Volgens een onderzoek van Arcadiz zijn onze bedrijven duidelijk niet voorbereid op NIS2. En encryptie wordt vaak vergeten.
Driekwart van de bedrijven zal niet klaar zijn voor de implementatie van de NIS2-richtlijn op 17 oktober 2024! Dat vermoedden we al… Gebrek aan middelen, gebrek aan financiering. Maar vooral een gebrek aan inzicht. Slechts 18% van de respondenten zegt de NIS2-richtlijn goed te begrijpen. En nog minder hebben rekening gehouden met encryptie, volgens Arcadiz, naar aanleiding van een onderzoek ondersteund door de Belgian Digital Infrastructure Association (BDIA).
Encryptie? Artikel 21, lid 2, onder h), van de NIB-richtlijn2 noemt het specifiek als een beveiligingsmaatregel (beleid en procedures voor het gebruik van cryptografie en, indien van toepassing, versleuteling). Terwijl meer dan 80% van de respondenten zegt gebruik te maken van versleuteling in hun organisatie, is dit minder duidelijk voor data in rust, dat wil zeggen gegevens die zijn opgeslagen op een apparaat of in een datacenter,” merkt Marcel Lücht, Director of Operations, Arcadiz op: “Achtentwintig procent van de respondenten zegt dat hun gegevens volledig versleuteld zijn, terwijl 43% zegt dat ze gedeeltelijk versleuteld zijn. Dan blijft er nog bijna 30% over die helemaal niet versleutelt (10%) of zegt dat het niet van toepassing is (19%)…”.
Gegevens in rust en in doorvoer, de vergeten slachtoffers van versleuteling
Dit laatste is opmerkelijk omdat de versleuteling van gegevens in rust relevant zou zijn voor alle organisaties,” legt Marcel Lücht uit. Elke organisatie verwerkt GDPR-gevoelige gegevens, zelfs als het alleen maar gaat om informatie over werknemers, hun salaris, vakanties of klantcontacten. Het is echter mogelijk dat respondenten die de optie ‘niet van toepassing’ hebben gekozen, in eerdere vragen hebben aangegeven dat ze geen encryptie gebruiken, wat betekent dat ongeveer 30% van de respondenten geen encryptie gebruikt voor gegevens in rust.
Data in transit zijn gegevens die van de ene locatie naar de andere worden verplaatst,” vervolgt Marcel Lücht. We zien hier een vergelijkbare verdeling, met een iets hoger percentage respondenten dat zegt deze gegevens volledig te versleutelen, ongeveer 35%. 40% zegt deze gedeeltelijk te versleutelen en, in analogie met de aannames die we bij de vorige vraag hebben gedaan, kiest ongeveer 25% van de organisaties ervoor om hun data in transit niet te versleutelen.”
Hoe zit het met datacenters?
De vraag blijft echter: welke gegevens worden versleuteld en via welke verbindingen? In de praktijk merkt Arcadiz vaak dat IP-verkeer dat de organisatie verlaat via het openbare internet op de een of andere manier is versleuteld. Gegevens die via glasvezelverbindingen naar opslagfaciliteiten in datacentra worden verzonden, zijn echter vaak niet versleuteld. Dit verklaart het hoge percentage organisaties dat aangeeft dat ze gegevens tijdens het transport gedeeltelijk versleutelen.
Als we kijken naar de technologie die wordt gebruikt om deze verbindingen te versleutelen, is het duidelijk dat een groot deel van de versleuteling wordt beheerd op een applicatielaag: meer dan 60% van de respondenten geeft aan deze versleuteling te gebruiken; de rest gebruikt VPN / IPsec. Het feit dat geen enkele partij laag 1 encryptie gebruikt, toont ook aan dat de eerdere aanname dat datacenterverbindingen niet versleuteld zijn, niet klopt.
Een vals gevoel van veiligheid
Een veel voorkomende misvatting is dat de meeste risico’s beperkt zijn omdat al het internetverkeer versleuteld is,” voegt Marcel Lücht toe. Maar omdat gegevens op weg naar een datacenter niet worden versleuteld, ontstaat er een ernstig beveiligingsgat. Als een hacker de IT-omgeving weet binnen te dringen, lopen alle gegevens die naar het datacenter gaan gevaar. Over het algemeen, zelfs als de IT-omgeving van een bedrijf niet gehackt wordt, is er een vals gevoel van veiligheid dat de glasvezelkabel veilig is.”
Zoals onderzoek meer dan tien jaar geleden al aantoonde, is het mogelijk om de gegevens die door deze vezels gaan te exploiteren, zelfs zonder de verbinding te onderbreken, als er toegang wordt verkregen tot een vergaderruimte van een datacenter of een put waar vezels doorheen lopen. Er zijn slimme manieren om dergelijke pogingen tot sabotage te detecteren, bijvoorbeeld met een ALM-module (Automatic Line Monitoring). De meeste operators implementeren deze echter niet in hun netwerk en bieden ze zelfs niet aan als onderdeel van de oplossing voor hun klanten.
Encryptie, meer sectoren blijven achter
“Nu cyberbedreigingen blijven toenemen, kan het belang van het versleutelen van gegevens in ruste en tijdens het transport niet genoeg worden benadrukt,” concludeert Marcel Lücht. Terwijl sectoren zoals de financiële dienstverlening voorop lopen bij de invoering van versleuteling, moeten andere sectoren zoals de gezondheidszorg, energie, productie en nieuwere sectoren zoals afvalbeheer, voedselproductie, onderzoek en zelfs IT-diensten hun inspanningen versnellen om aan de NIS2-richtlijn te voldoen en hun kritieke gegevens te beschermen.
En hij waarschuwt: het implementeren van de juiste versleuteling is niet alleen een kwestie van apparaten kopen en ze op het netwerk aansluiten. “Als je het goed wilt implementeren, moet je beginnen met een bedrijfsimpactanalyse, alle gegevensstromen in kaart brengen, beslissen welke versleuteling het meest geschikt is voor welke situatie/drager/gegevensstroom en deze vervolgens op de juiste manier implementeren en configureren…”