Kritieke sectoren zijn een belangrijk doelwit voor cybercriminelen. Of een organisatie zich nu bezighoudt met waterbeheer, digitale infrastructuur, transport of vitale infrastructuur zoals havens en spoorwegen, tegenstanders zijn altijd op zoek naar een manier om binnen te komen.
De nieuwe NIS2-wetgeving biedt kritieke en zeer kritieke sectoren meer instrumenten om hun beveiliging te verbeteren, hun verdediging te versterken en hun responsstrategie te verbeteren - allemaal met het doel om aanvallers buiten de deur te houden.
NIS2: wat je moet weten
In het steeds veranderende tijdperk van cyberbeveiliging heeft de Europese Unie belangrijke stappen gezet om de digitale weerbaarheid van haar lidstaten te versterken met de introductie van de NIS2-richtlijn. Voortbouwend op zijn voorganger is de tweede versie van de richtlijn voor netwerk- en informatiesystemen een regelgevende richtlijn die is ontworpen om de cyberbeveiligingshouding in de hele Europese Unie te verbeteren.
NIS2 volgt de EU Cybersecurity Act die in 2016 werd geïntroduceerd, maar breidt de regels uit door het toepassingsgebied te vergroten zodat het een breder scala aan sectoren en entiteiten omvat, de vereisten te verhogen, toezicht in te voeren, de nadruk te leggen op de beveiliging van de toeleveringsketen en het melden van incidenten verplicht te stellen.
De NIS2-richtlijn introduceert verplichtingen voor organisaties in achttien kritieke sectoren, die zijn onderverdeeld in twee groepen:
- de belangrijke of kritieke sectoren, waaronder IT-aanbieders, voedsel en drank, afvalbeheer, productie, onderzoek, chemische verwerking en postdiensten.
- de essentiële of zeer kritieke sectoren, waaronder vervoer, bankwezen, infrastructuur van de financiële markten, drinkwater, digitale infrastructuur, openbaar bestuur, ruimtevaart, energie en gezondheidszorg.
Volgens artikel 21 over risicobeheersmaatregelen op het gebied van cyberbeveiliging moeten organisaties passende en evenredige technische, operationele en organisatorische maatregelen nemen om de risico's voor de beveiliging van netwerk- en informatiesystemen te beheren die deze entiteiten gebruiken voor hun activiteiten of voor het verlenen van hun diensten, en om de gevolgen van incidenten voor de afnemers van hun diensten en voor andere diensten te voorkomen of tot een minimum te beperken.
Voorbeelden van dergelijke maatregelen zijn versleuteling, toegangscontroles, continue monitoring en netwerksegmentatie. Dit laatste wordt beschreven in artikel 21, lid 2G van de NIS2-richtlijn, genaamd 'elementaire cyberhygiënepraktijken en cyberbeveiligingstraining'.
Cyberhygiëne verwijst naar de beste praktijken en de proactieve en preventieve maatregelen die bedrijven nemen om hun digitale infrastructuur veilig te houden. Dit omvat regelmatige software-updates, het gebruik van sterke wachtwoorden, antivirusprogramma's, back-ups en bewustmakingstrainingen voor werknemers - maar ook de praktijk van netwerksegmentatie.
Het belang van netwerksegmentatie in NIS2
Netwerksegmentatie is een cyberbeveiligingspraktijk waarbij een computernetwerk wordt opgedeeld in kleinere, afzonderlijke segmenten, elk geïsoleerd van de andere. Deze strategie is om verschillende redenen belangrijk:
- Het aanvalsoppervlak beperken
Door het netwerk te segmenteren, kunnen organisaties de blootstelling van gevoelige gegevens en kritieke systemen aan potentiële aanvallers beperken. Elk segment fungeert als een barrière, waardoor het risico op een wijdverspreide inbreuk wordt verkleind.
- Inbreuken indammen en incidentrespons verbeteren
In het geval van een cyberaanval helpt segmentatie de dreiging binnen een specifiek segment te houden en laterale verplaatsing binnen het netwerk te voorkomen. Deze indamming is cruciaal om de schade te beperken en sneller herstel mogelijk te maken.
- Toegangscontrole verbeteren en gegevens beschermen
Segmentatie maakt meer granulaire toegangscontroles mogelijk en zorgt ervoor dat gebruikers en apparaten alleen toegang hebben tot de netwerksegmenten die nodig zijn voor hun rol. Dit principe van least privilege verbetert de beveiliging aanzienlijk.
- Verbetering van bewaking en detectie
Gesegmenteerde netwerken bieden een duidelijker zicht op het netwerkverkeer, waardoor het eenvoudiger wordt om afwijkingen en potentiële bedreigingen te detecteren.
Welke stappen moet jouw organisatie nemen?
Hoewel de Nederlandse wetgeving voor de implementatie van NIS2 de deadline van 17 oktober niet zal halen, wordt er nog steeds van organisaties verwacht dat ze zo snel mogelijk compliant worden. Met nog maar een paar maanden te gaan, betekent dit dat veel organisaties moeten beginnen met het concretiseren van hun nieuwe cyberbeveiligingsstrategieën. Wat kunnen organisaties doen om een effectieve netwerksegmentatie te garanderen?
1. Een uitgebreide beoordeling uitvoeren
Identificeer uw kritieke bedrijfsmiddelen door alle netwerkapparaten, applicaties en gegevensstromen te inventariseren en te bepalen welke bedrijfsmiddelen kritisch zijn en welke gevoelige informatie bevatten. Evalueer uw huidige netwerkarchitectuur door de bestaande netwerkinfrastructuur in kaart te brengen en bestaande segmentatie en potentiële kwetsbaarheden te identificeren.
2. Ontwikkel een segmentatiestrategie
Definieer je doelstellingen door de doelen van segmentatie te bepalen, zoals het verkleinen van aanvalsoppervlakken, het verbeteren van toegangscontrole en het verbeteren van naleving van regelgeving. Classificeer netwerksegmenten door netwerkactiva te groeperen in segmenten op basis van factoren zoals gevoeligheid, functie en rol binnen de organisatie. Gangbare segmenten zijn bijvoorbeeld gebruikersapparaten, servers, databases en gastnetwerken.
3. Netwerksegmenten ontwerpen
Eén manier om dit te doen is door logische segmentatie: gebruik VLAN's (Virtual Local Area Networks) om netwerkverkeer logisch te scheiden en zorg voor duidelijke grenzen tussen segmenten om ongeautoriseerde toegang te voorkomen.
Gebruik echter, waar mogelijk, een fysieke scheiding tussen kritieke infrastructuur en minder gevoelige delen van het netwerk. Dit kan speciale hardware of geïsoleerde netwerkpaden omvatten. Lees voor meer informatie over netwerksegmentatie met onze DataDiode ons artikel hier.
4. Toegangscontrole implementeren
ACL's (Access Control Lists) maken en afdwingen om verkeer tussen segmenten te beheren en ervoor te zorgen dat alleen noodzakelijke communicatie tussen segmenten wordt toegestaan op basis van het principe van de minste privilege.
Zet daarnaast firewalls in op belangrijke punten tussen netwerksegmenten en gebruik firewallregels om verkeer te controleren en te monitoren. Ten slotte moet je een zero trust-aanpak hanteren, waarbij alle toegangsverzoeken worden geverifieerd, ongeacht hun herkomst binnen het netwerk en apparaten en gebruikers continu worden geverifieerd en geautoriseerd.
5. Netwerkbeveiligingsoplossingen implementeren
Implementeer Intrusion Detection and Prevention Systems (IDPS) om netwerkverkeer te monitoren en potentiële bedreigingen te detecteren, en zorg ervoor dat deze systemen geconfigureerd zijn om alle netwerksegmenten te dekken. Gebruik segmentatiegateways om de gegevensstroom tussen segmenten te beheren en te beveiligen.
6. Continue monitoring en logging implementeren
Zet netwerkbewakingstools in om continu verkeer te volgen en anomalieën te detecteren, en gebruik tools die zichtbaarheid bieden over alle segmenten. Implementeer gecentraliseerde logging om logs van verschillende segmenten te verzamelen en analyseren, en bekijk logs regelmatig om potentiële beveiligingsincidenten te identificeren en erop te reageren.
Effectieve netwerksegmentatie is een veelzijdige aanpak die zorgvuldige planning, implementatie en doorlopend beheer vereist. Door deze stappen te volgen, kunnen organisaties hun cyberbeveiliging aanzienlijk verbeteren, gevoelige gegevens beschermen en zorgen voor naleving van regelgevende kaders zoals NIS2. Uiteindelijk beperkt netwerksegmentatie niet alleen risico's, maar bevordert het ook een veerkrachtigere en veiligere digitale omgeving.
Doe mee aan ons webinar over NIS2 & netwerksegmentatie
Meer weten? Volg ons op 7 november om 15:00 voor een inzichtelijk webinar over de nieuwe NIS2-richtlijn en de cruciale rol van netwerksegmentatie. Samen met Europees Parlementslid Bart Groothuis bespreken we:
- Wat betekent de NIS2-richtlijn voor jouw organisatie en waarom is deze belangrijk?
- Hoe verbetert netwerksegmentatie uw beveiliging in lijn met de NIS2-vereisten?
- Wat zijn de risico's als uw organisatie niet voldoet aan de NIS2-richtlijn?
- Welke voordelen biedt de implementatie van de NIS2-richtlijn voor uw organisatie?
- Welke eerste stappen moet je organisatie nemen om te voldoen aan NIS2 en segmentatie effectief te implementeren?
Om te registreren, klik hier.