Inzicht in de uitdagingen van beperkte distributie

Beperkt verspreidbaar is een strategisch onderwerp geworden voor organisaties die gevoelige informatie verwerken. In een context van meer geavanceerde cyberdreigingen en strengere regelgeving moeten overheden, OIV (Operators of Vital Importance), OSE (Essential Services Operators) en fabrikanten hun kritieke informatie beschermen. De vermelding „Restricted Distribution” (DR) is ontworpen om toezicht te houden op de behandeling van niet-geclassificeerde gevoelige gegevens, die niet onder het defensiegeheim vallen, maar speciale voorzorgsmaatregelen vereisen.

De voorschriften voor de beveiliging van informatiesystemen die dergelijke gegevens verwerken, zijn zeer gestructureerd. DE Interministeriële instructie 901 (II901) is nu de referentiebasis voor regelgeving. Het wordt versterkt door de Europese richtlijn NIS2, dat specifieke verplichtingen introduceert voor kritieke entiteiten die actief zijn in strategische sectoren. Samen vereisen deze teksten dat CIO's en CISO's hun inspanningen verdubbelen om de vertrouwelijkheid, integriteit en beschikbaarheid van gevoelige informatie te waarborgen, met behoud van de bedrijfscontinuïteit.

Wat is beperkte distributie?

De vermelding „Beperkt verspreidbaar” verwijst naar een categorie gevoelige informatie die, zonder te worden geclassificeerd onder nationale defensie, de distributie beperkt tot bevoegde personen vereist. Het betreft een breed scala aan gegevens: strategische onderzoeksresultaten, industriële informatie, industriële informatie, gevoelige administratieve documenten, wetenschappelijke gegevens die worden beschermd door het PPST-systeem (bescherming van het wetenschappelijk en technisch potentieel van de natie), enz.

De betrokken entiteiten zijn zo divers als overheidsdiensten, lokale autoriteiten, bedrijven die actief zijn in kritieke sectoren (energie, gezondheidszorg, vervoer, digitaal, defensie, wapens, enz.), onderzoekslaboratoria of zelfs openbare industriële en commerciële instellingen.

Het doel van de DRterm is om lekken, compromittering of kwaadwillig gebruik van deze gevoelige gegevens te voorkomen en tegelijkertijd de circulatie ervan binnen een beperkte kring mogelijk te maken. Dit omvat de implementatie van technische maatregelen (versleuteling, netwerkpartitionering, enz.) en organisatorische maatregelen (autorisatiebeheer, bewustmaking, toegangsprocedures) om een adequaat beschermingsniveau te garanderen.

Regelgevingskader: de essentiële principes die moeten worden gerespecteerd

De bescherming van informatiesystemen die DR-informatie verwerken, is voornamelijk gebaseerd op Interministeriële Instructie nr. 901 en de ANSSI-aanbevelingen. Zonder in te gaan op de details van alle artikelen, kunnen we ons de volgende pijlers herinneren:

• Isolatie van het netwerk : DR-gegevens moeten worden verwerkt in speciale netwerken, ofwel volledig geïsoleerd (klasse 2), ofwel sterk gepartitioneerd (klasse 1) met beveiligde interconnectiegateways.
• SI-certificering : elk informatiesysteem dat DR-gegevens verwerkt, moet een formele certificeringsprocedure ondergaan bij ANSSI, inclusief een risicoanalyse en een veiligheidsverzekeringsplan.
• Versleuteling van gegevens : elke opslag of uitwisseling van DR-gegevens buiten de beveiligde perimeter moet plaatsvinden via goedgekeurde versleutelingsmiddelen.
• Toegangscontrole en logboekregistratie : toegang tot IS DR's moet strikt worden gecontroleerd, geregistreerd en gecontroleerd.
• Dienstverleners en onderaannemers : elke externe interventie op een IS DR moet onder contractueel toezicht staan en gebaseerd zijn op betrouwbare dienstverleners.

De Europese NIS2-richtlijn vereist van haar kant dat kritieke entiteiten een robuust cyberbeveiligingsbeleid implementeren. Het beveelt expliciet netwerksegmentatie, het gebruik van gecertificeerde oplossingen en het beheer van geprivilegieerde toegang aan. Voor CIO's betekent dit een toenemende verplichting om beveiliging te integreren vanaf het ontwerp van hun architectuur.

Typische architectuur van een Restricted Broadcast IS

De architectuur van een informatiesysteem met beperkte distributie is gebaseerd op principes van isolatie en strikte beheersing van stromen. Het is over het algemeen gebaseerd op drie structurerende elementen:

1. Een geïsoleerd of sterk gesegmenteerd netwerk : in het ideale geval (klasse 2) is de SI DR volledig gescheiden van het kantoornetwerk en het internet. Instroom of uitstroom is niet toegestaan, met uitzondering van bepaalde specifieke apparaten zoals veiligheidsdiodes.
2. Veilige gateways : wanneer een interconnectie nodig is (klasse 1), worden filtergateways ingesteld. Ze zorgen voor een grondige inspectie van stromen, een protocolonderbreking en volledige traceerbaarheid. Hun configuratie wordt beheerst door strikte regels.
3. Robuuste werkstations : geautoriseerde gebruikers hebben toegang tot de SI DR vanaf beveiligde werkstations, zonder internettoegang, met een robuust besturingssysteem, sterke authenticatie en gebruiksbeperkingen.

Samengevat is de typische architectuur van een Restricted Distribution IS gebaseerd op het principe van diepgaande verdediging door isolatie. Een ideale IS DR is een digitaal eiland, afgesloten van de tumultueuze stromen van het internet, waarbij elke naar buiten geworpen brug een zeer veilige constructie is (gefilterde gateway, diode).

Dit roept duidelijk de vraag op van samenwerking en productiviteit:

Hoe kunnen gebruikers in een DR-omgeving effectief werken (het web raadplegen, communiceren, toegang krijgen tot bepaalde diensten) zonder de beveiliging van hun systeem in gevaar te brengen?

VirtualBrowser: webisolatie en veilige toegang voor omroepomgevingen met beperkte toegang

In omgevingen met beperkte distributie kan het implementeren van een architectuur die voldoet aan het regelgevingskader al snel omslachtig worden in termen van technische, personele en financiële middelen. Technologieën voor isolatie op afstand, in het bijzonder Remote Browser Isolation, maken het juist mogelijk om deze architectuur te vereenvoudigen. Ze bieden een manier om structurele lasten te verminderen, het gebruik van complexe fysieke apparaten te beperken en te voldoen aan de wettelijke vereisten zonder apparatuur of procedures te vermenigvuldigen.

De isolatie van surfen op afstand op het internet (Remote Browser Isolation) betekent daarom een grote vooruitgang. Het is gebaseerd op een eenvoudig principe: isoleer de uitvoering van de browser in een veilige externe omgeving, zorg voor een volledige protocolbreuk met de computer van de gebruiker en stuur hem alleen een renderingstream in de vorm van pixels.

Deze aanpak maakt twee zeer relevante use-cases mogelijk in een DR-context:

Beveiligde webtoegang vanaf een werkstation in een Restricted Broadcast IS

In een traditionele architectuur zijn DR-werkstations verstoken van het internet, waardoor gebruikers gedwongen worden een tweede „open” werkstation te gebruiken. Deze configuratie vermenigvuldigt de logistieke kosten en risico's.

Dankzij een volledig geïsoleerde browsersessie op een externe server hebben gebruikers rechtstreeks vanuit hun DR toegang tot het kantoornetwerk, het internet, SaaS-tools of kunnen ze deelnemen aan videoconferenties, zonder de veilige omgeving in gevaar te brengen. Webcontent wordt niet lokaal verzonden, de regels voor netwerkisolatie blijven gerespecteerd en SSI-teams kunnen toegestane acties beperken op basis van het risiconiveau (alleen-lezen, filteren, beheer van bestandsoverdracht, enz.).

Samenvattend, VirtualBrowser creëert een veilige brug tussen het DR-netwerk en het internet. Deze brug is niet alleen een directe toegang, maar een echte hermetische bufferzone dankzij een protocolonderbreking tussen het DR-netwerk en het internet, waardoor elke inbreuk op de gevoelige IS wordt voorkomen en tegelijkertijd gecontroleerde toegang tot externe bronnen mogelijk is. Hiermee kunnen CIO's Het internetverbod op gevoelige werkstations opheffen zonder de beveiliging in gevaar te brengen, en om de operationele kosten van nevenfuncties te besparen.

De voordelen voor DR-omgevingen

De toepassing van een oplossing voor isolatie op afstand voor DR IS maakt het mogelijk om aan de wettelijke vereisten te voldoen en tegelijkertijd het leven van gebruikers te vereenvoudigen. De belangrijkste voordelen zijn:

• Maximale beveiliging : geen direct contact tussen de gebruiker in SI DR en het internet
• Naleving van regelgeving : naleving van de vereisten van II901-, NIS2-, ANSSI-handleidingen
• Bewaarde gebruikerservaring : één station, soepele navigatie, vertrouwde tools
• Snelle implementatie : geen agent, toegang via browser, gecentraliseerde configuratie
• Beheersing van het gebruik : fijn beheer van rechten, stromen en mogelijke interacties (kopiëren/plakken, overdragen, afdrukken, enz.)
• Kostenreductie : betere productiviteit voor gebruikers die niet langer hoeven te jongleren tussen meerdere pc's

Het op afstand isoleren van webstromen en applicaties is nu een geloofwaardige en effectieve reactie op deze strenge regelgeving. Het maakt het mogelijk om schijnbaar tegenstrijdige imperatieven met elkaar te verzoenen: gevoelige omgevingen compartimenteren met behoud van gecontroleerde openheid.

Door te voldoen aan de principes van Zero Trust, door te voldoen aan de II901- en NIS2-vereisten en door een soepele en eenvoudige gebruikerservaring te bieden, verdient deze aanpak het om te worden geïntegreerd in elke strategie voor de beveiliging van gevoelige IS.

Bijlagen:

• Interministeriële instructie nr. 901 (II901)
• ANSSI-handleiding „Architectuuraanbevelingen voor gevoelige informatiesystemen of DR's” (v1.2)
• NIS2-richtlijn en ANSSI-simulator
• Handleiding voor het gebruik van VirtualBrowser