Datacenters vormen de kern van onze digitale samenleving, want bijna alle applicaties, van bedrijfswebsites en persoonlijke financiële zaken tot zakelijke e-mail, draaien tegenwoordig in de cloud. En ‘in de cloud’ betekent ‘ergens in een datacenter’. Vandaar dat datacenters – volkomen terecht – door de Europese Commissie zijn bestempeld als kritische infrastructuur (‘essential entities’).
Digitale sabotage-aanvallen op datacenters kunnen desastreuze gevolgen hebben. Op het moment dat één of meerdere datacenters worden uitgeschakeld, zal de digitale samenleving daar direct ernstig hinder van ondervinden. En dat dit geen ver-van-mijn-bed-show is, zagen we in Oekraïne, waar Rusland gerichte, digitale aanvallen heeft uitgevoerd op datacenters met als doel deze uit te schakelen, hetgeen helaas ook grotendeels is gelukt.
Behalve belangrijk voor onze digitale samenleving, zijn datacenters de afgelopen jaren ook kwetsbaarder geworden voor digitale aanvallen. Dat komt doordat de facilitaire infrastructuur van een datacenter – zoals stroomvoorziening, stroomdistributiesystemen, koelinstallaties en brandblussystemen – allemaal direct of indirect aan internet zijn gekoppeld. In het verleden waren deze systemen veel meer ‘standalone’ en konden niet op afstand (remote) via internet worden onderhouden en/of aangestuurd. Deze it-aansturing brengt natuurlijk veel voordelen met zich mee, maar ook risico’s. Daarnaast is de toename van internet of things (iot)-apparaten binnen een datacenter ook een serieus punt van zorg. Iot-apparaten zijn in het verleden nooit ‘secure-by-design’ ontwikkeld en daardoor inherent onveilig. Zij vormen hierdoor digitale ingangen naar het interne netwerk voor mensen van buiten de organisatie. Het gevolg van bovengenoemde ontwikkelingen is dat het uitdijende aanvalsoppervlakte van een datacenter voor kwaadwillende hackers de afgelopen jaren veel interessanter is geworden.
Verkleinen
Met de toegenomen aanvalsoppervlakte zijn datacenters ook digitaal kwetsbaarder geworden. Dit is een ernstige zaak en uiteindelijk willen wij de kwetsbaarheid verkleinen, waardoor mogelijke aanvallen zijn te voorkomen of de schade is te beperken.
Om deze kwetsbaarheid te verkleinen, zijn de volgende aanbevelingen opgesteld:
- Ken uw digitale infrastructuur
You cannot protect what you don’t know. Zo luidt een bekend gezegde vanuit de beveiligingswereld. Om systemen te kunnen beveiligen, moet deze systemen bekend zijn. Het is dus essentieel om eerst de infrastructuur in kaart te brengen en inventarisatie van alle ot-, it- en iot-systemen en hun verbindingen/netwerken te verkrijgen. Dit is regel nummer één in de beveiligingswereld.
- Ken uw digitale kwetsbaarheden
Naast de kennis over de eigen systemen en netwerken, is het ook zaak om de kwetsbaarheden van deze eigen systemen en netwerken in kaart te brengen. Elektronische apparaten gaan namelijk weleens kapot en zullen op gezette tijden moeten worden geüpdatet of vervangen. Aangezien alle ot-, it- en iot-systemen tegenwoordig software bevatten, kunnen er softwarekwetsbaarheden in zitten. En het zijn juist deze hiaten die door de hackers worden misbruikt. Het is dus essentieel om ook een overzicht te hebben van de kwetsbaarheden binnen de datacenter-infrastructuur.
- Ken uw leveranciers en bijbehorende risico’s
Aangezien tegenwoordig alles en iedereen op een of andere manier digitaal met elkaar is verbonden, is het ook belangrijk om de ‘leverancier-afhankelijkheden’ in kaart te brengen. Ook datacenters hebben uiteenlopende leveranciers voor de stroomvoorziening, koelinstallaties en brandblussing, zoals al eerder genoemd. Aangezien deze ot-systemen vaak direct of indirect via internet door de fabrikanten worden gemonitord en/of worden onderhouden, zijn deze systemen ook ‘toegankelijk’ voor ‘anderen’. Het is dus essentieel om te weten welke leverancier digitaal toegang heeft tot datacentersystemen en op welke manier deze verbinding is beveiligd.
- Segmenteer uw systemen, netwerken, rollen en verantwoordelijkheden
Naast het verkrijgen van overzicht en inzicht, zoals hierboven is beschreven, is het goed inrichten van de infrastructuur ook zeer belangrijk voor de digitale beveiliging van datacenters. Het segmenteren van verschillende systemen en netwerken door middel van technische maatregelen (o.a. firewalls) zorgt ervoor dat kwaadwillende hackers niet overal bij kunnen wanneer zij op enige wijze toegang hebben verkregen tot de digitale infrastructuur. Hetzelfde geldt ook voor de rollen en verantwoordelijkheden van het eigen personeel. Niet iedereen mag overal bij. Dit moet afhangen van de rol en functie in de organisatie en de bijbehorende permissies. Deze permissies moeten goed zijn ingeregeld, gedocumenteerd en gecommuniceerd.
- Ontwikkel en test een incident-responseplan
Deze laatste suggestie staat hopelijk bovenaan op uw ‘actielijst’. Het is geen vraag of u een digitaal incident te verwerken krijgt, maar wanneer. Aangezien datacenters tot de kritische infrastructuur behoren, is een incident-responseplan noodzaak. Niet alleen het ontwikkelen van een dergelijk plan is belangrijk, maar ook het testen van het plan moet minimaal één of twee keer per jaar plaatsvinden, want the proof of the pudding is in the eating. Natuurlijk kan een datacenter ‘niet even’ worden platgelegd voor een incident-response-oefening, maar de procedures zullen wel moeten worden beoefend, zodat het datacenter daadwerkelijk kan ‘overleven’ als onze kritische infrastructuur serieus wordt aangevallen.
Utopie
Betekent dit dat het opvolgen van deze vijf tips – geboden, zo u wilt – ervoor kan zorgen dat datacenters honderd procent veilig zijn? Nee, die mate van veiligheid (lees: cyberweerbaarheid) is een utopie, maar ik ben ervan overtuigd dat een datacenter weerbaarder wordt als we de bovenstaande aanwijzingen serieus opvolgen. Een cyberincident kan nog altijd plaatsvinden, maar dan is de gevolgschade aanzienlijk minder en heeft het datacenter in elk geval een goed verhaal dat het er alles aan heeft gedaan om dit te voorkomen. Helaas zijn er nog steeds veel te veel datacenters die dit goede verhaal nog niet hebben.
