Portals

NIS2-compliant back-up en storage: hoe pak je dat(a) aan?

Almir Iriskic, Technology Director Eurofiber Cloud Infrastructure 

Cloud security tips

NIS2 (Network and Information Security Directive 2) is een herziene versie van de NIS-richtlijn van de Europese Unie (2016). Het doel van NIS2: verder verbeteren van de digitale beveiliging van vitale infrastructuren en essentiële diensten nu digitale aanvallen vaker voorkomen en complexer worden. NIS2 legt meer nadruk op de veiligheid van de toeleveringsketen, kent strengere beveiligings- en rapportage-eisen, en is van toepassing op meer sectoren dan zijn voorganger. Naleving vereist technische maatregelen, zoals encryptie en toegangsbeheer, maar ook organisatorische maatregelen, zoals incidentresponsplannen. Uiterlijk Januari 2025 dienen bedrijven hun systemen en processen te hebben aangepast.

Klantcase: databeveiliging volgens het 3-2-1-principe

Onlangs heeft Eurofiber een grote klant ondersteund met onboarding, gebaseerd op NIS2-compliance. Eerst zijn de benodigde aanpassingen in kaart gebracht. De beveiliging, toegang, beheer, backup-processen, bescherming tegen virussen en andere kwetsbaarheden zijn geanalyseerd en vergeleken met de eisen. Deze klant had al goed nagedacht over databeveiliging en -management en wilde data beveiligen volgens het 3-2-1- principe: drie kopieën op twee verschillende soorten opslagmedia, en ten minste één back-up op een externe locatie. Geen alledaags verzoek, met vergaande technologische consequenties. De klant is, met het oog op de huidige geopolitieke ontwikkelingen, meer huiverig voor dreigingen zoals ransomware-aanvallen dan voor datacenter-disruptie. In plaats van een traditionele ‘High Availability’-oplossing, waarbij dezelfde data in meerdere datacenters wordt bewaard, ging de voorkeur uit naar opslag in één van onze datacenters, met een sterkere nadruk op databescherming. Data opslaan in twee datacenters biedt namelijk geen inherente bescherming tegen ransomware.

NIS2 omvat specifieke eisen en uitdagingen voor opslag- en back-up-procedures. 

  • Robuste infrastructuur hosting-platform 
  • Opslaginfrastructuur beveiligen en beschermen tegen cyberaanvallen  
  • Back-ups op verschillende locaties (ransomware-aanvallen / fysieke schade) 
  • Back-up- en herstelproces toetsen en doorlopend optimaliseren  
  • Back-upstrategie moet aansluiten bij cybersecurity- en herstelplannen?  
  • Opslaginfrastructuur continu monitoren 

Sterk beveiligde backups en toegang - zonder kwaadaardige software

Onze zeer robuuste infrastructuur voor Private Cloud en Storage is ontwikkeld met het oog op enterprise-gebruik. Oplossingen zijn gemakkelijk te schalen en data kan op meerdere manieren worden benaderd. Naast de data snapshot ten behoeve van dagelijkse restore, wordt in dit geval de data gekopieerd met tamperproof snapshot-technologie en twee weken ‘bevroren’. Deze ‘immutable backup’ kan in het geval van een ransomware-aanval worden teruggeplaatst. Data verwijderen op grote schaal is overigens pas mogelijk wanneer twee admins akkoord hebben gegeven, volgens een ‘multi admin verification policy’.

Alle data gaat via een LINUX hardened appliance naar backup storage. Deze architectuur zorgt voor de sterk beveiligde toegang tot backup-data en zorgt er ook voor dat er geen malware mee wordt gekopieerd, die bijvoorbeeld ongeautoriseerde partijen toegang verschaft. Data wordt ook naar tape gekopieerd en die kopie wordt naar een externe locatie bewaard. Een zeer volwassen en veilige aanpak, die voldoet aan alle wensen van de klant en de eisen van NIS2.

Deze oplossing is overigens voor alle klanten beschikbaar als product, dat op nog veel andere manieren kan worden ingezet. Bijkomend voordeel is dat backups via de eigen IT van de klant, Eurofiber, of een partner gemaakt kunnen worden. We hebben de beschikking over een aantal directe verbindingen, die snelheid, betrouwbaarheid, en veiligheid borgen. Microsoft 365 backups kunnen bijvoorbeeld direct via ons peering-netwerk met Microsoft worden uitgewisseld, en komen dus nooit in aanraking met het internet.

 

NIS 2-compliance: vier stappen die we iedereen aanraden

1: Begin klein

Bepaal eerst de scope voor zorgplicht, meldplicht en toezicht, Definieer vervolgens maatregelen voor de eigen scope, zoals het opstellen van een Business Continuity Plan.  

2: Analyseer de risico’s

Voer een gedetailleerde (risico)analyse uit van de bestaande systemen en processen binnen de organisatie om te identificeren welke verbeteringen nodig zijn om te voldoen aan NIS2. Dat kan betrekking hebben op bijvoorbeeld technologie, procedures, of personeel.  

3: Stel prioriteiten en maak een stappenplan.  

Als je alle denkbare elementen van NIS2 in één keer volledig wil doorvoeren, wordt het een bijzonder complex en daarmee ook erg kostbaar proces. Het is dus belangrijk om de ‘scope’ te definiëren, en van daaruit concrete stappen te bepalen. Verken alle beschikbare technologieën zo goed mogelijk en bepaal pas aan de hand van de scope wat het beste aansluit. Zodra de scope is gedefinieerd, kun je het meest geschikte hosting platform selecteren of bouwen, inclusief bijbehorende tooling, eventueel met (passende) partners. Daarna volgen ontwerp, bouw en migratie.

4: Vraag gerust om hulp!

NIS 2 compliance vraagt om veel meer dan een ‘checklist’ afvinken. Je moet medewerkers bijvoorbeeld ook trainen in nieuwe procedures en veiligheidsnormen, regelmatig audits plannen en uitvoeren, herstelplannen controleren, en de toeleveringsketen in kaart brengen. Organisaties moeten zich niet alleen op hun eigen beveiliging richten, maar ook op de cyberbeveiliging van hun toeleveranciers en dienstverleners.  

Ook belangrijk: NIS 2 compliance is nooit ‘klaar’ – het is een doorlopende cyclus waarbij organisaties continu risico’s moeten beoordelen en hun beveiligingsmaatregelen daarop af moeten stemmen!  

Wij doorlopen dit hele traject in een partnership met de klant. Het feit dat we gewend zijn om met Enterprise-klanten te werken betekent dat we security en backup als vanzelfsprekend meenemen. We kijken dus verder dan het inrichten van virtuele machines en implementeren van generieke antivirus- en toegangsoplossingen. Meedenken over alles dat te maken heeft met het ontsluiten van netwerken, van het bouwen van bijbehorende infrastructuur tot managed storage en backup, is onderdeel van onze standaard dienstverlening.