Introductie
In 2022 heeft de Europese Unie de Network and Information Security Directive (NIS2-richtlijn) vastgesteld. Die richtlijn wordt, zoals alle EU-richtlijnen, omgezet naar nationale wetgeving in de lidstaten. De Nederlandse uitwerking van de NIS2-richtlijn is de Cbw. Deze wet zal de bestaande Wet beveiliging netwerk- en informatiesystemen vervangen.
Organisaties vallen onder de Cbw als ze actief zijn in aangewezen sectoren en worden gekenmerkt als essentiële of belangrijke entiteit. Op 24 april jl. heeft de minister van OCW in een brief aan de Tweede Kamer geschreven dat hij de universiteiten en hogescholen aanwijst onder de Cbw.
De Cbw is nog niet definitief. En de onderwijssector heeft bij de minister bezwaar gemaakt tegen de aanwijzing. Daarom is nog geen definitieve analyse mogelijk van de impact van de Cbw op gebruikers van SURFcumulus diensten. In dit artikel bespreken we een aantal aspecten van het wetsvoorstel voor de Cbw die van toepassing zullen zijn op de universiteiten en hogescholen als de aanwijzing definitief wordt.
De Cbw kent een registratieplicht: aangewezen entiteiten moeten zich registreren bij het Nationaal Cyber Security Centrum (NCSC). Deze plicht staat los van het gebruik van SURFcumulus diensten.
Twee andere verplichtingen uit de Cbw zijn rechtstreeks van toepassing op SURFcumulus diensten afgenomen door instellingen: Zorgplicht en de Meldplicht. Vanzelfsprekend zijn Zorgplicht en Meldplicht ook van toepassing op andere IT-infrastructuren en -applicaties, deze analyse behandelt alleen de impact op publieke clouddiensten.
Zorgplicht
Onder de zorgplicht vallen tenminste:
- Een risicoanalyse en beveiliging van informatiesystemen;
- (Beleid en procedures over) incidentenbehandeling;
- Maatregelen op het gebied van bedrijfscontinuïteit, zoals back-upbeheer en noodvoorzieningenplannen;
- Beveiliging van de toeleveranciersketen;
- Beveiliging bij het verwerken, ontwikkelen en onderhouden van netwerk- en informatiesystemen, inclusief de respons op en bekendmaking van kwetsbaarheden;
- Beleid en procedures om de effectiviteit van beheersmaatregelen van cyberbeveiligingsrisico's te beoordelen;
- Basis cyberhygiëne en trainingen op het gebied van cyberbeveiliging;
- Beleid en procedures over het gebruik van cryptografie en encryptie;
- Beveiligingsaspecten op het gebied van personeel, toegangsbeleid en beheer van activa;
- Het gebruik van multifactor-authenticatie, beveiligde spraak-, video- en tekstcommunicatie en beveiligde noodcommunicatiesystemen binnen de entiteit.
De eerste eis van de Zorgplicht, 'Een risicoanalyse en beveiliging van informatiesystemen', is een algemene. Risicoanalyse is niet specifiek voor de cloud. Voor risicoanalyse sluit je het beste aan bij de bestaande processen van je organisatie.
Specifieke maatregelen voor detectie en afhandeling van incidenten in de publieke cloud
Beleid voor het afhandelen van incidenten voor on-premise infrastructuur voldoet in vele gevallen niet zomaar voor publieke cloud. Zo zijn de mogelijkheden om 'de stekker eruit te trekken' in de cloud vaak zeer beperkt. Ook het afschakelen van netwerkverbindingen van getroffen diensten is in de cloud lastig of impactvol. Dus de procedures dienen passend te zijn voor de cloud.
Ook detectie van incidenten in de publieke clouds vereist goed ingestelde logging, log-analyse en koppeling met een SOC/SIEM dienst of andere vorm van 24/7 notificatie. Zonder detectie geen incident. SURF biedt hiervoor diverse diensten aan, waaronder SURFsoc en SURFcert.
Maatregelen op het gebied van bedrijfscontinuïteit, zoals backup en noodvoorzieningenplannen
Afhankelijk van het belang van de informatie of informatiesystemen die via de publieke cloud worden geleverd, dienen zaken als backup en continuïteit te worden beoordeeld en ingericht. Voor kritische informatie(systemen) wordt bij voorkeur gebruik gemaakt van een onmuteerbare-backup oplossing , met versleutelde opslag bij een andere aanbieder. Denk hierbij ook aan de mogelijkheden tot herstel bij een andere aanbieder (of bij dezelfde aanbieder in een andere zone) in het geval van VM-images, managed databases etc. Kun je in noodgevallen verder draaien in een andere cloud, of op eigen apparatuur? Zijn de genomen backups daartoe gereed? Hoeveel tijd is er nodig voor de data transfer van de backup bij een volledige restore?
En welke andere maatregelen zijn nodig bij gedeeltelijke of volledige, kort- of langdurige uitval van een publieke cloud? Die kan niet alleen veroorzaakt worden door een incident bij een aanbieder, maar ook door (geo)politieke zaken, netwerkproblemen door een langdurige DDOS aanval, ransomware, etc. Denk ook aan scenario's waarbij kritische data definitief verloren is gegaan, welke continuïteitsmaatregelen zijn dan te nemen?
Beveiliging van de toeleveranciersketen
Hiervoor voert SURFcumulus in samenwerking met SURF Vendor Compliance periodiek assessments uit van de belangrijkste via SURFcumulus afgenomen publieke cloudleveranciers. Hierbij wordt gekeken naar certificeringen, beoordelingen door 3rd parties, compliance met de OCRE-aanbestedingseisen, etc. De rapporten worden via mijn SURF gepubliceerd.
Beveiliging bij het verwerken, ontwikkelen en onderhouden van netwerk- en informatiesystemen, inclusief de respons op en bekendmaking van kwetsbaarheden
Voor publieke cloud kun je hierbij denken aan voldoende ingericht Change Management, gebruik van Infrastructure as Code en bijbehorende release procedures, of het configureren en up-to-date houden van administratieve informatie in de clouds om aan security gerelateerde berichten van cloudleveranciers te ontvangen en tijdig te verwerken.
Zorg voor registratie en beoordeling van gedetecteerde kwetsbaarheden. Beoordeel elke kwetsbaarheid en leg besluiten om wel of niet te fixen vast, inclusief een risicobeoordeling.
Basis cyberhygiëne en trainingen op het gebied van cyberbeveiliging
Zorg voor gecertificeerd personeel. Alle grote aanbieders van publieke clouds bieden certificeringstrajecten aan. Zorg dat personeel over de juiste kwalificaties beschikt en beoordeel ook of deze up-to-date worden gehouden.
SURF biedt met Cybersave Yourself basis Security Awareness aan.
Beleid en procedures over het gebruik van cryptografie en encryptie
Encryptie in publieke clouds is vaak standaard ingesteld. Alle grote clouds kennen policies of vergelijkbare mechanismen voor het afdwingen van versleuteling van opgeslagen gegevens en netwerkverbindingen (TLS). Afhankelijk van de vertrouwelijkheid en de data (bijvoorbeeld bijzondere persoonsgegevens of gevoelige onderzoeksgegevens) dient er voor een passende bescherming gezorgd te worden, bijvoorbeeld door het gebruik van eigen sleutels in plaats van sleutels die door de leverancier worden beheerd. SURF heeft hier in 2023 een onderzoek naar laten uitvoeren, zie https://communities.surf.nl/cloudcomputing/artikel/rapport-encryptie-in-de-cloud.
Beveiligingsaspecten op het gebied van personeel, toegangsbeleid en beheer van activa.
Zorg voor een centrale toekenning en vastlegging van het uitvoeren van werkzaamheden die leiden tot toekennen van rechten. Leg vast in bijvoorbeeld een ticketing systeem wie wanneer welke rechten heeft gekregen en waarom, en zorg voor heldere autorisatieprocedures.
In publieke clouds is asset management vaak een ondergeschoven kindje, cloud resources zijn vaak vluchtig. Daarom is het belangrijk een goed bijgehouden architectuuroverzicht te hebben, waarin de opbouw landing zone(s), netwerken, netwerksegmentatie, ingress en egress, VPNs en andere koppelingen, services als K8s clusters of managed database, inzichtelijk is en blijft. Er is tooling beschikbaar die IaC code zoals Terraform of Bicep kan visualiseren. Als er een incident optreedt en moet worden besloten wat te doen is een overzicht als dit onontbeerlijk.
Het gebruik van multifactor-authenticatie
MFA is in de belangrijkste publieke clouds (Azure, AWS, GCP) verplicht. Overweeg om naast MFA ook andere maatregelen te treffen zoals Just In Time access en Privileged Access Management, phishing resistant credentials, hardware tokens. Controleer zeer regelmatig de beheerrechten en het gebruik ervan en zorg voor notificatie bij verdacht gebruik van beheerrechten (buiten kantooruren, onbekende locatie, etc)
Meldplicht
Onderdeel van de Cbw is ook een meldplicht van 'significante' incidenten aan de CSIRT en de toezichthouder. Dit zijn, volgens het NSCS, incidenten die een ernstige operationele verstoring van de diensten of financiële verliezen voor de organisatie (kunnen) veroorzaken. Ook gaat het om incidenten die (kunnen) leiden tot aanzienlijke materiële of immateriële schade bij andere organisaties. De exacte drempelwaarden voor significante incidenten worden nog uitgewerkt. Daarnaast worden entiteiten nadrukkelijk uitgenodigd vrijwillige meldingen te maken van niet-significante incidenten of bijna-incidenten. De meldplicht zal organisatie-breed moeten worden ingericht. Onder andere het NCSC zal optreden als 'broker', een melding bij het NSCS zal automatisch worden doorgezet naar het juiste CSIRT en de juiste toezichthouder.
SURF wordt naar verwachting aangewezen als het wettelijke CSIRT voor hbo's en universiteiten.
Specifiek voor publieke clouds betekent dit dus ook koppelen van relevante logging en monitoring in de clouds aan een SOC/SIEM, bijvoorbeeld SURFsoc. Zonder detectie geen incidenten.
Aangezien de meldplicht organisatiebreed moet worden ingericht is er voor publieke clouddiensten verder niets specifieks noodzakelijk.
Tot slot
Wil je hiermee aan de slag of meer informatie? Neem dan contact met met mij of met de adviseurs via surfcumulus@surf.nl
Bronnen
NCSC. (2024, 12 5). NCSC Informatiesheet Zorgplicht. Opgehaald van https://www.ncsc.nl/: https://www.ncsc.nl/binaries/ncsc/documenten/publicaties/2024/februari/27/infosheet-nis2-verplichtingen-zorgplicht/05122024_NCSC_Informatiesheet_Zorgplicht+V6_digitaal.pdf
NCSC. (2024, 12 17). NIS2-verplichtingen Informatie Meldplicht. Opgehaald van https://www.ncsc.nl/: https://www.ncsc.nl/binaries/ncsc/documenten/publicaties/2024/december/17/nis2-verplichtingen-meldplicht/09102024_NCSC_Informatiesheet_Meldingsplicht+V4_digitaal.pdf
NCSC. (2024, 11 22). Wat gaat de NIS2 richtlijn betekenen voor uw organisatie. Opgehaald van https://www.ncsc.nl/: https://www.ncsc.nl/over-ncsc/wettelijke-taak/wat-gaat-de-nis2-richtlijn-betekenen-voor-uw-organisatie/samenvatting-nis2-richtlijn
0 Praat mee