Door het intreden van de AVG is het beschermen van gegevens nog belangrijker geworden. Veel organisaties hebben hun data intern goed vergrendeld, maar vergeten de veiligheid van hun externe netwerkverbindingen te controleren. Dit kan gevaarlijk zijn, want cybercriminelen kunnen ook gevoelige gegevens aftappen via een WAN-verbinding. In dit artikel gaan we in op de AVG en de boetes die verbonden zijn aan datalekken, bespreken we de risico’s van een onbeveiligde WAN-verbinding en de uitdagingen bij het controleren van jouw WAN.
Ben je benieuwd naar hoe je het beste jouw WAN kunt beschermen tegen cyberaanvallen en hoge boetes kunt voorkomen? Download dan ons gratis eBook “Netwerk beveiligen tegen cybercriminaliteit”
De AVG en jouw netwerk
Met de Algemene verordening gegevensbescherming (AVG) stelt de overheid strenge eisen aan de manier waarop jouw organisatie met persoonsgegevens omgaat. Binnen de muren van jouw organisatie kan je zelf maatregelen nemen om jouw privacygevoelige data te beschermen. Daarbuiten is jouw data overgeleverd aan de bescherming die de Wide Area Network (WAN) biedt.
Door de opkomst van de cloud (public, private of hybrid) verplaatst data zich continu tussen organisaties en datacenters. ‘Onderweg’ moet die data ook goed beschermd zijn. Veel organisaties gaan ervan uit dat beheerde diensten standaard op het juiste niveau beveiligd zijn. Dat is niet zo. Ook beheerde verbindingen moeten beveiligd worden. Het is daarbij van groot belang om gegevens te versleutelen (encryptie) en daarbij het sleutelbeheer in eigen hand te nemen.
Wat zegt de wet- en regelgeving over WAN-verbindingen?
De meldplicht datalekken en de AVG dwingen organisaties nog kritischer te kijken naar hun netwerkverbindingen. Daarnaast moeten de netwerkverbindingen van organisaties voldoen aan sectorspecifieke certificeringen, zoals NEN7510 (zorgsector) en BIR (overheid). Het European Agency for Network and Information Security (ENISA) zegt verder het volgende:
“Verbindingen over Wide Area Networks, zowel publieke als particuliere glasvezellijnen, moeten altijd versleuteld zijn, omdat het moeilijk is de fysieke veiligheid van die verbindingen te garanderen.”
In de praktijk zijn WAN-verbindingen lang niet altijd versleuteld, omdat veel bedrijven er onterecht vanuit gaan dat glasvezel genoeg bescherming biedt.
Glasvezel kan ook een doelwit zijn
Organisaties kiezen waar mogelijk voor glasvezelaansluitingen om hun locaties en datacenters met elkaar te verbinden. Als dat bij jouw organisatie ook het geval is, wees dan alert. Glasvezel heeft een sterke reputatie vanwege de snelheid, betrouwbaarheid en veiligheid, maar cybercriminelen kunnen ook glasvezelkabels aftappen in bijvoorbeeld parkeergarages en locaties waar glasvezel bovengronds komt.
Met een speciaal klemmetje, ook wel ‘fiber tap’ genoemd, kunnen kwaadwillenden ongemerkt lichtpulsen uit de glasvezellijn onderscheppen en e-mails, telefoongesprekken en andere data stelen. Met een beetje pech gebeurt dit volledig onopgemerkt, met een ernstig datalek tot gevolg. Dus ook als je jouw overige IT-infrastructuur nóg zo goed beveiligd hebt, betekent dit niet dat jouw WAN automatisch voldoende beschermd is.
Hoge boetes bij een datalek
Er is sprake van een datalek wanneer gevoelige, onvoldoende versleutelde persoonsgegevens (zoals inloggegevens, burgerservicenummers, financiële en medische gegevens) verloren zijn gegaan of niet meer beschikbaar zijn. Mocht er een datalek ontstaan en is data niet volgens de regels beschermd, dan zijn de boetes niet mals.
Overtreedt een organisatie de Algemene verordening gegevensbescherming (AVG)? Dan kan de Autoriteit Persoonsgegevens (AP) een boete opleggen van maximaal 20 miljoen euro of 4% van de jaaromzet, het hoogste telt. Er zijn twee categorieën overtredingen en bijbehorende maximale boetes:
Boete voor het verzuimen van AVG verplichtingen
Verantwoordelijken (organisaties die persoonsgegevens verwerken) hebben onder de AVG bepaalde verplichtingen, zoals een documentatieplicht. Komt een verantwoordelijke (een van) deze verplichtingen niet na? Dan kan de AP een boete opleggen van maximaal 10 miljoen euro. Of een boete van 2% van de wereldwijde jaaromzet, mocht dat bedrag hoger uitkomen.
Boete voor het overtreden van de grondslagen van de AVG
Overtreedt een verantwoordelijke de beginselen of grondslagen van de AVG? Of de privacyrechten van de betrokkenen (de mensen van wie de organisatie gegevens verwerkt)? Dan kan de AP een boete opleggen van maximaal 20 miljoen euro. Of een boete van 4% van de wereldwijde jaaromzet, mocht dat bedrag hoger uitkomen. (Bron: AP)
Neem jouw WAN onder de loep
Zoals genoemd stelt ENISA dat WAN-verbindingen altijd versleuteld moeten zijn. Echter is de encryptie van data op de IP- en ethernet laag complex en kostbaar, ook gaat het ten koste van de performance van jouw verbindingen. Het sleutelbeheer is erg lastig. Voor veel organisaties is de richtlijn van ENISA dus een uitdaging.
Uit een onderzoek van Telindus blijkt dat maar liefst 65% van de organisaties het beheer, en dus ook de beveiliging van glasvezellijnen uitbesteedt. Het voordeel hiervan is dat organisaties in theorie weinig omkijken meer hebben naar de externe verbindingen. Er kleven echter ook nadelen aan. Het huren van glasvezel is relatief kostbaar, indien je een glasvezelverbinding voor een enkele toepassing gaat inzetten.
Met de huidige AVG is het bovendien nog maar de vraag of de WAN-verbindingen voldoende beschermd zijn. Iedere IT-beslisser staat voor de uitdaging om zijn WAN onder de loep te nemen, de beveiliging te beoordelen én te kijken of het uitbesteden van het security beheer de beste manier is.
Ben je benieuwd naar hoe je het beste jouw WAN kunt beschermen tegen cyberaanvallen en hoge boetes kunt voorkomen? Download dan ons gratis eBook “Netwerk beveiligen tegen cybercriminaliteit”.