. Bij de early adaptors is dat 25 procent en bij de laatkomers 36 procent. Ook nu zijn de achterliggende motieven niet geheel duidelijk.
Conclusie
Wie als midsized of kleine dienstverlener te maken krijgt met opdrachtgevers aan de bovenkant van de markt zoals TCS die kent, kan wel eens versteld staan. CISO’s en CRO’s zien een ander IT- en dreigingslandschap dan je zou verwachten. (Het onderzoek is zonder registratie hier te lezen en downloaden)
(*) CISO, chief information security officer; CRO chief risk officer
