Onder de Algemene Verordening Gegevensbescherming (AVG) moeten organisaties kunnen bewijzen dat ze bij de verwerking van persoonsgegevens de privacyregels naleven. “Dan moet je heel goed weten wat er allemaal op je netwerk gebeurt”, zegt systeembeheerder Kees Hanse van Schouwen-Duiveland. Voor de Zeeuwse gemeente een van de redenen om de security opnieuw in te richten.
Het afleggen van verantwoording is een belangrijk onderdeel van de AVG. Dit wordt ook wel aangeduid met ‘accountability’. Zo zijn organisaties in veel gevallen verplicht om een register van alle verwerkingsactiviteiten bij te houden en aan te geven hoe persoonsgegevens worden beschermd. Ook moet er een overzicht zijn van alle datalekken.
Valt een datalek onder de meldplicht? Dan wil de Autoriteit Persoonsgegevens precies weten wat er is gebeurd. De privacywaakhond wil dan bijvoorbeeld zien hoe de beveiliging van de gelekte gegevens in elkaar steekt en wie toegang hebben tot de data. Kan een organisatie geen verantwoording afleggen, dan kan een eventuele boete weleens hoger uitvallen. Het maximum ligt vanaf 25 mei 2018 op 20 miljoen euro, of 4 procent van de wereldwijde jaaromzet.
Inzicht in de keten
“De nieuwe Europese privacywetgeving heeft impact op de hele organisatie”, aldus Hanse. Voor een gemeente met ruim 33.000 inwoners is dat niet anders. Volgens de systeembeheerder is het onder de AVG onder andere belangrijk dat een organisatie exact weet wat er op het netwerk met persoonsgegevens gebeurt. “Als er bijvoorbeeld een verdacht mailtje binnenkomt, moet je kunnen zien wat er zich precies afspeelt op het netwerk en op de endpoints. Inzicht op basis van een centrale logging heb je ook nodig als je onder de AVG een datalek moet melden bij de AP.”
“Van alle componenten in de keten – van de firewall tot aan de virusscanners en de sandbox – moet je de logging centraal kunnen raadplegen”, legt Hanse uit. “Dan heb je een securityoplossing nodig die de hele keten inzichtelijk maakt. Tijdens de voorbereidingen op de AVG werd voor ons al snel duidelijk dat we het niet gingen redden met de oude firewall.”
Overzicht ontbrak
Die oude firewall leverde niet alleen op het gebied van compliance met de AVG kopzorgen op. “De corebusiness van de IT-afdeling is ervoor zorgen dat de medewerkers bijvoorbeeld probleemloos hun laptop kunnen gebruiken. Met de oude firewall werd het steeds lastiger om die kerntaak uit te voeren.”
“Als we op een laptop te maken hadden met een virus, dan kostte het ons erg veel tijd om te achterhalen wat er precies aan de hand was”, legt de systeembeheerder uit. “Het overzicht ontbrak. We moesten telkens in verschillende beheerconsoles kijken en in diverse logbestanden duiken. Dan loop je het risico dat je dingen over het hoofd ziet. Ook hadden we sterk het gevoel dat de oude firewall en de huidige virusscanneroplossing ons niet beschermden tegen de nieuwe dreigingen die via internet op ons afkomen, zoals ransomware en geavanceerde malware.”
Security Fabric
Hanse kwam al snel tot de conclusie dat een ‘simpele firewallvervanging’ niet de oplossing was. “Onze securitypartner DearBytes overtuigde ons ervan dat een Fortinet Security Fabric veel meer te bieden heeft dan alleen firewallfunctionaliteit en de gehele securityketen inzichtelijk maakt.”
DearBytes implementeerde bij de gemeente Schouwen-Duiveland een Security Fabric die bestaat uit een firewall, een virtuele appliance voor e-mailscanning, een server voor het analyseren van bestanden in een sandbox en virusscanners op alle werkstations. “Het installeren van nieuwe virusscanners op alle werkstations was in ons geval voor een belangrijk deel een handmatig proces. Dat kost tijd”, blikt Hanse terug. “Daar staat wel tegenover dat we nu virusscanners hebben met functionaliteiten die we eerst niet hadden, zoals scanning op kwetsbaarheden.”
“Een volgende stap is het verder inrichten van de securitymonitoring, zodat we nog beter zien wat er allemaal op ons netwerk gebeurt”, vervolgt Hanse. “Ook de logging moeten we nog verder uitbreiden. Compliance met de AVG vraagt daar ook om.”
Positieve ervaringen
De eerste ervaringen met het Security Fabric van Fortinet zijn positief. “Het aantal besmettingen is duidelijk afgenomen”, concludeert Hanse. “Ook zien we in de sandbox dingen voorbijkomen waarvan ik me afvraag of we die met onze oude securityoplossing wel hadden afgevangen, al blijft dat natuurlijk gissen. Maar de grootste kracht zit in de integratie tussen de componenten die nodig is om overzicht te behouden en inzicht te krijgen in wat er op je netwerk gebeurt.”