Wat is persoonlijk identificeerbare informatie (PII)?
Het digitale tijdperk van vandaag draait op klant- en consumentengegevens: data is de nieuwe valuta. Mits verzameld met toestemming en transparantie, vormen consumentengegevens de sleutel voor bedrijven om waarde te creëren voor hun consumenten, bijvoorbeeld door middel van personalisatie en getransformeerde ervaringen. Tot de verschillende kenmerken van consumentengegevens behoren gegevens die kunnen worden gebruikt om de consument eenduidig te identificeren – de verzameling van dergelijke gegevens wordt PII genoemd. Voorbeelden van PII zijn naam, e-mailadres, telefoonnummer, adres en andere kenmerken met betrekking tot de demografische, financiële, gezondheids- en andere persoonlijke gegevens van een individu.
De noodzaak voor bedrijven om PII te beschermen
Met regelgeving zoals de California Consumer Protection Act (CCPA) in de VS, de Algemene Verordening Gegevensbescherming (GDPR) in Europa, en vergelijkbare gevallen in andere delen van de wereld, worden bedrijven geconfronteerd met toenemende wettelijke verplichtingen om PII-gegevens te beschermen. Naarmate het bewustzijn van consumenten toeneemt, veroorzaakt elk datalek een aanzienlijke deuk in het consumentenvertrouwen en daarmee in het merk en de reputatie van de organisatie. Het gaat echter niet alleen om merk en reputatie: recent onderzoek wijst uit dat elk datalek een financiële impact van $ 4 miljoen heeft. Nu bedreigingen en kwetsbaarheden voortdurend toenemen, is de noodzaak voor bedrijven om PII-gegevens te beschermen groter dan ooit tevoren.
Versleuteling van PII-gegevens
Encryptie is een van de bewezen manieren om PII-gegevens te beschermen. Zodra consumentengegevens versleuteld zijn, kan het risico op een datalek aanzienlijk worden beperkt en kan de impact van het lek worden beperkt, aangezien de gestolen gegevens in versleutelde vorm geen enkel nut hebben voor de aanvaller. Naast risicobeperking is versleuteling van PII-gegevens ook noodzakelijk vanuit compliance-oogpunt, aangezien regelgeving zoals de eerder genoemde CCPA en AVG dergelijke versleuteling verplicht stelt.
Wat moet er worden versleuteld?
De eerste stap bij het versleutelen van PII-gegevens is bepalen welke gegevens versleuteld moeten worden. Regelgeving inzake gegevensbescherming biedt een goed startpunt. Zo definieert de HIPAA-regelgeving (Health Insurance Portability and Accountability Act) in de VS welke patiëntgegevens versleuteld moeten worden, inclusief behandelingsinformatie. Een punt om op te merken is dat hoewel de regelgeving aangeeft welke gegevens versleuteld moeten worden, de keuze van de versleutelingstechnologie aan de onderneming wordt overgelaten.
De gegevens lokaliseren
Zodra de te versleutelen gegevens zijn geïdentificeerd, is de volgende stap het lokaliseren van de gegevens binnen de onderneming, als onderdeel van een data discovery-oefening. Dit is essentieel omdat PII-gegevens in meerdere applicaties, databases en bestandssystemen binnen de onderneming, of in de cloud, kunnen worden opgeslagen. De data discovery-oefening omvat doorgaans een studie of beoordeling van de applicatie- en systeemportfolio, in combinatie met het gebruik van data discovery-tools.
Versleutelingstechnologieën en -standaarden
De volgende stap is de daadwerkelijke encryptie van de gegevens. Er zijn verschillende encryptietechnologieën en -standaarden beschikbaar, en laten we de meest populaire eens bekijken.
Geavanceerde coderingsstandaard (AES):
AES is een van de beste encryptie-opties, voornamelijk vanwege de sterkte en brede acceptatie. Als een van de sterkste encryptietechnologieën die er zijn, geniet AES brede acceptatie binnen regelgeving, bedrijven, creditcarduitgevers en overheidsinstanties. AES wordt ook gebruikt in de Pretty Good Privacy (PGP)-standaard, die door een groot aantal banken en financiële dienstverleners wordt gebruikt. Het National Institute of Standards and Technology (NIST) beveelt AES aan als de hoogste standaard voor encryptie, met drie verschillende sleutelgroottes: 128-bits, 192-bits en 256-bits.
RSA:
Dit is een encryptiestandaard die vernoemd is naar de drie uitvinders: Rivest, Shamir en Adleman. De kracht van RSA is gebaseerd op het feit dat het ontbinden van zeer grote getallen in priemfactoren rekenkundig extreem lastig is met de bestaande hardware en rekenkracht. RSA is populair geworden omdat het de vertrouwelijkheid, integriteit, authenticiteit en onweerlegbaarheid van data kan helpen waarborgen. De sleutellengtes in RSA zijn erg lang, namelijk 1024 of 2048 bits, en dit is een andere reden voor de kracht van RSA. Met deze sleutellengtes is het algoritme echter relatief traag, en daarom kan RSA bijvoorbeeld worden gebruikt voor sleutelencryptie in plaats van directe data-encryptie. Een andere beperking van RSA is dat naarmate computers krachtiger worden, de sleutellengtes steeds langer moeten worden om brute-force-pogingen tot ontbinding van priemfactoren voor te blijven.
Elliptische curve-cryptografie (ECC):
Dit ontwikkelt zich tot een populair alternatief voor RSA vanwege de voordelen van snelheid, kleinere sleutelgroottes en cryptografische efficiëntie. ECC is ook een goede optie voor mobiele apparaten vanwege de lagere eisen aan rekenkracht en batterijgebruik. Het algoritme is gebaseerd op algebraïsche vergelijkingen die elliptische krommen weergeven. Sleutels die via deze aanpak worden gegenereerd, zijn wiskundig gezien enkele ordes van grootte sterker dan de priemfactorisatiemethode van RSA. Een 256-bits ECC-sleutel heeft bijvoorbeeld dezelfde sterkte als een 3072-bits RSA-sleutel.
SSL/TLS:
Het Secure Sockets Layer (SSL) protocol en zijn opvolger, Transport Layer Security (TLS)zijn inmiddels mainstream geworden, met webservers en browsers als een bekend voorbeeld van hun gebruik. Omdat PII-gegevens vaak via het netwerk van client naar server, van de ene applicatie naar de andere en van de ene server naar de andere worden verzonden, is encryptie van communicatiekanalen met SSL/TLS cruciaal om "man-in-the-middle"-aanvallen te voorkomen. De kern van SSL/TLS is een handshake-protocol tussen de twee eindpunten, beveiligd met asymmetrische geheimschrift, die wordt gebruikt om een sessiesleutel te genereren die alleen geldig is voor die communicatiesessie. De rest van de communicatie via het kanaal wordt versleuteld met behulp van een symmetrische cryptografische benadering, waarbij deze sessiesleutel door beide eindpunten wordt gebruikt. Het SSL/TLS-protocol garandeert zowel beveiliging als prestaties en is de facto de encryptiestandaard geworden voor dataverkeer, niet alleen tussen een webbrowser en server, maar tussen twee willekeurige eindpunten.
Sleutelbeheer:
Het uiteindelijke succes van elke data-encryptietechnologie hangt niet af van de gebruikte algoritmen, hardware en software: het hangt af van hoe goed de privésleutels die voor encryptie worden gebruikt, worden beheerd. De fundamentele vereiste voor sleutelbeheer is het scheiden van de versleutelde gegevens en de encryptiesleutels op afzonderlijke fysieke locaties. Opties voor sleutelbeheer omvatten Hardwarebeveiligingsmodules (HSM), virtuele apparaten en cloudsleutelbeheerservices.
Key Takeaways
Elke onderneming die PII van consumenten verwerkt, is ook verantwoordelijk voor de bescherming van die gegevens. Datalekken vormen drie belangrijke bedrijfsrisico's voor elke organisatie: verlies van vertrouwen van de consument, directe financiële gevolgen en juridische/regelgevende implicaties en sancties. Encryptietechnologieën bieden ondernemingen een bewezen manier om PII-gegevens te beschermen en alle drie de risico's aan te pakken.
