Belangrijkste zakelijke drijfveren voor de adoptie van encryptie

Inzicht in de businesscase voor encryptie

De menselijke behoefte aan privacy in communicatie is misschien wel net zo oud als de behoefte aan communicatie zelf. Het door elkaar halen van berichten door encryptie, in een vorm die alleen de beoogde ontvanger kan begrijpen, bestaat al eeuwenlang, met de code van Julius Caesar als een van de meest geciteerde vroege voorbeelden. Er is sindsdien veel veranderd, maar in de huidige digitale, verbonden wereld is de behoefte aan encryptie net zo sterk als altijd. Dit wordt weerspiegeld in de wijdverbreide acceptatie van encryptietechnologieën en -oplossingen in bedrijven over de hele wereld. Wat zijn enkele van de zakelijke drijfveren voor bedrijven om encryptie te implementeren? Dit artikel onderzoekt enkele van de belangrijkste.

Bedrijfsfactoren die encryptie omarmen

1. Bescherming van gevoelige/geheime informatie: Elk bedrijf verwerkt gevoelige en vertrouwelijke gegevens. Dit kunnen eigen gegevens zijn, zoals informatie met betrekking tot hun belangrijkste intellectuele eigendom (IE) of hun contracten met klanten en partners. Dit kan ook het geval zijn als bewaarder van gevoelige gegevens die door een klant of partner met hen zijn gedeeld – een voorbeeld hiervan is persoonlijk identificeerbare informatie (PII) van klanten voor bedrijven die actief zijn in de Business to Consumer (B2C)-sector. De bescherming van dergelijke gevoelige en vertrouwelijke gegevens is van cruciaal belang voor elk bedrijf, en encryptie speelt hierbij een sleutelrol.
2. Naleving van de regelgeving en normen voor gegevensbescherming en beveiliging: De Europese Algemene Verordening Gegevensbescherming (AVG), die in mei 2018 van kracht werd, is een bekend voorbeeld van hoe wetgeving voor gegevensbescherming en privacy wordt ingevoerd. In de VS zijn wetten inzake gegevensbescherming meestal sector- en staatsspecifiek, zoals de California Consumer Privacy Act (CCPA) uit 2018.¹. Een ander voorbeeld is de Betaalkaart Industrie Gegevensbeveiligingsstandaard (PCI DSS) voor de financiële dienstverlening, die wereldwijd van toepassing is. De encryptie van consumentengegevens is een van de fundamentele vereisten voor al deze regelgeving, waarbij zowel gegevens die onderweg zijn als gegevens die in rust zijn, onder de encryptie vallen. Hoewel de keuze van encryptiealgoritmen, technologieën en leveranciers aan de onderneming wordt overgelaten, kan niet-naleving leiden tot aanzienlijke boetes, met name in het geval van datalekken.
3. Bescherming tegen bekende bedreigingen: Er zijn verschillende bekende bedreigingen voor de gegevensbeveiliging die vandaag de dag bestaan. Een voorbeeld hiervan is de bedreiging voor gegevens die in de cloud zijn opgeslagen. Naarmate bedrijven steeds meer gegevens naar de cloud verplaatsen, neemt het risico op inbreuken toe, omdat de gegevens zich niet langer binnen de fysieke grenzen en de netwerkbeveiligingsperimeter van de organisatie bevinden. Het is niet voldoende om alleen te vertrouwen op de cloud serviceprovider Gegevensbeveiligingsmechanismen. Bedrijven moeten over een eigen strategie voor cloudgegevensversleuteling beschikken. Bedrijven kunnen ervoor kiezen om gegevens on-premise te versleutelen voordat ze naar de cloud worden verzonden, of om de gegevens te versleutelen nadat ze naar de cloud zijn verplaatst, met behulp van technologieën en rekenkracht van de cloudprovider. Een ander voorbeeld van bekende bedreigingen kan zich voordoen bij een applicatie en Application Programming Interface (API) Niveau. Bedrijfsapplicaties, evenals API's die aan de buitenwereld worden blootgesteld, zijn altijd kwetsbaar voor aanvallen. Het is cruciaal dat alle interfaces en communicatiekanalen die deze applicaties met de buitenwereld hebben, worden beschermd met encryptieprotocollen zoals Secure Sockets Layer (SSL) en de nieuwere versie, Transport Layer Security (TLS)Een derde voorbeeld zijn aanvallen op databases voor dergelijke applicaties (of onafhankelijke gegevensopslag die door de onderneming wordt beheerd). Een andere bekende bedreiging is aanvallen op databases voor dergelijke applicaties (of onafhankelijke gegevensopslag die door de onderneming wordt beheerd). Databasebeveiliging door middel van encryptie kan op drie niveaus worden geïmplementeerd: encryptie van configuratiebestanden met databasetoegangsinformatie (bijvoorbeeld die welke worden gebruikt door web- en applicatieservers), encryptie van de gegevens die in de database zijn opgeslagen, en soms encryptie van het volledige bestandssysteem waarop de database is opgeslagen.
4. Beperking van de aansprakelijkheid voor datalekken: Wat de voorzorgsmaatregelen ook zijn, het is een feit dat datalekken kunnen gebeuren – elke onderneming die anders denkt, leeft in een paradijs voor de gek. De gevolgen van datalekken kunnen aanzienlijk zijn en de daaruit voortvloeiende aansprakelijkheden kunnen enorm zijn. Naast de financiële en juridische aansprakelijkheid van datalekken, moeten ondernemingen ook omgaan met reputatieschade en het verlies van klantvertrouwen. Sterke encryptiemechanismen die worden toegepast op gevoelige gegevens binnen de onderneming kunnen ervoor zorgen dat zelfs in geval van een datalek de gestolen gegevens niet door de aanvallers kunnen worden gebruikt. Dit zijn enkele van de belangrijkste redenen waarom ondernemingen vandaag de dag encryptie implementeren. Opgemerkt moet worden dat encryptie op zichzelf geen wondermiddel is voor alle databedreigingen. Zo zijn insider threats verantwoordelijk voor een groot aantal (meldingen variëren tussen 60% en 75%) van de datalekken. Als insiders toegang hebben tot encryptiesleutels, en zodra die sleutels gecompromitteerd zijn, kan er niet veel meer aan gedaan worden. Daarom... Sleutelbeheer gaat hand in hand met elke effectieve encryptiestrategie voor bedrijven. Encryptie zou eveneens onderdeel moeten zijn van een bredere, holistische oplossing voor de implementatie van cybersecurity binnen bedrijven.

Een vergelijking tussen de CCPA en de AVG is te vinden in een eerder blog, beschikbaar via deze link: CCPA versus AVG.

In beide scenario's wordt sleutelbeheer een belangrijk onderwerp, maar dat valt buiten het bestek van dit artikel en zal in een later onderwerp worden behandeld.