Wat is de FIPS-modus?

In een eerder artikel hebben we uitgelegd wat de Federal Information Processing Standards (FIPS) zijn en hoe overheidsinstanties elke dag gegevens kunnen gebruiken die van invloed kunnen zijn op levens, de nationale veiligheid en het vertrouwen van het publiek in de overheid zelf. Of het nu gaat om een politieafdeling van de stad die bodycambeelden analyseert, een gezondheidsinstantie die medische dossiers beheert of een federale contractant die geclassificeerde documenten verwerkt, de belangen zijn hoog. In deze omgeving is artificiële intelligentie (AI) een game-changer, maar alleen als de onderliggende data-infrastructuur veilig, veerkrachtig en conform de hoogste normen is.

Daar komen de Federal Information Processing Standards (FIPS) om de hoek kijken. We hebben ons over het algemeen al verdiept in FIPS.  In deze blog richten we ons meer op wat FIPS-modus en FIPS-validatie zijn en hoe ze cyberveerkracht binnen een bedrijf mogelijk maken. 

Snelle samenvatting: Wat zijn de Federal Information Processing Standards (FIPS)?

De in 1974 opgerichte Federal Information Processing Standards (FIPS) zijn een reeks federale beveiligingsnormen die zijn ontworpen voor de bescherming van gevoelige data en systemen die worden gebruikt door Amerikaanse overheidsinstanties en de aannemers en leveranciers waarmee zij samenwerken. Ze zijn specifiek bedoeld om de werking van cryptografische modules te informeren – algoritmen die data versleutelen die in het systeem of apparaat zijn opgeslagen. 

Versleutelingsmodules voor informatietechnologie en computerbeveiligingsprogramma’s die in FIPS-modus draaien, zullen FIPS-compatibele functies uitvoeren, zoals het genereren, versleutelen en ontsleutelen van sleutels. 

Wat is NIST?

Stelt u zich de begindagen van de digitale overheid voor: data verspreid over mainframes, weinig standaardisatie en een groeiend bewustzijn dat informatie – of het nu gaat om een burgerservicenummer of een defensieplan – zowel een bedrijfsmiddel als een doel was. Het National Institute of Standards and Technology (NIST) kwam naar voren als het antwoord van de federale overheid op deze uitdaging, door een uitgebreide set richtlijnen, controles en best practices te ontwikkelen om instanties te helpen hun meest gevoelige informatie te beschermen.

NIST-beveiligingsnormen zijn meer dan alleen technische checklists. Ze zijn een levend kader voor risicobeheer, ontworpen om instanties te helpen:

• Identificeer en beoordeel kwetsbaarheden
• Detecteer en reageer op cyberbedreigingen
• Herstel van incidenten en behoud de operationele continuïteit

De kaders van NIST, zoals het Cybersecurity Framework (CSF) 2.0 en de Special Publication (SP) 800-serie, zijn de gouden standaard geworden, niet alleen voor federale instanties, maar voor elke organisatie – publiek of particulier – die een toewijding aan veiligheid, transparantie en publiek vertrouwen wil aantonen.

FIPS: De federale norm voor databeveiliging

Laten we nu weer inzoomen op FIPS. FIPS is ontwikkeld en onderhouden door NIST en biedt de technische ruggengraat voor federale databeveiliging, vooral rond encryptie en cryptografische modules. Als u gevoelige overheidsgegevens opslaat, verzendt of verwerkt, is FIPS niet optioneel – het is verplicht.

Hoe ziet FIPS-compliance er in de praktijk uit?

Versleuteling: Alle gevoelige data, hetzij in rust of in transit, moeten worden beschermd met FIPS-gevalideerde cryptografische algoritmen (zoals AES-256).

• Fysieke beveiliging: Hardware (zoals storage arrays) moet worden beschermd in beveiligde datacenters, met strikte toegangscontroles en monitoring.
• Verificatie: Systemen moeten veilige authenticatiemechanismen gebruiken, waaronder multi-factor authenticatie en cryptografische tokens, om onbevoegde toegang te voorkomen.
• Auditen en monitoren: FIPS-compatibele systemen moeten alle beveiligingsgebeurtenissen registreren, zodat instanties incidenten snel kunnen detecteren en erop kunnen reageren.

Voor federale instanties, aannemers en elke organisatie die met overheidsgegevens werkt, is FIPS-naleving vaak de poortwachter voor contracten, subsidies en doorlopende financiering. Maar het is meer dan een aanbestedingshindernis – het is een signaal voor het publiek dat hun informatie met de grootst mogelijke zorg wordt bewaakt.

Wat is de FIPS-modus?

FIPS-modus is een configuratie-instelling die beschikbaar is op bepaalde hardware- en softwaresystemen, zoals dataopslagarrays, besturingssystemen en netwerkapparaten. Indien ingeschakeld, zorgt de FIPS-modus ervoor dat het systeem alleen FIPS-gevalideerde cryptografische algoritmen en modules gebruikt voor encryptie en andere beveiligingsfuncties. Dit helpt om gevoelige data te beschermen en te voldoen aan wettelijke vereisten voor organisaties die geclassificeerde of gevoelige informatie verwerken. Hoewel draaien in FIPS-modus niet garandeert dat een systeem volledig FIPS-compliant is, is het een cruciale stap in de richting van naleving, vooral in combinatie met andere beveiligingsmaatregelen en validatieprocessen.

Veelgestelde vragen over de FIPS-modus

1. Kan de FIPS-modus worden uitgeschakeld?

Ja, de FIPS-modus kan worden uitgeschakeld. Wanneer de FIPS-modus is uitgeschakeld, zijn niet-FIPS-compatibele functies niet langer beperkt.

2. Welke technologie kan in de FIPS-modus worden gezet?

Elke technologie of elk systeem dat FIPS-compatibele encryptiealgoritmen of -bewerkingen kan uitvoeren, kan in FIPS-modus worden gezet. 

Hardware die in FIPS-modus kan worden gezet

De soorten hardware die in FIPS-modus kunnen worden gezet, zijn hardware die cryptografische functies uitvoert, zoals:

• Datastorage-arrays (bijv. zelfcoderende schijven)
• Netwerkapparaten, zoals routers, firewalls en netwerkswitches
• Beveiligingsapparaten

Software die FIPS-modus kan hebben ingeschakeld

De soorten software waarvoor de FIPS-modus kan worden ingeschakeld, zijn onder andere systemen of software waarop encryptiemodules worden uitgevoerd, zoals:

• Besturingssystemen
• Encryptiesoftware
• Virtuele private netwerken (VPN’s)
• SIEM-software of netwerkinbraakdetectiesystemen

3. Welke netwerken en industrieën hebben FIPS-modus nodig?

De netwerken of industrieën die FIPS-modus nodig hebben, zijn contractueel verplicht en zijn doorgaans netwerken binnen de Verenigde Staten die gerubriceerde informatie voor de Amerikaanse overheid verwerken. Deze kunnen omvatten:

• Federale en overheidsnetwerken
• Wetshandhaving, nationale veiligheid en nationale defensienetwerken
• Netwerken voor de gezondheidszorg
• Militaire netwerken
• Kritieke infrastructuur, waaronder de nutssector, energie-, stroom- en elektriciteitsnetnetwerken

FIPS-modus: Meer dan een switch – een beveiligingsmentaliteit

Zie de FIPS-modus als een “lockdown” van beveiliging. Wanneer een opslagsysteem of -apparaat in FIPS-modus werkt, gebruikt het alleen FIPS-gevalideerde cryptografische functies. Niet-conforme algoritmen zijn uitgeschakeld. Dit zorgt ervoor dat elke bit en byte – of het nu gaat om een geclassificeerd document of een medisch dossier van een burger – wordt versleuteld en beschermd volgens de strengste normen.

Maar de FIPS-modus is slechts een deel van het verhaal, omdat er ook FIPS-validatie is. Echte FIPS-validatie betekent dat het product onafhankelijk is getest en gecertificeerd door geaccrediteerde laboratoria, waarbij elke cryptografische functie wordt gecontroleerd op kwetsbaarheden. Voor overheidsinstanties gaat het niet alleen om compliance, het gaat om veerkracht in het licht van ransomware, bedreigingen van binnenuit en tegenstanders van de staat

Lees meer over FIPS-compliance en hoe het wordt bepaald.

Hoe verhoogt FIPS-validatie de cyberveerkracht?

Voor overheidsinstellingen en gereguleerde organisaties is FIPS-validatie meer dan een compliance-selectievakje – het is een hoeksteen van een veerkrachtige, verdedigbare cyberbeveiligingshouding. Door zich aan het FIPS te houden, krijgen organisaties niet alleen robuuste encryptie, maar ook een holistische, gestandaardiseerde aanpak om gevoelige data te beschermen en systgems draaiende te houden bij veranderende bedreigingen.

Compromisloze dataprotectie

FIPS-gevalideerde opslagsystemen maken gebruik van rigoureus geteste cryptografische modules, zoals AES-256-encryptie, om data zowel in rust als tijdens het transport te beveiligen. Dit betekent dat zelfs als een tegenstander fysieke toegang krijgt tot opslagmedia, de informatie onontcijferbaar en onbruikbaar blijft. De door FIPS opgelegde “encrypt everything”-filosofie zorgt ervoor dat alle data, ongeacht waar ze zich bevinden, worden beschermd zonder dat de systeemprestaties worden aangetast. Voor instanties die gevoelige maar niet-geclassificeerde informatie (SBU) verwerken, is dit niveau van zekerheid van cruciaal belang, vooral nu cybertegenstanders geavanceerder worden.

Multi-layer beveiligingsarchitectuur

FIPS-compliance gaat veel verder dan encryptie. Het vereist een uitgebreid beveiligingskader dat het volgende aanpakt:

• Fysieke beveiliging: FIPS-normen leggen strenge controles op de fysieke infrastructuur op, waaronder beveiligde datacenters, toegangsbeperkingen, bewaking en milieubescherming om ongeautoriseerde manipulatie of diefstal te voorkomen.
• Verificatie: Veilige authenticatiemechanismen, zoals multi-factor authenticatie en cryptografische tokens, zijn vereist om ervoor te zorgen dat alleen geautoriseerd personeel toegang heeft tot kritieke systemen en data.
• Auditen en monitoren: FIPS-compatibele systemen moeten robuuste logging-, monitoring- en rapportagemogelijkheden bieden. Dit maakt realtime detectie van verdachte activiteiten mogelijk, ondersteunt incidentrespons en voldoet aan wettelijke rapportagevereisten.

Verdediging Ransomware en herstel van incidenten

Nu ransomware-aanvallen toenemen, biedt FIPS-compatibele opslag een cruciale verdedigingslinie. Door sterke encryptie, toegangscontrole en veilig sleutelbeheer af te dwingen, kunnen organisaties voorkomen dat kwaadwillende actoren data versleutelen of exfiltreren, zelfs als de perimeterverdediging wordt geschonden. De gestandaardiseerde controles die door FIPS worden vereist, helpen ervoor te zorgen dat, in het geval van een aanval, kritieke data beschermd en herstelbaar blijven, waardoor downtime en dataverlies tot een minimum worden beperkt.

Bedrijfscontinuïteit en publiek vertrouwen mogelijk maken

Het implementeren van FIPS-gevalideerde oplossingen levert tastbare voordelen op die verder gaan dan technische beveiliging:

• Regelgevende afstemming: FIPS-compliance ondersteunt de naleving van andere mandaten zoals HIPAA, FISMA en CMMC, waardoor de complexiteit van compliance en de auditoverhead worden verminderd.
• Markttoegang: Voor overheidsinstanties en aannemers is FIPS-validatie vaak een voorwaarde om zaken te doen, deuren te openen voor nieuwe contracten en financieringsmogelijkheden.
• Reputatie en vertrouwen: Het tonen van FIPS-nalevingssignalen aan burgers, partners en toezichthoudende instanties dat uw organisatie databescherming serieus neemt, waardoor het vertrouwen van het publiek wordt versterkt.

Standaardisatie voor interoperabiliteit

FIPS biedt een gemeenschappelijke beveiligingsbasislijn tussen agentschappen en leveranciers, waardoor veilige data-uitwisseling en interoperabiliteit mogelijk zijn, ongeacht het platform of de technologiestack. Deze standaardisatie is essentieel voor moderne overheidsoperaties, waar samenwerking en het delen van data van cruciaal belang zijn.

Conclusie

De FIPS-modus is een zeer specifieke configuratie voor apparaten en systemen die FIPS-compatibel moeten zijn, maar het is belangrijk om op te merken dat het geen catchall is, noch dat het geschikt is voor elk apparaat of systeem. Niet alle dataopslagapparaten kunnen FIPS-compatibel zijn of in FIPS-modus draaien. Als u een FIPS-compatibel dataopslagapparaat nodig hebt, zoek dan naar een opslagarray die expliciet FIPS-naleving in de systeemdocumentatie noteert (bijv. technische specificaties en gebruikershandleidingen) of controleer de documentatie van een leverancier of neem contact op met de technische ondersteuning.

KOPERSHANDLEIDING, 14 PAGINA’S

Een kopersgids voor moderne virtualisatie

Lees de kopersgids