De cyberbeveiligingsdreiging is de afgelopen jaren zo hoog gestegen dat de meeste bedrijven wereldwijd nu accepteren dat een datalek bijna onvermijdelijk is. Maar wat betekent dit voor de functionarissen voor gegevensbescherming en naleving, evenals voor senior managers, die nu persoonlijk aansprakelijk zijn voor de bescherming van gevoelige bedrijfs-, klant- en partnergegevens?

Investeren in beveiligingsinfrastructuur is niet voldoende om compliance bij het beschermen van gegevens aan te tonen. Software Defined Wide Area Networks (SD WAN), Firewalls en Virtual Private Networks (VPN) spelen een rol binnen een algemene beveiligingspostuur, maar het zijn infrastructuuroplossingen en beschermen geen gegevens. Wat gebeurt er als de gegevens buiten het netwerk naar de cloud of een netwerk van derden gaan? Hoe worden de bedrijfsgegevens aan de LAN-zijde beschermd als misbruik wordt gemaakt van een SD WAN-kwetsbaarheid of verkeerde configuratie? Welke extra kwetsbaarheid wordt gecreëerd door te vertrouwen op hetzelfde netwerkbeveiligingsteam om zowel het beleid in te stellen als de omgeving te beheren, in direct conflict met de richtlijnen van Zero Trust?

De enige manier om ervoor te zorgen dat het bedrijf beschermd en compliant is, is door gegevensbescherming los te koppelen van de onderliggende infrastructuur. Simon Pamplin, CTO, Certes Networks, benadrukt dat het nu essentieel is om de focus te verleggen, niet langer te vertrouwen op infrastructuurbeveiliging en Layer 4-codering te gebruiken om bedrijfsgevoelige gegevens proactief te beschermen, ongeacht de locatie.

Escalerend risico erkennen

De houding ten opzichte van gegevensbeveiliging moet snel veranderen, omdat het huidige infrastructuurgestuurde model te veel risico's met zich meebrengt. Volgens de IBM Data Breach-enquête uit 2022 bevestigt 83% van de bedrijven dat ze een inbreuk op de beveiliging verwachten - en velen accepteren dat inbreuken meer dan eens zullen voorkomen. Gezien deze perceptie moet de vraag worden gesteld: waarom zijn bedrijven nog steeds afhankelijk van een beveiligingshouding die gericht is op het vergrendelen van de infrastructuur?

Dat werkt duidelijk niet. Hoewel niet elk bedrijf de catastrofale impact zal ervaren van het vier jaar durende datalek dat uiteindelijk 300 miljoen gasten van Marriott Hotels trof, brengen aanvallers routinematig maanden door in bedrijven op zoek naar gegevens. In 2022 duurde het gemiddeld 277 dagen, ongeveer negen maanden, om een datalek te identificeren en in te perken. Gedurende deze tijd hebben kwaadwillenden toegang tot bedrijfsgegevens; ze hebben de tijd om de meest waardevolle informatie te verkennen en te identificeren. En de kans om die gegevens te kopiëren en/of te verwijderen – afhankelijk van het doel van de aanval.

De kosten zijn enorm: de gemiddelde kosten van een datalek in de VS bedragen nu $ 9.44 miljoen ($ 4.35 is de gemiddelde kosten wereldwijd). Van regelgevende boetes – die wereldwijd steeds strenger worden – tot de impact op aandelenwaarde, klantvertrouwen, zelfs zakelijke partnerschappen, de langetermijngevolgen van een datalek zijn potentieel verwoestend.

Misplaatst vertrouwen in infrastructuur

Toch hebben deze getroffen bedrijven ogenschijnlijk robuuste beveiligingshoudingen. Ze hebben zeer ervaren beveiligingsteams en een uitgebreide investering in infrastructuur. Maar ze hebben ingestemd met de lang bestaande mythe in de beveiligingsindustrie dat het vergrendelen van infrastructuur, met behulp van VPN's, SD WAN's en firewalls, de gegevens van een bedrijf zal beschermen.

Zoals inbreuk na inbreuk heeft bevestigd, biedt het vertrouwen op infrastructuurbeveiliging niet het niveau van controle dat nodig is om gegevens te beschermen tegen kwaadwillenden. Voor de overgrote meerderheid van bedrijven zijn gegevens zelden beperkt tot de bedrijfsnetwerkomgeving. Het staat in de cloud, op de laptop van een gebruiker, op het netwerk van een leverancier. Die perimeters kunnen niet worden gecontroleerd, vooral niet voor elk bedrijf dat deel uitmaakt van de toeleveringsketen en netwerken van derden. Hoe beschermt leverancier A externe leverancier B wanneer het bedrijf geen controle heeft over hun netwerk? Met traditionele, infrastructuurafhankelijke beveiliging kan dat niet.

Hoewel een SD WAN een veiligere manier is om gegevens via internet te verzenden, biedt het bovendien alleen controle vanaf het netwerkuitgangspunt tot de eindbestemming. Het biedt geen controle over wat er aan de LAN-kant van een organisatie gebeurt. Het kan niet verbieden dat gegevens worden doorgestuurd naar een andere locatie of persoon. Bovendien wordt natuurlijk geaccepteerd dat een verkeerde configuratie van SD WAN een risico op inbreuk kan vormen, wat betekent dat de gegevens worden blootgesteld - zoals blijkt uit de openbare CVE's (Common Vulnerabilities and Exposures) die beschikbaar zijn voor beoordeling op de meeste websites van SD WAN-leveranciers. En hoewel SD WAN's, VPN's en firewalls IPSEC gebruiken als een encryptieprotocol, is hun benadering van encryptie gebrekkig: de encryptiesleutels en het beheer worden door dezelfde groep afgehandeld, in directe strijd met de geaccepteerde zero trust-normen van "Separation of Dutys".

Bescherm de gegevens

Het is daarom essentieel om een andere aanpak te kiezen, om ons te concentreren op de bescherming van de gegevens. Door beveiliging rond de gegevens te wikkelen, kan een bedrijf dit vitale bezit beschermen, ongeacht de infrastructuur. Door Layer 4 toe te passen, zorgt beleidsgebaseerde encryptie ervoor dat de gegevenslading gedurende de hele reis wordt beschermd - of deze nu binnen het bedrijf is gegenereerd of door een derde partij.

Als het een verkeerd geconfigureerde SD WAN passeert, zijn de gegevens nog steeds beveiligd: ze zijn versleuteld, waardoor ze waardeloos zijn voor elke hacker. Hoe lang een aanval ook duurt, hoe lang een individu of groep ook in het bedrijf kan kamperen op zoek naar gegevens voor gebruik bij een ransomware-aanval, als de gevoelige gegevens versleuteld zijn, is er niets om mee te werken.

Het feit dat alleen de payload-gegevens worden versleuteld, terwijl de header-gegevens vrij blijven, betekent minimale verstoring van netwerkservices of applicaties en maakt het oplossen van problemen met een versleuteld netwerk eenvoudiger.

Deze mentaliteitsverandering beschermt niet alleen de gegevens en, standaard, het bedrijf, maar ook het senior managementteam dat verantwoordelijk is - zelfs persoonlijk aansprakelijk - voor de naleving van beveiliging en informatiebescherming. In plaats van de last van gegevensbescherming bij de netwerkbeveiligingsteams te leggen, realiseert deze aanpak het ware doel van zero trust: de verantwoordelijkheid voor het bepalen van het beleid scheiden van het systeembeheer. De beveiligingspostuur wordt gedefinieerd vanuit een zakelijk standpunt, in plaats van vanuit een netwerkbeveiligings- en infrastructuurstandpunt - en dat is een essentiële en langverwachte mentaliteitsverandering.

Conclusie

Deze mentaliteitsverandering wordt kritiek - zowel vanuit zakelijk als vanuit regelgevingsperspectief. De afgelopen jaren hebben toezichthouders wereldwijd meer aandacht besteed aan gegevensbescherming. Van punitieve boetes, inclusief het maximum met € 20 miljoen (of 25% van de wereldwijde omzet, afhankelijk van wat het hoogste is) per overtreding van de Algemene Verordening Gegevensbescherming (AVG) van de Europese Unie tot het risico op gevangenisstraf, de toename van regelgeving in heel China en het Midden-Oosten versterkt de wereldwijde duidelijke erkenning dat gegevensverlies materiële kosten met zich meebrengt voor bedrijven.

Tot voor kort waren regelgevers echter niet prescriptief over de manier waarop die gegevens worden beveiligd – een aanpak die het mogelijk heeft gemaakt het beveiligingsmodel van de 'lock-down-infrastructuur' voort te zetten. Deze houding is aan het veranderen. In Noord-Amerika vereisen nieuwe wetten versleuteling tussen de commando- en controlecentra van nutsbedrijven om de nationale infrastructuur te beschermen. Deze aanpak zal zich uitbreiden naarmate regelgevers en bedrijven erkennen dat de enige manier om gegevens te beveiligen die steeds verder verspreide infrastructuren passeren, van SD WAN tot de cloud, is om ze te versleutelen - en doe dit op een manier die de mogelijkheid van de zaken functioneren.

Het is nu essentieel dat bedrijven de beperkingen erkennen van het vertrouwen op SD WAN's, VPN's en firewalls. Gegevensbescherming loskoppelen van de onderliggende infrastructuur is de enige manier om ervoor te zorgen dat het bedrijf beschermd en compliant is.

Simon Pamplin

CTO, Certes-netwerken

Waar bent u naar op zoek?

Gegevens beschermen ongeacht infrastructuur

Simon Pamplin

De revolutie op afstand.

Hoe traceerbaarheidsoplossingen industrieën kunnen helpen duurzamer te worden.

Het overwinnen van de barrières van decodering en zichtbaarheid van gegevens.

RFID en Digital Twins: wat levert het op voor de detailhandel?

Het delen van rollen heeft in de apps die we blijven gebruiken...

Waarom Wi-Fi 6 en 5G de huidige optimale draadloze IoT...

De kosten van levensonderhoud crisis.

Hoe enterprise-grade IoT de zakelijke wereld van morgen zal creëren.

We denken dat je het volgende leuk zult vinden:

Meld u aan bij uw account

Maak een TBTech-account aan