Digitale soevereiniteit draait daarom vooral om controle en weerbaarheid in de technische architectuur. Organisaties moeten hun systemen zo ontwerpen dat zij ook bij verstoringen operationeel blijven. Hieronder volgt een overzicht van een beveiligingsarchitectuur die digitale soevereiniteit in reële omgevingen mogelijk maakt. Hierbij ligt de nadruk op een geïntegreerde OT-beveiligingsarchitectuur voor cyberfysieke systemen (CPS) onder jurisdictiecontrole, eigendom van encryptie-toepassing, veilige offline functionaliteit en aspecten van gegevensbescherming.
Digitale soevereiniteit betekent operationele controle
De gebeurtenissen van de afgelopen tijd laten zien dat digitale soevereiniteit voor organisaties met kritieke infrastructuur geen politieke discussie meer is, maar een bestuurlijke noodzaak. Sectoren zoals energie, water, transport, telecom en financiële dienstverlening zijn sterk afhankelijk van digitale systemen. De kernvraag is daarbij niet waar technologie vandaan komt, maar of organisaties zelfstandig, veilig en rechtmatig kunnen blijven functioneren als externe diensten, connectiviteit of internationale toeleveringsketens onder druk komen te staan.
Fragmentatie is de vijand van soevereiniteit
De digitalisering van OT-omgevingen heeft de grens tussen IT en OT vervaagd, terwijl beide om een andere beveiligingsaanpak vragen. In kritieke infrastructuren leidt het gebruik van losse beveiligingsoplossingen en externe diensten vaak tot complexe en kwetsbare omgevingen. Een geïntegreerde beveiligingsarchitectuur vermindert deze afhankelijkheden door netwerken, identiteit, monitoring en dreigingsinformatie centraal te organiseren. Hierdoor behouden organisaties meer controle, weerbaarheid en continuïteit, ook wanneer delen van de infrastructuur afhankelijk zijn van cloudomgevingen.
Als uitbreiding van de Fortinet IT Security Fabric is het OT Security Platform ontworpen om unieke kritieke infrastructuurnetwerken te beveiligen. Omdat de twee platforms volledig geïntegreerd zijn, maakt dit veilige netwerken mogelijk binnen de gedistribueerde IT- en OT-infrastructuur. Cruciaal voor CPS: OT-bewuste beveiligingsoperaties en geïntegreerde FortiGuard Labs-dreigingsinformatie worden gecombineerd in één operationeel model. Dit biedt één structuur, meerdere domeinen en consistente controle.
Lokale controle in plaats van afhankelijkheid van de cloud
Onderzoek van Fortinet heeft aangetoond dat 88% van de ondernemingen tegenwoordig in hybride of multi-cloudomgevingen opereert, en dat 81% tegelijkertijd gebruikmaakt van ten minste twee cloudproviders. Hoewel clouddiensten schaalbaarheid en geavanceerde analyses bieden, brengen ze ook jurisdictie- en beschikbaarheidsafhankelijkheden met zich mee. Deze worden vaak onderschat.
Kritieke infrastructuur moet ook veilig kunnen blijven functioneren wanneer externe verbindingen of cloudservices wegvallen. Daarom moeten beveiligingsfuncties zoals authenticatie, autorisatie, inspectie en logging lokaal beschikbaar en afdwingbaar blijven. Een ‘on-premises first, cloud optional’-architectuur biedt hierbij de meeste controle en weerbaarheid, doordat essentiële beveiligings- en beheersfuncties zelfstandig binnen de eigen jurisdictie blijven werken, zonder afhankelijkheid van permanente externe validatie.
Gegevens blijven binnen de jurisdictie
Dezelfde gedachtegang geldt voor gegevenssoevereiniteit. Operationele logboeken, beveiligingstelemetrie en nalevingsbewijs moeten altijd toegankelijk blijven voor de eigenaar en idealiter binnen de wettelijke jurisdictie van de eigenaar, met name onder regelgevingskaders zoals NIS2. Gegevenscontrole moet aantoonbaar zijn bij audits en mag niet worden verondersteld op basis van contractuele bepalingen. Om dit te bereiken worden in soevereine platformarchitecturen primaire log- en rapportagefuncties on-premises geïmplementeerd, waarbij cloudanalyses dienen als optionele uitbreidingen in plaats van verplichte handhavingslagen. Hoewel de cloud de zichtbaarheid vergroot, mag deze de continuïteit niet dicteren.
Encryptie in eigendom
Encryptie is een ander gebied dat binnen de architectuur in overweging moet worden genomen. Als een operator encryptiesleutels genereert, opslaat en beheert, heeft hij de volledige controle. Als de sleutels daarentegen extern in bewaring worden gegeven of afhankelijk zijn van buitenlandse sleutelbeheerdiensten, kan soevereiniteit niet volledig worden gewaarborgd, aangezien de entiteit die de sleutels beheert ook de toegang tot gegevens en de continuïteit bepaalt.
In een soevereine architectuur behouden operators de volledige controle over het genereren, opslaan en beheren van de levenscyclus van sleutels. Binnen Fortinet-implementaties worden versleutelingssleutels bijvoorbeeld door de klant gegenereerd en beheerd, en vereisen threat intelligence-diensten geen sleutelbewaring door de klant, wat een belangrijke governance-waarborg biedt.
Digitale soevereiniteit zorgt voor veerkracht, niet voor isolatie
Digitale soevereiniteit betekent niet dat organisaties zich afsluiten van wereldwijde innovatie, maar dat zij operationele controle behouden zonder afhankelijk te zijn van externe partijen. Dit vraagt om een geïntegreerde OT-beveiligingsarchitectuur met lokale controle over beveiliging, encryptie en data. Systemen moeten ook bij verstoringen veilig blijven functioneren, terwijl gegevens binnen de gekozen jurisdictie blijven. Zo wordt de veerkracht van kritieke infrastructuur versterkt en blijft de verantwoordelijkheid voor veiligheid en continuïteit bij de organisatie zelf.
Auteur kennisbijdrage: Antoine D’Haussy, regional VP en OT Practice Lead international bij Fortinet.
Plaats een reactie
U moet ingelogd zijn om een reactie te kunnen plaatsen.