Versleutelde verbindingen binnen het LAN

Wanneer ik organisaties begeleid bij het documenteren en implementeren van een passende informatiebeveiliging, word ik regelmatig gevraagd naar de noodzaak van versleutelde verbindingen binnen het interne netwerk. Best vaak wordt dit (vanwege andere prioriteiten of complexiteit) beschouwd als onnodig en zo nu en dan wordt dit duidelijk gemaakt met wegwerpgebaren en het argument dat “het hier geen bank is”. Hoewel er zeker redenen kunnen zijn om het risico van onversleutelde verbindingen in het LAN te accepteren, zijn er ook voldoende argumenten om transportversleuteling wél toe te passen.

Onderscheppen van verkeer

Het meest voor de hand liggende argument is dat onversleuteld verkeer kan worden onderschept en misbruikt. Denk aan malware, een cybercrimineel, een bezoeker, of zelfs het eigen personeel; uit onderzoek blijkt namelijk dat 20% van de beveiligingsincidenten en 15% van de datalekken wordt veroorzaakt door eigen medewerkers. Medewerkers van de ICT afdeling proberen dit argument regelmatig te weerleggen met de bewering dat het uitvoeren van een man-in-the-middle aanval niet zomaar mogelijk is, maar gaan hierbij doorgaans te makkelijk voorbij aan de vele aanvalsvectoren die een MITM aanval mogelijk maken. Helaas zijn de maatregelen waarmee deze aanvalsvectoren kunnen worden geneutraliseerd meestal niet of slechts gedeeltelijk aanwezig. Switches bieden bijvoorbeeld wel functies die beschermen tegen bepaalde type aanvallen, maar deze functies zijn vaak alleen beschikbaar op de duurdere modellen of zijn niet ingeschakeld.

Verminderde onweerlegbaarheid

In deze context bedoel ik met onweerlegbaarheid dat een medewerker niet kan ontkennen dat hij / zij een bepaalde actie heeft uitgevoerd. Ondanks het feit dat er voor een feilloze onweerlegbaarheid meer nodig is dan alleen een versleutelde verbinding, helpt het ontbreken ervan zeker niet. Ik kan me voorstellen dat dit te pas en te onpas kan worden gebruikt als argument om bepaalde vermoedens te ontkrachten. In het geval van juridische conflicten kan het ontbreken van versleutelde verbindingen zelfs worden gebruikt om de onweerlegbaarheid van bepaalde bewijsstukken in twijfel te trekken.

Wetgeving maakt geen onderscheid

De Algemene Verordening Gegevensbescherming stelt dat wanneer er persoonsgegevens worden verwerkt, de verwerkingsverantwoordelijke verplicht is tot het nemen van “passende technische en organisatorische maatregelen”. De AVG beschrijft niet welke maatregelen er in welke context dienen te worden genomen, maar gaat er vanuit dat organisaties hierin zelf een juiste afweging maken. Dit betekent dat organisaties zelf uit dient te leggen waarom het versleutelen van verbindingen niet wordt toegepast.

Daarbij dient niet te worden vergeten dat transportversleuteling tegenwoordig wordt beschouwd als een standaard hygiënemaatregel en als zodanig ook vaak in het informatiebeveiligingsbeleid is vastgelegd. Als je vervolgens bedenkt dat de Autoriteit Persoonsgegevens het toepassen van transportversleuteling bij het verwerken van persoonsgegevens via internet verplicht stelt én nergens (in de AVG) staat dat het voor LAN verbindingen niet zo nauw komt (ook daar kunnen privacyrisico’s van toepassing zijn), dan lijken argumenten zoals “het is hier geen bank” en “andere dingen waren belangrijker” mij niet lang houdbaar.

Stimuleren verkeerd gedrag gebruikers

Het laatste, en misschien nog wel het meest belangrijke, argument is het verkeerde signaal wat je door het ontbreken van transportversleuteling afgeeft aan je gebruikers. Niet alleen omdat awareness trainingen het belang van transportversleuteling onderstrepen (dat doe ik zelf in ieder geval), maar ook omdat browsers inmiddels waarschuwingen geven wanneer er gebruik wordt gemaakt van onversleutelde verbindingen. Je wil gebruikers niet aanleren of aansporen dat het oké is om waarschuwingen en / of foutmeldingen te negeren. Zorg er daarom niet alleen voor dát er beveiligde verbindingen worden gebruikt, maar zorg er ook voor dat eventuele aangeboden certificaten succesvol valideren en geen foutmeldingen of waarschuwingen richting gebruikers veroorzaken.