Gegevensencryptie: Hoe bescherm je gegevens tijdens het transport, tijdens het gebruik en in ruste?

Gegevens zijn de brandstof voor moderne bedrijfsvoering. Maar zoals elk kostbaar goed zijn gegevens ook een aantrekkelijk doelwit voor cyberdieven. Nu hackers steeds geavanceerdere methoden gebruiken om toegang te krijgen tot hun gegevens en deze te stelen, wenden bedrijven zich tot geavanceerde versleutelingsmethoden om dit essentiële goed veilig te houden, zowel binnen hun organisatie als wanneer zij deze delen met externe partijen.

Wat is gegevensversleuteling?

Gegevensversleuteling is het proces waarbij informatie wordt omgezet in een geheime code (of cijfer) om de betekenis ervan te verbergen. Met behulp van een gespecialiseerd encryptie-algoritme kunnen bedrijven hun gegevens zodanig coderen dat ze onleesbaar worden voor iedereen behalve de beoogde ontvanger, die op een ander encryptie-algoritme aan zijn kant is aangewezen om de informatie te decoderen.

De praktijk van encryptie gaat terug tot 4000 v. Chr., toen de oude Egyptenaren hiërogliefen gebruikten om met elkaar te communiceren op een manier die alleen zij konden begrijpen. Vandaag de dag wordt encryptie gebruikt door bedrijven, overheden en consumenten om gegevens op hun computersystemen te beschermen, alsmede informatie die hun organisaties binnenkomt en verlaat.

Dit laatste punt is vooral relevant voor mondiale organisaties, nu de EU nieuwe richtlijnen heeft opgesteld voor de naleving van de regels voor gegevens die worden uitgewisseld tussen de Verenigde Staten en de EU-lidstaten. [1] De eisen op het gebied van gegevensbeveiliging en compliance zullen alleen maar strenger en complexer worden, waardoor een even verfijnde beveiligingsaanpak nodig is.

De drie staten van gegevens

Net als olie kunnen gegevens in meerdere staten bestaan, en ze kunnen snel van staat veranderen op basis van de behoeften van een bedrijf - bijvoorbeeld wanneer een financieel controleur toegang nodig heeft tot gevoelige inkomstengegevens die anders in een statische database zouden worden opgeslagen.

De eerste stap bij het kiezen van de juiste encryptiestrategie is inzicht te krijgen in de verschillen tussen drie verschillende statussen van gegevens - in transit, in rust en in gebruik - en de beveiligingsuitdagingen die elke status met zich meebrengt.

Wat zijn gegevens in doorvoer?

Zoals de naam al zegt, zijn gegevens in transit gegevens die zich van de ene naar de andere locatie verplaatsen. Dit omvat informatie die wordt verstuurd via e-mail, samenwerkingsplatforms zoals Microsoft Teams, instant messengers zoals WhatsApp en vrijwel alle openbare communicatiekanalen. Deze gegevens zijn over het algemeen minder goed beveiligd dan inactieve gegevens, omdat ze via het internet of een particulier bedrijfsnetwerk van de ene naar de andere plaats reizen. Dit maakt gegevens in transit een doelwit bij uitstek voor aanvallen.

Wat zijn gegevens in ruste?

Gegevens in rust zijn inactieve gegevens, d.w.z. dat ze niet worden verplaatst tussen apparaten of netwerken. Omdat deze informatie meestal wordt opgeslagen of gearchiveerd, is ze minder kwetsbaar dan gegevens in transit. Dat gezegd hebbende, alle informatie die bedrijven achter de hand houden, wordt door hackers ook als waardevoller gezien, waardoor het een doelwit voor aanvallen van buitenaf wordt. Gegevens in ruste kunnen informatie zijn die is gearchiveerd in een database of alle gegevens die zijn opgeslagen op een harde schijf, computer of persoonlijk apparaat.

Wat is data in gebruik?

Gegevens zijn in gebruik wanneer ze worden opgevraagd of gebruikt door een werknemer of bedrijfsapplicatie. Of ze nu worden gelezen, verwerkt of gewijzigd, gegevens zijn in deze staat het kwetsbaarst omdat ze direct toegankelijk zijn voor een individu, waardoor ze vatbaar zijn voor aanvallen of menselijke fouten, die beide aanzienlijke gevolgen kunnen hebben. Encryptie is essentieel voor de bescherming van gegevens die in gebruik zijn, en veel bedrijven zullen hun encryptie-oplossingen aanvullen met extra beveiligingsmaatregelen zoals authenticatie en machtigingen voor gegevenstoegang.

De rol van encryptie bij de bescherming van gegevens in het transitverkeer, gegevens in gebruik en gegevens in rust

Hoewel het risicoprofiel voor gegevens in doorvoer en gegevens in gebruik hoger is dan wanneer ze in rust zijn, hebben aanvallers het regelmatig gemunt op informatie in alle drie de staten. Als opportunisten gaan ze op zoek naar middelen of intellectuele eigendom die gemakkelijk te kraken zijn. Encryptie speelt een integrale rol in de verdediging van een bedrijf in alle drie de statussen van gegevens, of het nu gaat om de bescherming van gevoelige informatie tijdens het raadplegen of verplaatsen ervan, of de versleuteling van bestanden voordat ze worden opgeslagen voor een extra beveiligingslaag tegen aanvallen op de interne servers.

Beste praktijken voor gegevensbescherming tijdens het vervoer, tijdens het gebruik en in ruste

Gegevens die onversleuteld of onbeschermd zijn, vormen een risico. De parameters van dat risico variëren voor bedrijven op basis van de aard van hun informatie en of deze onderweg is, in gebruik of in rust, maar encryptie is een essentieel onderdeel van hun verdediging op alle fronten.

Alvorens in te gaan op specifieke tactieken om gegevens in hun drie staten te beschermen, zijn er twee algemene beste praktijken die van toepassing zijn op gegevensbeveiliging op elk niveau:

• Reactieve bescherming werkt niet: Als de gegevens van een bedrijf eenmaal zijn gekraakt, verschuift de taak van bescherming naar risicobeheer en schadebeperking. In plaats van achter de feiten aan te lopen, moeten bedrijven bepalen welke gegevens risico lopen en proactieve verdedigingsmechanismen ontwikkelen om aanvallen af te wenden voordat ze zich voordoen.
• Slimme classificatie is gelijk aan slimme bescherming: Door al hun gegevens te categoriseren en inzicht te krijgen in het risicoprofiel ervan in elke staat, zijn bedrijven in de beste positie om de meest effectieve beschermingsmaatregelen te kiezen. De implementatie van automatische protocollen zal er ook voor zorgen dat de juiste beschermingsmaatregelen in werking treden wanneer gegevens van de ene staat naar de andere worden overgebracht, zodat ze altijd het hoogste niveau van bescherming hebben.

Beste praktijken voor gegevens in doorvoer zijn onder meer:

• Leg de basis: Eenvoudige netwerkbeveiligingsinstrumenten zoals firewalls en authenticatie zijn eenvoudige maar doeltreffende verdedigingsmiddelen tegen kwaadaardige aanvallen en pogingen tot inbraak.
• Geautomatiseerde controles implementeren: De gegevensbeschermingstechnologieën van vandaag omvatten geautomatiseerde beleidsregels die schadelijke bestanden blokkeren, gebruikers waarschuwen wanneer ze risico lopen en gegevens automatisch versleutelen voordat ze worden doorgestuurd. Dit helpt bedrijven bij het veilig beheren van een groeiend aantal e-mailbijlagen, verwisselbare schijven en bestandsoverdrachten.
• E-mailversleuteling is niet optioneel: Versleuteling van e-mail zorgt ervoor dat de inhoud veilig is en dat eventuele bijlagen worden gecodeerd, zodat ze niet door nieuwsgierige ogen kunnen worden gelezen. Versleuteling kan worden toegepast op het afleveren van e-mail, het synchroniseren van mappen en journaling, en helpt zo bij zowel de beveiliging als de classificatie.
• Voorkom gegevensverlies met een DLP: Een DLP-oplossing (Data Loss Prevention) helpt bedrijven het verlies van intellectueel eigendom, klantgegevens en andere gevoelige informatie te voorkomen. DLP's scannen alle e-mails en hun bijlagen en identificeren potentiële lekken met behulp van flexibele beleidslijnen op basis van trefwoorden, hashes van bestanden, patroonherkenning en woordenboeken. Verdachte e-mails kunnen vervolgens worden geblokkeerd, in quarantaine worden geplaatst voor controle of via een beveiligd berichtenportaal worden verzonden, afhankelijk van het beleid van een bedrijf.

Beste praktijken voor gegevens in gebruik zijn onder meer:

• Gegevenscontroles beginnen vóór het gebruik: De bescherming van gegevens die in gebruik zijn, moet worden ingevoerd voordat iemand toegang heeft tot de informatie. Zodra een gevoelig document is gecompromitteerd, kan niet worden gecontroleerd wat een hacker doet met de gegevens die hij heeft verkregen.
• Verdubbel identiteitsbeheer: Identiteitsdiefstal wordt steeds populairder, vooral nu mensen meer van hun gegevens online delen dan ooit. Oplossingen voor identiteitsbeheer helpen bedrijven ervoor te zorgen dat gebruikers zijn wie ze zeggen dat ze zijn voordat ze toegang krijgen tot documenten, waardoor het risico op fraude afneemt.
• Beheer het recht op toegang: Of ze nu bescherming van digitale rechten, IRM (Information Rights Management) of een andere methode gebruiken, toonaangevende bedrijven gebruiken beveiligingsoplossingen om de acties te beperken die een gebruiker kan ondernemen met de gegevens waartoe hij toegang heeft. Een manager kan bijvoorbeeld volledige toegang hebben tot een vertrouwelijk prestatierapport, terwijl zijn werknemers het document alleen kunnen lezen, zonder de mogelijkheid om het te bewerken of te delen met collega's.

Beste praktijken voor gegevens in ruste zijn onder meer:

• Speel op veilig met volledige schijfversleuteling: Een verloren laptop of apparaat kost maar een paar honderd dollar, maar de gegevens op de harde schijf kunnen een fortuin kosten als ze in de verkeerde handen vallen. Volledige schijfversleuteling zorgt ervoor dat kwaadwillende gebruikers geen toegang kunnen krijgen tot de gegevens op een verloren schijf zonder de nodige logins.
• DLP's to the rescue again: DLP-oplossingen beschermen niet alleen gegevens in transit, maar stellen ondernemingen ook in staat gevoelige gegevens op hun netwerken op te sporen en de toegang voor bepaalde gebruikers te blokkeren. Deze controles zijn alleen geldig zolang de gegevens in rust zijn. Zodra ze worden geraadpleegd of verplaatst, zijn DLP-beschermingen voor de andere staten van gegevens van toepassing.
• Verliespreventie uitbreiden naar de cloud: Cloud Access Security Brokers (CASB's) stellen bedrijven in staat DLP-beleidslijnen toe te passen op informatie die ze in de cloud opslaan en delen. Dit omvat back-end systemen en samenwerkingsplatforms zoals Slack of Microsoft 365. Het mechanisme van een CASB is vergelijkbaar met dat van een DLP, met beleidslijnen en functionaliteit die zijn afgestemd op een cloudomgeving.
• Security goes mobile: Mobiele telefoons en tablets zijn steunpilaren van de moderne werkplek, en MDM (mobile device management) is een steeds populairdere manier om de gegevens op deze apparaten te beheren. MDM-tools beperken de gegevenstoegang tot bedrijfstoepassingen, blokkeren apparaten die in verkeerde handen vallen en versleutelen alle gegevens die erop staan, zodat ze voor niemand anders dan goedgekeurde gebruikers kunnen worden ontcijferd.

De kern van de zaak

Gegevensversleuteling is een centraal onderdeel van de beveiligingspuzzel, waarmee gevoelige informatie wordt beschermd, ongeacht of deze onderweg is, wordt gebruikt of in rust is. Met name e-mailuitwisselingen zijn gevoelig voor aanvallen, omdat bedrijven alles, van klantgegevens tot financiële gegevens, delen via e-mailservers zoals Outlook. Met de juiste tactieken en oplossingen kunnen bedrijven hun informatie beschermen tegen gegevensverlies , naast de boetes, juridische kosten en inkomstenderving die vaak gepaard gaan met een grote inbreuk op de beveiliging.

[1] " Data Sovereignty and Privacy Compliance Post Schrems II ," Infosecurity Magazine