Nieuws & blogs

Dus, u installeert encryptiesoftware op uw laptop en u bent veilig en voldoet aan de nieuwe Europese Verordening Gegevensbescherming (AVG/GDPR) vereisten? Zo simpel ligt het niet. Net zo goed als dat het installeren van een anti-malware oplossing zonder deze te configureren en te voorzien van de juiste instellingen onvoldoende bescherming biedt, geldt dit ook voor het toepassen van encryptie.

Datalekken zoals die regelmatig in het nieuws voorbijkomen ontstaan veelal door verlies van laptops of USB-sticks, maar ook door het onopzettelijk versturen van onversleutelde e-mailberichten met gevoelige inhoud naar verkeerde e-mailadressen. Niet voor niets noemt de Autoriteit Persoonsgegevens encryptie als gangbare technische oplossing om datalekken te voorkomen. Het goed toepassen van encryptie kan een hoop ellende voorkomen, zoals een datalek of imagoschade.

Waar stroomt uw data?
Voordat ik kort de verschillende vormen van encryptie behandel is het van belang vooraf te bepalen waar bedrijfsgevoelige data binnen én buiten het bedrijf zoal beweegt. Met oog op de invoering van de GDPR is het van belang dit accuraat in kaart te brengen. Vragen die kunnen helpen:

• Wie heeft toegang tot welke data en wordt dit regelmatig opnieuw bepaald?
• Waar wordt persoonlijk herleidbare informatie opgeslagen en wie heeft toegang tot die data?
• Gaan er draagbare media met gevoelige data, zoals laptops of USB-sticks, naar buiten en wordt dit in kaart gebracht?
• Is bedrijfsgevoelige data via het internet te benaderen? Hoe worden deze databases of portalen beveiligd?

Als u inzichtelijk heeft welke data zich in de categorie “gevoelig” bevindt kunt u bepalen waar u encryptie op kunt toepassen.

Hoe werkt encryptie?
Encryptie is het versleutelen van informatie om te voorkomen dat onbevoegden deze informatie kunnen lezen. Versleutelingssterkte wordt meestal gelijkgesteld aan sleutellengte (bits) en het gebruikte encryptie-algoritme. De meest voor de hand liggende manier om encryptie te kraken is om alle mogelijke sleutels te proberen. Dit staat bekend als een brute-force aanval. Echter, door het gebruik van langere sleutels is deze aanpak niet effectief genoeg.

Er bestaan verschillende vormen van encryptie. Voor het versleutelen van volledige harde schijven, bestanden en mappen zijn er meerdere algoritmes & standaarden beschikbaar, zoals AES en Blowfish. Voor communicatie tussen cliënt (werkstation) en server wordt veelal gebruik gemaakt van bijvoorbeeld SSL/TLS. 

Image

Welke vormen van encryptie worden veelal toegepast?
Encryptie wordt in de meeste gevallen op drie manieren toegepast:

Versleutelde communicatie - is misschien wel de meestgebruikte vorm van encryptie. Als u de webpagina van uw bank bezoekt dan worden de gegevens die u verstuurd en ontvangt overgedragen via een beveiligd protocol. Dit is ook wel te herkennen aan het slotje dat u in uw URL balk in uw browser te zien krijgt.

Versleutelde opslag – wordt in de meeste gevallen gebruikt om volledige harde schijven (Full Disk Encryption (FDE)) of apparaten te versleutelen. Deze vorm van encryptie is pas actief als het volledige systeem uit staat, de betreffende harde schijf is losgekoppeld of als de encryptiesleutel is geblokkeerd.

Versleutelde inhoud – houdt in dat bestanden of tekst worden versleuteld op applicatieniveau. Een voorbeeld is e-mail encryptie, waarbij het formaat van het bericht intact moet blijven zodat het e-mailprogramma er mee om kan gaan. De inhoud van de e-mail is versleuteld samen met de eventuele bijlagen.

Hoe beheert u encryptie?
De GDPR vereist dat u ten alle tijden kunt aantonen waar persoonsgegevens staan opgeslagen en worden verwerkt en welke maatregelen u hebt getroffen om deze zo goed mogelijk te beschermen. In het voorbeeld van een verloren laptop is het onvoldoende als u alleen kunt aantonen dat er een encryptieoplossing op is geïnstalleerd. U dient met zekerheid te kunnen aantonen dat encryptie ook actief was bij verlies. Als u dit niet met zekerheid kunt stellen dan is er sprake van een datalek en dient u een melding te maken bij de Autoriteit Persoonsgegevens.

Een goede managed encryptieoplossing maakt naast beheer van alle cliënts en gebruikers ook logging mogelijk. Compliance met de GDPR komt op die manier binnen handbereik.

Wilt u meer weten over encryptie en hoe u dit kunt toepassen binnen uw IT omgeving? Bezoek dan onze pagina over encryptie en de GDPR.

Image