Encryptie is bezig aan een stevige opmars

Encryptie, het versleutelen van informatie om deze onleesbaar te maken voor onbevoegden, wordt steeds belangrijker nu er veel meer aandacht is voor dataveiligheid en privacy dankzij onthullingen over de afluisterpraktijken van veiligheidsdiensten en de grote data hacks die in het nieuws komen. Denk aan de recent uitgekomen hack van 2G-simkaarten bij Gemalto. Encryptie is hot. Forrester heeft onlangs op basis van 52 criteria de belangrijkste leveranciers van endpoint encryptie in kaart gebracht. Sophos is koploper.

“My goal would be that all data is encrypted everywhere all the time”, zo onthulde een voormalige CTO van de Amerikaanse inlichtingendienst CIA onlangs. Met deze uitspraak onderstreept hij het belang van encryptie anno 2015.

Met de komst van The Internet of Things ontstaat volgens James Lyne, global head of security research bij Sophos, een nieuwe goudmijn voor cybercriminelen. “If you can connect to it you can own it”, met andere woorden: elk apparaat dat niet is versleuteld, is dan te hacken. Niet voor niets staat de vakbeurs Infosecurity België in Brussel dit jaar in het teken van The Internet of Things. Netwerkbeveiliging en encryptie zijn essentieel om te voorkomen dat cybercriminelen de communicatie tussen het apparaat en de server kunnen onderscheppen en op die manier data stelen.

Na de spraakmakende hacks bij Home Depot en Sony vorig jaar was het voor Sophos niet moeilijk om de Security Threat Trends voor 2015 te voorspellen. ‘Encryptie als trend’ staat met stip op drie. Encryptie ontwikkelt zich tot de standaard.

Geen compromissen 

Bedrijven kunnen tegenwoordig encryptie toepassen zonder dat ze compromissen hoeven te sluiten. Toch zijn veel bedrijven vaak nog terughoudend met de adoptie van encryptietechnologie. Verouderde encryptietechnieken zorgden vroeger voor vertraging in de IT-processen die grote irritaties opwekte bij eindgebruikers. Met moderne encryptieproducten, zoals bijvoorbeeld SafeGuard Enterprise, is die tijd voorbij. Encryptie biedt protectie en performance. James Lyne: “You don’t have to worry about encryption impacting performance.” Encryptiesoftware volgt tegenwoordig de data en biedt bescherming waar die data ook wordt opgeslagen: op de devices van gebruikers, hun gedeelde mappen, een USB-stick of in de cloud. Bovendien is deze moderne encryptietechnologie tegenwoordig eenvoudig te managen.

Overheid nam het voortouw

Encryptie komt niet zomaar uit de lucht vallen. De Algemene Inlichtingen- en Veiligheidsdienst (AIVD) maakt sinds jaar en dag gebruik van gecertificeerde oplossingen voor harddisk-encryptie voor de niveaus Staatsgeheim Confidentieel en Departementaal Vertrouwelijk. Voor het beschermen van gevoelige informatie van overheidsdiensten worden beveiligingsproducten gebruikt, bijvoorbeeld een product om een harde schijf van een computer mee te vercijferen, of een telefoon die spraakvercijfering gebruikt. Het Nationaal Bureau voor Verbindingsbeveiliging (NBV) houdt een gerubriceerde lijst bij van goedgekeurde producten waarbij encryptie telkens een reële optie is. Het gaat hierbij om off-line beveiliging, laptop-, netwerk- en spraakbeveiliging en beveiliging van externe media.

Encryptie niet langer vrijblijvend

Encryptie is geen vrijblijvende zaak meer, maar bittere noodzaak, zo bleek tijdens de GDPR Roadshows die Sophos onlangs organiseerde in Nederland. De Europese wetgever vraagt van ondernemingen en instellingen wereldwijd dat zij de data van Europese burgers die zij beheren en bezitten beveiligen. Het gaat dan om de EU General Data Protection Regulation die vanaf dit voorjaar de beveiliging van data in 28 landen zal uniformeren en regelen. Doel van de richtlijn is dat elk individu baas wordt over zijn eigen data en het recht heeft om ‘vergeten’ te worden. De GDPR kent een strikt regime met boetes tot wel 100 miljoen of 5 procent van de wereldwijde omzet bij een ernstige inbreuk. Het is algemeen aanvaard dat encryptie de beste methode is om te voldoen aan deze nieuwe regulering. Wanneer een datalek ontstaat en de ondernemer kan aantonen dat alle persoonlijke data was versleuteld, zal hij minder snel worden beboet. Veel organisaties hebben geen idee wat deze nieuwe regulering inhoudt of hoe zij zich moeten voorbereiden op deze nieuwe regels.

Meldplicht datalekken 

Ook op nationaal niveau bevindt nieuwe wetgeving zich al in een vergevorderd stadium. Zo is in Nederland op 10 februari jongstleden het wetsvoorstel Meldplicht datalekken door de Tweede Kamer goedgekeurd en ligt het nu bij de Eerste Kamer. Het doel van de voorgestelde wet is het voorkomen van datalekken en, mocht er toch gelekt worden, de effecten ervan te beperken. In dit wetsvoorstel krijgt het College Bescherming Persoonsgegevens (CBP) een meer uitgebreide bestuurlijke boetebevoegdheid oplopend tot 810.000 euro of 10 procent van de jaaromzet van de onderneming. Verder regelt dit wetsvoorstel een meldplicht voor gegevensverlies. In België klonk de roep om een meldplicht voor datalekken lange tijd minder luid. Sinds een datalek bij vervoerder NMBS en Belgacom-gate is iedereen wakker geschud.

Koploper

Veiligheid begint bij de eindgebruikers. Sophos wordt in het rapport ‘The Forrester Wave: Endpoint Encryption, Q1 2015’ van het Amerikaanse onderzoeksbureau Forrester Research gekwalificeerd als koploper in endpoint encryptie. De onderzoekers constateren dat de ondersteuning van gebruikers en de eenvoudige implementatie consequent hoge cijfers krijgen van Sophos-klanten. De hoge waardering van Sophos is mede te danken aan de sterke encryptieoplossingen op hardwarebasis, de flexibiliteit in de encryptieregels voor externe media en de mogelijkheden om op bestandsniveau te versleutelen.

Encryptie is noodzaak

In het rapport beoordeelt Forrester leveranciers op 52 criteria verdeeld in drie categorieën: het actuele aanbod, de strategie en visie en de marktpositie, inclusief partnerprogramma’s.

• Sophos staat in de categorie ‘actueel aanbod’ in de top en heeft de hoogste scores in de subcategorieën ‘endpoint volume encryptie’, ‘bestand/map encryptie’ en ‘encryptie van externe media’.
• In de totale categorie ‘marktpositie’ staat de onderneming op de tweede plaats; in de subcategorieën ‘technologie partners’ en ‘financiële stabiliteit’ heeft Sophos de hoogste scores.

Het Forrester-rapport beoordeelt niet alleen de leveranciers, maar onderzoekt ook de noodzaak van endpoint encryptie. Forrester constateert dat organisaties die geen endpoint encryptie implementeren een verhoogd risico lopen op datalekken of schending van complianceregels. Met name de explosie in het gebruik van privéapparaten, mobiele toepassingen en het feit dat de scheiding tussen werk en privé steeds verder vervaagt, zijn volgens de onderzoekers de belangrijkste redenen waarom organisaties serieus werk moeten maken van endpoint encryptie. 52 procent van de kenniswerkers op kantoor neemt kantoorwerk regelmatig mee naar buiten. Volgens Forrester hebben self-encrypting drives de toekomst.

Platformonafhankelijk 

De ontwikkelingen op het gebied van encryptietechnologie staan niet stil. Er is een ratrace aan de gang met cybercriminelen die leveranciers dwingen voortdurend met nieuwe softwareversies en updates te komen. Zo lanceerde Sophos onlangs SafeGuard Encryption 7 en Mobile Encryption 3 om eindgebruikers nog beter te beschermen tegen malware en geavanceerde bedreigingen. Deze encryptiesoftware stelt ondernemingen in staat om versleutelde data op elke willekeurig apparaat te creëren, te raadplegen en te wijzigen. Zo kan een Windows-gebruiker via de cloud versleutelde data delen met een Mac-gebruiker. De software voorziet in gegevensbescherming op alle mogelijke platformen en apparaten. Het maakt daarbij niet uit of de data zich op een laptop, smartphone of tablet bevindt of gedeeld wordt via het netwerk of de cloud. De software kan in de werk- en bedrijfsprocessen worden geïntegreerd zonder dat er vertraging in het netwerk optreedt. Daarnaast kunnen eindgebruikers versleutelde documenten aanmaken en wijzigen vanaf hun mobiele apparaten en meerdere encryptiesleutels beheren via een mobiele app. De nieuwste softwareversies ondersteunen zogenoemde native encryptie van Apple (Apple FileVault 2) en Microsoft (BitLocker). Het beheer van encryptie op alle apparaten, platforms en in de cloud vindt plaats vanaf één console.

Encryptie in de cloud

Data encryptie in de cloud tot slot is een relatief nieuw fenomeen waar weinig onderzoek naar is gedaan. In april 2014 publiceerden Thales e-Security en The Ponemon Institute een rapport met de titel Encryption in the Cloud. “Data-encryptie in de cloud is nog geen mainstream”, zo luidde de hoofdconclusie. Hoewel meer dan de helft van de in totaal 4.275 ondervraagde business- en IT-managers gevoelige of vertrouwelijke gegevens opslaat in de cloud, bleek encryptie zeker nog niet volledig ingeburgerd te zijn. Slechts 39 procent van de SaaS-gebruikers en 26 procent van de IaaS- en PaaS-gebruikers antwoordden dat hun gegevens ‘in rust’ standaard versleuteld worden. Slechts 44 procent van die SaaS-gebruikers en 40 procent van die IaaS- en PaaS-gebruikers versleutelt gegevens vóór ze die naar de cloud verzenden. Belangrijk bij gebruik van encryptie is wie de controle over de sleutels heeft (zie de hack bij Gemalto). Voor encryptie in rust gaf 34 procent van de ondervraagden aan dat zij de controle over de encryptiesleutels hebben en 29 procent dat het een combinatie van hun organisatie en de cloudprovider is. Bij 18 procent heeft een third-party dienst de touwtjes in handen en bij 17 procent heeft de cloudprovider de volledige controle over de sleutels.

Conclusie 

Peter Magez

Encryptie is here to stay. Werknemers kunnen dankzij encryptiesoftware veilig samenwerken en bestanden met elkaar delen, waardoor ze overal, op het werk, onderweg en thuis een hoge en veilige productie kunnen leveren. Toch is niet iedereen blij met de opkomst van encryptie. Zo zijn opsporingsorganisaties en inlichtingendiensten bang dat professionele encryptie door bedrijven een gevaar vormt voor de (nationale) veiligheid. Maar overheden hebben vaak verschillende petten op. Naast bescherming van burgers treden zij op als ‘statelijke actoren’. Zo pleit het Nederlandse kabinet in een omstreden wetsvoorstel voor ’terughacken’ en wil zij de politie hackbevoegdheden geven. Bovendien zouden bepaalde verdachten moeten worden gedwongen hun encryptiesleutels op te geven.

Checklist 

Investeer 60 seconden in de Compliance Check op de website van Sophos en hoor direct in hoeverre uw onderneming voldoet aan de GDPR.

1. Verwerkt u jaarlijks persoonsgegevens van meer dan 5.000 Europese burgers?
2. Beschikt u over een beleid voor gegevensbescherming dat werknemers laat zien hoe ze het beste hun persoonlijke gegevens kunnen beschermen?
3. Worden de harde schijven van de laptops van de zaak versleuteld?
4. Wordt data opgeslagen in de cloud? Denk hierbij ook aan klantgegevens in Salesforce, Dropbox enzovoorts?
5. Worden persoonlijke data die via e-mail worden verstuurd geëncrypt?
6. Beschikt u over persoonlijke gegevens die zijn opgeslagen op draagbare media zoals USB sticks, cd’s en dvd’s?

Onder het motto Security made Simple zal Sophos deelnemen aan de vakbeurs Infosecurity België die op 25 en 26 maart aanstaande zal plaatsvinden in de Brusselse EXPO. Standnummer: A060.

Auteur: Peter Magez, country manager Belgium/Luxembourg