Elke werkdag behandelt Computable een onderwerp waarover lezers kunnen discussiëren. Vandaag over de valkuil van encryptie. Want dataversleuteling kan niet altijd én kan niet alle ‘gaatjes’ voorkomen.
Cyberinbraken lijken aan de orde van de dag. De ene datadiefstal volgt de andere op en de volgende blijkt nog groter te zijn dan het vorige record. Gebrekkige beveiliging, inclusief data-encryptie, ligt maar al te vaak ten grondslag aan deze ict-rampen. Of het nou een cruciale betalingsverwerker, een VS-brede winkelketen, een grote filmmaker of een gigantische zorgverzekeraar is.
Alleen is encryptie niet hét antwoord. Soms is encryptie zelfs niet eens echt van toepassing. Zoals in het geval van de hack bij de Amerikaanse zorgverzekeraar Anthem, waar de echt gevoelige gegevens immers gewoon in gebruik zijn. Voor dat dagelijkse gebruik moet de data dus wel decrypted zijn, op z’n minst voor de lopende sessie. Zelfs krachtige encryptie volstaat dan niet. Wat vind jij?
Niets in de wereld is zaligmakend, of zaligmakend is een illusie.
Ik vind dit weer een onzinnig vraagstuk en een beetje te simpel. Zwakke encryptie wordt gebroken, sterke encryptie ben je afhankelijk van wie de sleutels heeft. Daarnaast kan een mens geen versleutelde data lezen dus op een gegeven moment moet het niet versleuteld zijn, daar kunnen mogelijk zwakheden zitten zoals je zag met heartbleed. Wachtwoorden waren niet versleuteld in het geheugen en door een bug kon dat geheugen uitgelezen worden. Als wachtwoord een onderdeel van de versleuteling is en de gebruiker gaat hier slordig mee om, heeft versleuteling ook weinig zin en als je versleutelmethoden “flawed” is heb je nog een probleem.
Zo, alles erover gezegd, discussie klaar.
Zoals op en.wikipedia.org/wiki/Information_security#Key_concepts na te lezen zijn de sleutelconcepten Integrity, Availability, Authenticity en Non-repudation, waarin ook een onderlinge afhankelijkheid zit.
Aan de participanten in deze discussie deze afhankelijkheid te analyseren.
Security is geen status quo maar een proces waar encryptie een rol kan spelen bijvoorbeeld met EncFS.
Net als data-encryptie, zijn zelf computers niet “zaligmakend” om iets zalig te maken moet je geloof ik in de kerk zijn maar dat ligt buiten mijn vakgebied.
Encryptie is niet zaligmakend, maar het is wel een extra laag in de bescherming van de gegevens. Het voorkomt niet dat de gegevens gestolen worden, maar maakt het gebruik van die gestolen gegevens wel erg moeilijk. We kunnen met z’n allen nooit 100% security garanderen, maar we kunnen wel het risico verkleinen. Daar bovenop moeten we rekening houden met de veranderende wetgeving. Bij datalekken waarbij de gelekte persoonsgegevens encrypted zijn hoef je bijvoorbeeld geen melding te doen aan de betrokkenen. Dat scheelt een hoop kosten!
‘Data-encryptie is niet zaligmakend’
Als je er van maakt:
“Data-encryptie is niet altijd zaligmakend’: dan klopt ’t beter.
In de meeste gevallen is ’t natuurlijk gewoon één van de voorwaarden voor zaligheid.
Net zoals Open Source software ook kan rammelen, maar desondanks is Open Source een _voorwaarde_ voor een veilig en open bestuur (bij de overheid).
Volkomen logisch, dat je als mens niet kunt werken met versleutelde gegevens, maar laten we dan in elk geval zo slim zijn om onze data niet onversleuteld te versturen; of onversleuteld op te slaan in een cloud waarvan we niet eens weten wie de eigenaar is. Zolang dergelijke praktijken nog aan de orde van de dag zijn, is data-encryptie een belangrijk en in hoge mate zaligmakend hulpmiddel.
Even een hint voor de liefhebbers.
Owncloud, met https en zelfgetekend certificate,
de versleutelings-plugin en eventueel nog lokaal EncFS.
Dan ben je echt geliefd bij NSA en Co.
Encryptie alleen is niet zaligmakend. Hoewel ik encryptie zeer belangrijk vind, kan ik dit statement beamen. Het is namelijk onderdeel van de totale security strategie en die berust op drie pijlers:
De eerste pijler is de bescherming van data door sterke authenticatie, zodat alleen gerechtigde personen toegang hebben. Op dit vlak valt al veel winst te behalen. Diverse studies tonen namelijk aan dat bij 60% van de organisaties die gehackt zijn, authenticatie niet op orde was.
Het encrypteren van bedrijfsgevoelige/persoonlijke/financiële data is de tweede pijler. Niet alle data hoeft geëncrypteerd te worden, de focus moet liggen op het beschermen van de kroonjuwelen. Daar is het de hackers namelijk om te doen. De derde pijler van elke security strategie is het veilig en centraal managen van keys. Key management is zo mogelijk nog belangrijker dan de encryptie zelf.
Dat deze strategie nog niet overal goed ontwikkeld is en in de praktijk wordt gebracht, blijkt wel uit de voorbeelden die Jasper noemt. Minstens zo zorgwekkend zijn de concrete cijfers van de Breach Level Index van 2014: meer dan 1.500 datalekken leidden tot bijna één miljard aangetaste datarecords wereldwijd in 2014. Dit is een toename van 49 procent ten opzichte van 2013.
Nooit eerder waren er zoveel breaches, toch werd er nooit eerder zoveel geïnvesteerd in klassieke perimeter security. Het is de hoogste tijd om het geweer van schouder te veranderen en een mindset van ‘breach acceptance’ aan te nemen en te focussen op het beveiligen van de data. Slechts een gedegen strategie gaat het security probleem indammen.
Dirk Geeraerts, Regional Sales Director BeNeLux bij Gemalto, voorheen Safenet
Versleuteling (of eigenlijk cryptografie in het algemeen) werkt alleen in een goed uitgewerkt beveiligings beleid. Sowieso werkt het alleen als key management goed is geregeld. Als dit het geval is dan kan versleuteling een belangrijke component zijn in een beveiligingslaag. Het bespreken van versleuteling in het algemeen heeft eigenlijk geen zin zonder context.
Het is wel bewezen dat het belangrijk is binnen bestaande oplossingen. Wel is het zo dat het lastig is om cryptografie goed in te zetten. We moeten niet vergeten dat het een technologie is die nog maar net volwassen is geworden.
Op het moment dat versleuteling als op zichzelf staande oplossing wordt aangedragen dan moeten alle alarmbellen af gaan. “Dan versleutelen we het toch” verdoezelt niet de data maar het probleem.
Dataencryptie is maar een klein onderdeel van veiligheid. Zodra een geautoriseerde gebruiker encrypten data moet lezen moet de data ontcijferd worden en is dit op beeldscherm en in het interne geheugen beschikbaar. Nu we weten dat overheden moeite doen om hardware te vervuilen met backdoors kunnen we er van uit gaan dat data op geen enkele wijze veilig is op IT systemen en netwerken.
Veiligheid is dus een relatief begrip.