Door NIS2 komen fysieke en digitale veiligheid vaker samen

Lex Borger, Security Consultant bij Tesorion en André Hiddink, Product Manager IT bij Rittal, hebben allebei met veiligheid te maken. Elk vanuit een andere invalshoek. Zij spreken over de fysieke en digitale veiligheid. Dat zijn nu nog gescheiden werelden, maar dat kan veranderen en dat komt dan vooral door de NIS2 richtlijn uit Brussel.

 

Informatiebeveiliging en certificeringen

Tesorion is de grootste managed security provider van Nederland. Lex is sinds 1985 bezig met wat ooit informatiebeveiliging heette. Tegenwoordig wordt dat vaak cybersecurity genoemd. Hij heeft aan de wieg gestaan van onder andere de UZI rijkspas en de eerste banking app van de grootste bank. Hij beschikt vanzelfsprekend over veel kennis van IT certificeringen .

 

“We hebben bij Tesorion veel te maken met certificeringen en normen voor data en processen. Bij bedrijven, maar ook voor datacenters en serverruimtes. De ISO 50600 is voor mij een vreemde eend in de bijt. Ik zie hem in de documentatie wel v

oorbij komen, maar vakinhoudelijk heb ik er weinig mee te maken. Ik begrijp dat dat voor jou André een ander verhaal is”.

 

“Dat klopt,” antwoordt André. “De bouwkundige eisen die aan ruimte gesteld worden hebben consequenties voor racks, koelunits en dergelijke die wij leveren. Net als de installateurs waarmee we zaken doen moeten we op dat vlak onze kennis actief bijhouden. Maar voor ons geldt weer dat wij weinig vragen over cybersecurity krijgen. Wij zitten dus eerder helemaal aan de voorkant van een traject en jullie komen waarschijnlijk eerder na de feitelijke oplevering aan tafel. Volgens mij zit daartussen best veel ruimte.”

 

Cybersecurity mappen op fysieke beveiliging

“Cybersecurity kennis en maatregelen op peil houden lijkt, als je op de meldingen in de pers afgaat, een hopeloze strijd. Maar daar denk ik anders over,” zegt Lex. “Volgens ons kun je door een lijst van 7 punten na te leven heel veel ellende buiten de deur houden. Het bijzondere van die punten is dat iemand met kennis van fysieke beveiliging, zoals jij André, direct de raakvlakken met dat domein ziet. Als je je fysieke veiligheid op orde hebt en je wil dat mappen op het digitale domein kom je echt al heel ver.”

 

Als ze die punten bespreken blijkt dat het mappen van fysiek naar digitaal (en vice versa) niet altijd makkelijk zal zijn. André wijst op het verschil in de rollen. Facilities gaat over de fysieke veiligheidsmaatregelen van een gebouw en kan de taak zijn van een externe partij. De CISO of CIO zal niet altijd verder gaan dan het digitale domein.

 

“Maar ik merk ook iets anders. Er is zoveel aandacht voor het beschermen van het digitale domein, trefwoord ransomware, dat de fysieke veiligheid een ondergeschoven kindje dreigt te worden. Dat de deur naar serverruimte een slot heeft en het racks in die ruimtes ook is voor velen voldoende. De vraag of daar een zwaarder model slot in kan wordt naar mijn mening te weinig gesteld. Het onderwerp leeft niet.”

 

NIS2 richtlijn

Op dat punt belandt breekt  Lex een lans voor de nieuwe NIS2 richtlijn waar de EU aan werkt. “Hierin staan eisen geformuleerd om data en IT te beveiligen. Het framework biedt ruimte digitale risico’s te elimineren door het treffen van fysieke maatregelen volgens het pas toe of leg uit principe. Om een voorbeeld te geven: Data in rest moet encrypted zijn. Pas toe is die regel letterlijk opvolgen en dat is goed. Maar je kunt ook aangeven, dat is dan de leg uit optie, dat een schijf achter slot en grendel ligt encrypted is.”

 

Hij voegt er nog aan toe dat fysieke en digitaal echt niet los van elkaar gezien mogen worden. “Het ontwerp van de NIS2 richtlijn, die begin december door de Europese Commissie is goedgekeurd,  onderstreept dat. Het is geen of-of,  maar een en-en verhaal. Aandacht voor fysiek blijft nodig om digitale schade te voorkomen. Dat is overigens al jaren bekend. In onze sector bestaat zoiets als het begrip evil maid.”

 

Communiceren over NIS2

Op welk moment met klanten over de NIS2 richtlijn gesproken gaat worden is iets waar Lex en André nog geen antwoord op hebben. André geeft aan dat het eigenlijk nu al op de agenda kan als over vervanging of uitbreiding wordt gesproken. “Maar dat is lastig. Ik krijg zelden te horen dat men wil weten of er ontwikkelingen rond fysieke veiligheid zijn.” Lex beaamt dat: “Of jij en ik worden daar niet voor uitgenodigd of ze bestaan simpelweg niet.”

 

Detecteren, monitoren, mitigeren

Volgens Lex kan het uitblijven van discussies ook komen, omdat men gewend is te kijken naar ISO en NEN normen. ”Die hebben absoluut waarde, maar wie tegenwoordig alleen daarop stuurt loopt  achter de feiten aan. Dat er zo veel wordt gehamerd op detecteren, monitoren en mitigeren, ook in de NIS2 richtlijn, heeft echt een reden.”

 

Hij beschrijft vervolgens het volgende scenario. IT Behuizingen  in een serverruimte zijn voorzien van goede sloten en de ruimte zelf wordt 24/7 gemonitord. Als er iemand in die ruimte komt, die daar niets te zoeken heeft dan valt dat op. Er is dan een incident dat onderzocht moet worden. “Als de beelden of rapportages aantonen dat de persoon de behuizingen niet heeft kunnen openen dan weet je ook al dat de digitale impact van dat incident gering is.”

 

“Zoals jij het brengt kunnen door NIS2 fysieke en digitale of cyberveiligheid elkaar vaker gaan tegenkomen en zelfs versterken,” concludeert André. ”Maar dan ga je er wel vanuit dat de verantwoordelijken voor de verschillende domeinen samenwerken en over de juiste tools en kennis beschikken.”

 

Dat NIS2 de nodige impact gaat krijgen is duidelijk. Van meer bedrijven en sectoren dan voorheen gaat worden verwacht dat ze passende cybersecurity maatregelen treffen. Daarbij wordt ook naar de IT omgevingen gekeken waar data en applicaties zijn ondergebracht.

 

Lex: “De grote vraag voor mij is nu hoe de boodschap dat NIS2 er aan zit te komen in de markt komt. Tot nu toe is de aandacht van de pers voor het onderwerp nog minimaal. Is dat iets voor bedrijven zoals jullie en wij? En hoe voorkom je daarbij dat maatregelen voor een van de twee domeinen, digitaal en fysiek onderbelicht blijft of nog erger iets tussen wal en schip valt?”