Met de nieuwe Meldplicht datalekken in het verschiet, krijg ik steeds meer vragen van bedrijven over hoe zij zich tegen mogelijke boetes kunnen indekken. Men erkent hierbij vaak wel dat encryptie een goede oplossing is om persoonsgegevens beter te beschermen, maar bij het kiezen van de juiste oplossing worden vaak cruciale fouten gemaakt.
Over deze Blogger
Bart Al is Product Specialist van Dell Data Security Solutions, en heeft de afgelopen 9 jaar meerdere salesfuncties gehad binnen verschillende segmenten. Vanaf 2015 is Bart als product specialist verantwoordelijk voor het Data Security portfolio voor endpoints bij Dell. Hierin adviseert hij relaties in Nederland en Scandinavië op het gebied van encryptie, authenticatie en threat-protectie.
Als op 1 januari 2016 de nieuwe meldplicht datalekken van kracht wordt, krijgt het College Bescherming Persoonsgegevens (CBP) het recht om boetes uit te delen aan bedrijven die de privacyregels niet in acht nemen. Deze boetes kunnen oplopen tot 810.000 euro of 10 procent van de jaarlijkse omzet. De beveiliging van persoonsgegevens is meer dan alleen een vinkje zetten bij de aanschaf van een encryptieoplossing. Voor een sluitend systeem is allround encryptie nodig, van de server en clients tot externe media als usb-sticks en cloud-storage. En wellicht net zo belangrijk: kun je bij een security-lek ook aantonen dat je dit soort oplossingen gebruikt?
Beveiliging van endpoints
Bij de beveiliging van privacygevoelige data is het beveiligen van het datacenter praktisch standaard. Maar deze data wordt natuurlijk ook op allerlei endpoints binnen organisaties gebruikt en meestal zijn juist deze eindgebruikers doelwit van verschillende soorten aanvallen. Mijn ervaring is dat er dan slechts in 50% van de gevallen encryptie wordt toegepast. Een cruciale fout die hierbij veel wordt gemaakt is dat bestanden die naar externe opslagmedia of de cloud worden gekopieerd niet worden versleuteld. Dit is een aanzienlijk gat in de beveiliging, aangezien data hierdoor zonder aanvullende controlemechanismen heel eenvoudig de organisatie kan verlaten. Dit los je op door ‘data centric encryptie’ toe te passen, een systeem dat ervoor zorgt dat data alleen in versleutelde vorm gekopieerd kan worden. Dell heeft hiervoor het product Data Protection & Encryption ontwikkeld, een endpoint-encryptie oplossing die dit op basis van vooraf gedefinieerde policies afdwingt. Versleuteling kan hiermee ingesteld worden voor de specifieke informatie die extra beschermd moet worden, wat resulteert in een lagere systeembelasting dan bij full-disk encryptie. De data waar het om gaat wordt echter volledig versleuteld, zelfs als het naar een usb-stick of Dropbox wordt gekopieerd. Aanvullend kan bepaald worden of deze data alleen op een vertrouwde endpoint ontsleuteld mag worden, of dat dit met een aanvullend stukje software ook op een ander systeem mag gebeuren.
Beheer en gebruiksgemak
Het zal niemand verbazen dat security vaak ten koste gaat van gebruiksgemak. Niemand zit er immers op te wachten om allerlei extra wachtwoorden te moeten onthouden of tokens en smartcards te gebruiken. De gebruikerservaring van Dell Data Protectie & Encryptie is vrijwel transparant omdat deze technologie geen pre-boot authenticatie vereist en geen latency veroorzaakt op het systeem. De enige keer dat de eindgebruiker ziet dat de DDPE-oplossing draait, is wanneer de encryptie voor externe media wordt geactiveerd.
Daarnaast worden tegenwoordig steeds meer laptops en andere mobiele devices uitgerust met biometrische authenticatietechnologie zoals vingerafdrukscanners. Dit zorgt voor een extra beveiligingslaag naast de standaard naam-wachtwoordcombinatie, maar wel op een gebruiksvriendelijke manier, en met eenvoudige beheerconsole. Op basis van een policy kan bijvoorbeeld ingesteld worden dat deze extra authenticatiefactor vereist is . Zo wordt de versleutelde data extra beveiligd.
Rapportage is van levensbelang
Het is momenteel nog niet expliciet in de nieuwe wet vastgelegd hoe je precies moet aantonen of en hoe vermiste informatie beveiligd is. Ik denk dat gedetailleerde rapportages een goede manier zou kunnen zijn om dat te doen. Je zou als bedrijf eenvoudig een uitdraai moeten kunnen produceren over de gebruikte encryptieoplossingen op al je endpoints. Dat is de basis en met een oplossing als Dell Data Protection kun je bovendien via de beheertool op de server ook precies inzichtelijk maken welke informatie er van die endpoints is gekopieerd en of dat dit in versleutelde vorm is gedaan. Met een dergelijk rapport kun je precies aantonen welke privacygevoelige informatie op endpoints of externe media is opgeslagen, én of die informatie volgens de richtlijnen versleuteld was.
* De informatie in dit artikel is niet bedoeld als advies, maar als een mening. Hieraan kunnen geen rechten ontleend worden en Dell is niet verantwoordelijk voor de geboden informatie.
