Binnen de organisatiemuren moeten maatregelen getroffen worden om privacygevoelige data te beschermen, daarbuiten is data echter overgeleverd aan de bescherming die het wide area network (wan) biedt. Door cloudtechnologieën verplaatst data zich continu tussen organisaties en datacenters, net als tussen datacenters en organisaties onderling. Onderweg moet die data ook goed beschermd zijn.
Met de intrede van de AVG die nadert, zouden bedrijven al ver moeten zijn op het gebied van databeveiliging. Echter bestaan er nog veel misvattingen rondom de beveiliging van externe dataverbindingen. In deze bijdrage bespreek ik de misverstanden en vertel ik hoe organisaties hun externe dataverbindingen wel goed kunnen beveiligen.
Misvattingen
Uit recent onderzoek blijkt dat een op de vijf organisaties ervan uitgaat dat managed connectivity-diensten op het juiste niveau beveiligd zijn. Helaas gaat dit niet op. Ook managed-verbindingen moeten beveiligd worden, middels versleuteling van data. Het onderliggende transportmedium voor wan-verbindingen is in de meeste gevallen glasvezel. Dit middel heeft een sterke reputatie vanwege de snelheid, betrouwbaarheid en veiligheid. Echter is het niet zo veilig als velen denken.
Cybercriminelen kunnen glasvezelkabels relatief gemakkelijk aftappen in onder andere parkeergarages en onder putdeksels op straat. Met een speciaal klemmetje, ook wel fiber tap genoemd, kunnen kwaadwillenden ongemerkt lichtpulsen uit de glasvezellijn onderscheppen en e-mails, telefoongesprekken en andere data stelen. Met een beetje pech gebeurt dit volledig onopgemerkt met een ernstig datalek tot gevolg. Dus ook al is de overige it-infrastructuur nog zo goed beveiligd, dan betekent dit niet dat de wan automatisch voldoende beschermd is.
Uit hetzelfde onderzoek blijkt dat door gebrek aan kennis rondom de beveiliging van externe dataverbindingen meer dan de helft van de organisaties niet naar hun wan-verbindingen kijkt omwille van de AVG. Een kwart van de respondenten geeft aan dat de security van de verdere it-infrastructuur goed geregeld is, waardoor de wan-verbinding geen extra aandacht behoeft. Deze uitkomsten zijn zorgwekkend. De kans op een datalek is bij veel organisaties reëel, met torenhoge boetes en – vaak nog erger – reputatieschade tot gevolg.
Sleutelbeheer lastig
De AVG en Enisa, het EuropeesaAgentschap voor netwerk- en informatiebeveiliging, stellen beiden dat wan-verbindingen altijd versleuteld moeten zijn. De encryptie van data op de ip- en ethernet-laag is complex en kostbaar en gaat ten koste van de performance van verbindingen. Bovendien is het sleutelbeheer erg lastig. Voor veel organisaties is de versleuteling van wan-verbinding dus een uitdaging. Om deze reden besteedt maar liefst 76 procent van de organisaties de externe dataverbindingen uit. Als u tot de meerderheid behoort die alles uitbesteedt, is het de moeite waard om het alternatief te onderzoeken. Dense wavelength division multiplexing, ook wel dwdm genoemd, in combinatie met optische encryptie biedt namelijk een veilige en eenvoudige manier om de wan-verbindingen zelf te beheren.
Deze relatief onbekende, maar effectieve technologie is een kostenefficiënt alternatief om wan-verbindingen compliant te maken aan verschillende wet- en regelgevingen. Denk hierbij niet alleen aan de AVG, maar ook aan de NEN7510 en BIR. Tevens voldoet de technologie aan het hoogste niveau van de ict-beveiligingsrichtlijnen voor Transport Layer Security, zoals beschreven door het Nationaal Cyber Security Centrum (NCSC).
Onbekend terrein
Dwdm maakt het mogelijk om tot honderden kanalen over lange afstanden te transporteren. De technologie maakt gebruik van slechts één vezelpaar voor het doorsturen van meerdere informatiestromen tegelijkertijd. In de praktijk betekent dit dat er over één glasvezelverbinding meerdere signalen of kleuren op verschillende golflengtes verstuurd kunnen worden. Hierdoor kan het aantal fysieke verbindingen beperkt worden tot het minimale.
Datacenterbeschikbaarheid wordt steeds belangrijker. Hele infrastructuren moeten uitwijken en veel organisaties zijn in de veronderstelling dat dit een kostbare aangelegenheid is, omdat daarvoor ook nieuwe verbindingen tussen de datacenters en kantoren gelegd moeten worden. Met een specialistische technologie als dwdm is dit echter in veel gevallen niet nodig. Verbindingen tussen verschillende componenten, met ieder hun eigen protocol kunnen over dezelfde lijn verstuurd worden. Met dwdm is er dus niet voor iedere verbinding een aparte lijn nodig, waardoor de complexiteit en kosten flink verlaagd worden. Bovendien is de doorlooptijd bij een dwdm-uitbreiding aanzienlijk lager dan bij de uitbreiding van het aantal glasvezelverbindingen.
In bijna alle gevallen resulteert de inzet van dwdm in combinatie met optische encryptie in een gunstige business case en een snelle terugverdientijd. De implementatie van dwdm met encryptie vraagt om een eenmalige investering in de apparatuur. Organisaties verdienen die investering vervolgens terug op de huur van het aantal glasvezellijnen. Daarnaast is het niet raadzaam om zelf te investeren in opleiding en personeel om het maximale te halen uit deze technologie. Omdat een dwdm-oplossing inclusief encryptie een veel kleiner aantal changes per jaar kent dan een datacenter- of campus lan-omgeving, levert een investering in kennis bij het eigen personeel te weinig op.”
Een mooi voorbeeld uit de praktijk is een financiële instelling waarbij de datacenters geografisch gescheiden moesten worden met minimaal 25 kilometer hemelsbrede afstand vanwege regelgeving. Deze organisatie koos twee locaties die veilig met glasvezellijnen verbonden moesten worden. De datacenters werden gekoppeld via twee routes van zeventig kilometer. De kosten voor dit project werden geschat op ruim een miljoen euro per jaar, verspreid over een periode van drie jaar. Met behulp van dwdm en encryptie konden de kosten met maar liefst 75 procent teruggedrongen worden.
Kortom, wan-verbindingen zijn onveilig en moeten beveiligd worden middels versleuteling. Dwdm met encryptie op de optische laag is een eenvoudige, flexibele en kostenefficiënte manier om data te beschermen. Zo zijn organisaties weer een stapje dichterbij compliancy.
