Microsoft 365 third-party app access: het onzichtbare datarisico

Wat veel organisaties niet weten

In veel MKB-omgevingen is er geen actief beleid op third-party app access. IT gaat ervan uit dat Microsoft dit regelt. Securityteams kijken vooral naar phishing, endpoint security en MFA. App-toegang verdwijnt uit beeld.

Het gevolg is een groeiend ecosysteem van gekoppelde apps die toegang hebben tot e-mail, agenda’s, SharePoint-sites en OneDrive. Vaak zonder dat iemand exact weet welke apps dat zijn, welke rechten ze hebben en hoe lang die toegang blijft bestaan.

 

Praktijkvoorbeelden die dit risico laten zien

Onderzoek heeft aangetoond dat de OneDrive File Picker in bepaalde scenario’s te brede rechten kan toekennen. Gebruikers selecteren één bestand, maar de app krijgt lees- en schrijfrechten op de volledige OneDrive-opslag. Apps zoals ChatGPT, Slack, Trello en ClickUp konden hierdoor meer data benaderen dan de gebruiker verwachtte.

Een ander veelvoorkomend scenario is het gebruik van browserplugins. Een medewerker installeert een ChatGPT-plugin om documenten samen te vatten. De plugin vraagt OAuth-toegang tot SharePoint. De gebruiker klikt akkoord om snel verder te kunnen werken. Wat vaak niet duidelijk is, is dat die toegang structureel is en niet beperkt tot één document of één sessie.

 

Waarom dit een serieus beveiligingsprobleem is

De risico’s van ongecontroleerde app-koppelingen zijn groot.

Ten eerste data-exfiltratie. Veel API-activiteiten verschijnen niet of beperkt in standaard auditlogs. Data kan worden gelezen of gekopieerd zonder dat dit direct zichtbaar is voor IT of security.

Ten tweede blijft API-toegang vaak actief na offboarding. Als een medewerker uit dienst gaat, wordt het account geblokkeerd. Maar de gekoppelde app-token blijft bestaan. Externe apps kunnen nog steeds bij data zolang de token niet expliciet wordt ingetrokken.

Ten derde ontbreekt overzicht. In gesprekken met organisaties blijkt vaak dat men simpelweg niet weet welke apps toegang hebben tot Microsoft 365. Er is geen actueel overzicht, geen classificatie op risico en geen periodieke controle.

 

Waarom dit vooral het MKB raakt

Grotere organisaties hebben vaker dedicated securityteams en extra licenties. In het MKB wordt Microsoft 365 meestal pragmatisch ingericht. Standaardinstellingen blijven staan. App governance wordt gezien als iets voor later.

Daar komt bij dat Microsoft geavanceerde beveiligingsfuncties vaak achter extra licenties plaatst. Defender for Cloud Apps biedt uitgebreide mogelijkheden voor app governance, maar deze functies zijn vaak niet geactiveerd of slechts deels ingericht.

Het resultaat is een schaduwecosysteem rond bedrijfsdata. Apps die buiten het zicht van IT en compliance opereren, maar wel toegang hebben tot gevoelige informatie.

 

Wat Microsoft wél biedt, maar wat vaak niet wordt gebruikt

Microsoft 365 bevat wel degelijk mogelijkheden om dit risico te beheersen. Denk aan:

Beperkingen op user consent. Je kunt instellen dat gebruikers niet zomaar apps mogen autoriseren, of alleen apps uit een goedgekeurde lijst.

App governance binnen Defender for Cloud Apps. Hiermee kun je apps classificeren op risico, afwijkend gedrag detecteren en automatische acties uitvoeren.

Conditional Access in combinatie met OAuth. Hiermee kun je toegang beperken op basis van locatie, apparaat of risico.

Het probleem is niet dat deze functies ontbreken. Het probleem is dat ze niet standaard goed staan en zelden periodiek worden geëvalueerd.

 

Wat organisaties nu concreet moeten doen

Een effectief beleid voor third-party app access begint met inzicht.

Breng eerst in kaart welke apps momenteel toegang hebben tot Microsoft 365. Kijk niet alleen naar bekende tools, maar ook naar kleine plugins en automatiseringen.

Controleer vervolgens welke rechten deze apps hebben. Volledige lees- en schrijfrechten zijn zelden nodig. Veel apps functioneren prima met minimale scopes.

Stel daarna beleid vast. Welke apps zijn toegestaan. Wie mag nieuwe apps goedkeuren. Hoe vaak wordt toegang herzien.

Tot slot is monitoring essentieel. Zonder actieve controle groeit het probleem opnieuw. App governance is geen eenmalige actie, maar een doorlopend proces.

 

De rol van ALTA-ICT

Bij ALTA-ICT zien we dit risico regelmatig tijdens security assessments. Vaak is er geen kwaad opzet, maar een combinatie van standaardinstellingen en gebruiksgemak.

Wij helpen organisaties met het inrichten van gecontroleerde app-toegang binnen Microsoft 365. Dat doen we vanuit een ISO27001- en ISO9001-gecertificeerde aanpak. Praktisch, zonder onnodige complexiteit. Met aandacht voor AVG, logging en offboardingprocessen.

Het doel is niet om innovatie te blokkeren, maar om grip te houden op je data.

 

Tot slot

Microsoft 365 is veilig ingericht, zolang je ook controle houdt op wat je eraan koppelt. Zonder beleid en toezicht ontstaat er ongemerkt een groot datarisico.

De belangrijkste vraag is daarom simpel.
Wat is het beleid binnen jouw organisatie voor third-party app access?