Secure en compliant: het encryptie event ‘Need for speed’ – Een terugblik!

22 december 2016

Een jaar na invoering van de wet Meldplicht Datalekken is het aantal hacks en datalekken niet minder geworden. Cybercriminaliteit vindt aan de lopende band plaats. Veel IT’ers worstelen niet alleen met het optimaliseren van security, maar ook met het interpreteren en toepassen van de huidige regelgeving. Wat zijn noodzakelijke security-oplossingen om te voldoen aan de Meldplicht Datalekken en hoe kunnen wij ons nu al voorbereiden op de European Data Protection Rules (AVG), die op 25 mei 2018 van kracht gaan? De noodzaak om snel te handelen, ofwel ‘the need for speed’, is er. Op 22 november 2016 bundelden Telindus, Ciena en BANNING Legal & Tax daarom hun krachten om deze prangende vragen te beantwoorden tijdens het encryptie event ‘Need for speed’.

De eenvoud van een datalek

Tom Engels, Connectivity Consultant bij Telindus, opende het programma met een inhoudelijke sessie over de beveiliging van glasvezelverbindingen. Vandaag de dag willen we 24/7 toegang hebben tot data. Dit moet veilig gebeuren en er mogen geen ongeoorloofde personen bij onze data komen, zeker niet bij vertrouwelijke informatie of data van klanten. De reputatieschade die een bedrijf kan oplopen wanneer dit misgaat, is vaak nog erger dan financiële schade. Zo haalde Engels het voorbeeld aan van Diginotar, na een datalek was het een maand later gedaan met de organisatie. Mede door de Meldplicht Datalekken hebben veel IT-professionals de security van hun datacenters al verbeterd. Wat echter vaak vergeten wordt, is dat de glasvezelverbinding waardoor het dataverkeer loopt voor kwaadwillenden binnen handbereik liggen. Denk aan de kabelgoten die je in menig parkeergarage ziet, of de putdeksels op straat die de aanwezigheid van glasvezel in de grond aanduiden. Met haast kinderlijk eenvoudige middelen zijn cybercriminelen in staat om dit dataverkeer af te tappen. De IT-beheerder merkt nauwelijks dat data ontvreemd wordt en de onderneming loopt hiermee een groot risico. Zaak dus om ook de glasvezelverbinding mee te nemen.

Veranderende wet- en regelgeving

Dat een onderneming een groot risico loopt en aansprakelijk is wanneer de IT-security niet naar behoren is ingericht, werd ook beaamd door Prof. Jan Berkvens, Mr. Silvia Vinken en Mr. Samuel Wiegerinck van BANNING Legal & Tax. In een verdiepende sessie gaven zij de aanwezigen inzicht in de Nederlandse wet- en regelgeving en op grond van welke artikelen bedrijven en bestuurders aansprakelijk zijn wanneer de beveiliging van IT in gebreke blijkt. Daarbij hoeft data nog niet eens ontvreemd te worden, ook wanneer data niet bereikbaar is, kan dit opgevat worden als een beveiligingsincident. De advocaten van BANNING Legal & Tax gaven ook aan dat wanneer je een externe partij inschakelt de opdrachtgever altijd verantwoordelijk blijft voor de data. In een bewerkersovereenkomst dienen de afspraken omtrent de omgang met deze data te worden vastgelegd. Een goed doordachte en vooral volledige security-strategie is niet alleen voor de huidige Nederlandse wetgeving noodzakelijk, maar ook wanneer op 25 mei 2018 de European Data Protection Rules van kracht worden.

Dataverkeer versleutelen

Na het in kaart brengen van de problematiek en regelgeving omtrent databeveiliging, was er tijdens het event natuurlijk ook ruime aandacht om te praten over de oplossing. Tom Engels gaf in zijn sessie al aan dat de oplossing te vinden is door al het dataverkeer middels Dense Wavelength Divisioning Multiplexing te laten lopen met encryptie op de optische laag. In een boeiende demonstratie liet Patrick Scully, Product Line Manager bij Ciena zien hoe eenvoudig glasvezelverbindingen afgetapt kunnen worden. Tevens deelde hij tot in detail hoe encryptie op de optische laag in zijn werk gaat en welke voordelen dit met zich mee brengt. Zo voegt een transponderset slechts 5  microseconden latency toe per kilometer glasvezel. Een lagere latency zorgt ervoor dat bedrijven productiever zijn en operationele kosten gereduceerd kunnen worden. Daarbij komt dat de bandbreedte volledig beschikbaar blijft. Ter vergelijking, encryptie op de IP-laag zorgt voor een verlies aan bandbreedte van maar liefst 15 procent, 1.000 keer hogere latency en het sleutelbeheer is ingewikkeld. Bij encryptie op de optische laag heeft alleen de security officer toegang tot de authenticatie sleutels. Het derde voordeel is dat encryptie transparant en protocol agnostic is en dus geschikt voor zowel ethernet, SDH, OTN en Fiber Channel Transport. Een ander voordeel is dat deze encryptie-oplossing altijd aan staat, zodat het WAN-verkeer 24/7 beveiligd is. Tot slot is goed om te weten dat er iedere seconde nieuwe encryptiesleutels worden aangemaakt.

Kostenbesparing met DWDM

Tom Engels besluit daarbij dat er met Dense Wavelength Division Multiplexing (DWDM) naast optimale security ook nog een financieel voordeel te behalen valt. Aangezien er verschillende kanalen over (lange) afstand worden getransporteerd kunnen er over één glasvezelverbinding meerdere signalen op verschillende golflengtes verstuurd worden. Het aantal fysieke verbindingen kan zo omlaag, wat vervolgens bijdraagt aan indrukwekkende kostenbesparingen. 

Na de kennisintensieve sessies was er voor de aanwezigen ruimte om nog even rustig na te praten onder het genot van een hapje en een drankje. Als afsluiter van het programma verplaatste het gezelschap zich naar de naastgelegen kartbaan, om daar de ‘need for speed’ nog even aan den lijve te ondervinden.