Er is geen crisis voor migraties naar de cloud. Niet alleen betreft het gebruik van de cloud alle bedrijfssectoren inclusief de meest gevoelige maar bovendien neemt het aandeel van data en applicaties in de cloud voortdurend toe. Toch blijft de cloud een verontrustend onderwerp. De belangrijkste risicofactor verbonden aan het cloudgebruik blijft het gebrek aan controle over de onderaannemingsketen van het hostingbedrijf voor 48% van de CISO’s die werden ondervraagd bij gelegenheid van de zevende enquête van de Club des Experts de la Sécurité de l’Information et du Numérique (CESIN), die in januari jl. werd gepresenteerd.
Vertrouwelijkheid van kritieke gegevens: een kwestie van nationale soevereiniteit
In deze context is het inventariseren van alle gevoelige informatie essentieel.
Er zijn 4 niveaus om zijn data te classificeren:
- Niet geklasseerd: dit geldt uitsluitend voor informatie die vrij kan circuleren buiten een bepaalde perimeter en geen speciale bescherming behoeft.
- Intern: dit is het standaard niveau dat alle informatie betreft die vrij kan circuleren binnen een bepaalde perimeter.
- Beperkte distributie: dit is geen classificatieniveau maar een beschermende vermelding. Deze heeft als doel de gebruiker bewust te maken van de nodige vertrouwelijkheid waarmee deze informatie moet worden gebruikt.
- Geheim: Dit niveau wordt toegekend aan informatie waarvan de distributie aan niet geautoriseerde personen de strategische belangen, de veiligheid of zelfs het bestaan van het bedrijf zouden kunnen schaden.
De beperkingen van voor Beperkte distributie geklasseerde informatie
De interministeriële aanwijzing nr. 901/SGDSN/ANSSI (II 901) d.d. 28 januari 2015 legt de doelstellingen en de minimale beveiligingsmaatregelen vast voor het beschermen van gevoelige informatie, met name als Beperkt (Restricted Distribution, RD) geklasseerde informatie.
Voor het implementeren van voor Beperkte distributie geklasseerde data dient er een ad hoc goedkeuring worden ingevoerd die afhankelijk is van een analyse van restrisico’s. Aangeven dat er voor Beperkte distributie geklasseerd materiaal wordt gebruikt volstaat niet om te bevestigen dat een dienst “RD compliant” is.
Een dienstverlener wiens infrastructuur een RD-goedkeuring heeft kan zijn klanten hiervan geen gebruik laten maken. Het bedrijf zelf bepaalt als goedkeurend orgaan de context van het desbetreffende goedkeuringsproces. De duur van deze goedkeuring wordt bepaald door het goedkeurend orgaan (van een tot drie jaar maximum), aangezien de vertrouwelijkheid van een informatie kan veranderen tijdens zijn levenscyclus).
Om de betrokken administratieafdelingen en organisaties te begeleiden heeft het ANSSI een gids gepubliceerd die uitvoerig verklaart hoe Informatiesystemen (IS) moeten worden opgebouwd waarmee informatie die is aangemerkt als zijnde van een “beperkt distributieniveau” zal worden verwerkt.
“In de praktijk is het implementeren complex – met 21 artikelen en ongeveer 190 maatregelen die moeten worden ingevoerd”, benadrukt Frédéric Mecheti, Information Security Officer bij Oodrive. Maar op de eerste plaats gaat II 901 niet in op de bescherming van RD-data wanneer deze gehost worden in een cloud, aangezien dit in 2015 verre van een algemeen verbreide oplossing was.
De voordelen van het SecNumCloud label
Met de toenemende spitsvondige cyberaanvallen is het voortaan essentieel om in de cloud gehoste content goed te beschermen. Het SecNumCloud referentiesysteem waarvan de experimentele fase in 2015 van start ging heeft als doel aan te sporen tot cloud-aanbiedingen met een hoog veiligheidsniveau.
Door te voldoen aan de eisen van het SecNumCloud referentiesysteem kan er een veiligheidsniveau worden bereikt dat opslag en verwerking van data mogelijk maakt, waarvan de gevolgen van eventuele veiligheidsincidenten beperkt zouden blijven voor de opdrachtgever. Om aan dit referentiesysteem te voldoen moeten cloud computing bedrijven zeer veel veiligheidselementen invoeren en versterken die betrekking hebben op fysieke, organisatorische of contractuele veiligheid. In januari 2019 werd Oodrive het eerste bedrijf met een SecNumCloud label voor alle particuliere cloud-aanbiedingen. Dit was een erkenning van de benadering voor kwaliteit en veiligheid die het jarenlang gevolgd had. Er is tot op heden geen enkele andere SaaS servicecloud dan Oodrive die een formele goedkeuring voor deze activiteit heeft.
Zijn de RD-goedkeruing en het SecNumCloud label compatibel ?
Laten we kijken naar het geval van een grote groep in de energiesector die zijn RD-data wil beschermen en die over een cloud-infrastructuur beschikt. Zoals we eerder zagen moet dit bedrijf zijn eigen RD-goedkeuring beheren, die rekening zal houden met de door een extern bedrijf geleverde dienst, die op zijn beurt weer een bepaald aantal garanties moet bieden.
“Het zou voor deze grote groep de meest eenvoudige en snelle oplossing zijn om een beroep te doen op een dienstverlener met SecNumCloud label. Door dit label is het bedrijf er namelijk van verzekerd dat niet alleen de SaaS dienst gekwalificeerd is, maar ook de processen, de context, de contracten en de serviceovereenkomsten”, verduidelijkt Frédéric Mecheti. Met SecNumCloud kan de klant rekenen op een gekwalificeerde dienst die van begin tot eind wordt gecontroleerd. Alle aspecten worden tijdens de audit behandeld. Door deze benadering wordt de risicoanalyse van de Beperkte distributie (RD) verlicht.
De veiligheid van uw SI versterken
Met het SecNumCloud label wordt de veiligheid verzekerd van de RD-dataverwerking in de cloud. De bedrijven moeten echter ook hun eigen veiligheidsbeleid versterken om rekening te houden met de ontwikkeling van digitale risico’s.
Om een betere harmonisering van de regels voor het beheer van cyberrisico’s
in Europa te garanderen wordt er gewerkt aan het ontwerp voor een Europese DORA-verordening (Digital Operational Resilience Act).
Met betrekking tot het beheer van computerrisico’s zal de tekst de entiteiten een formalisering opleggen voor het in kaart brengen van IT-activa en de bijbehorende risico’s en een governance die cyberrisicobeheer een plaats geeft.
