Als kind was ik net zoals veel andere kinderen vaak aan het puzzelen. Mijn favoriet waren de puzzels waarbij je letters kon ronddraaien om vervolgens een woord of zin leesbaar te maken. Waar ik als kind veel plezier aan beleefde gebruiken we vandaag de dag digitaal in veel complexere vormen om gevoelige informatie te coderen en te beschermen. Een technologie die gebruikt wordt in Whatsapp.
Hoe dit digitaal werkt? Simpel uitgelegd zorgt encryptie ervoor dat gegevens gecodeerd worden. Tokenisatie zorgt ervoor dat informatie opgeknipt wordt in stukjes. Deze versleutelde informatie wordt vervolgens verzonden over de netwerken. Alleen met de juiste sleutel kan de informatie weer gelezen worden. Het voordeel is dat als de communicatie wordt onderschept, omdat een hacker inbreekt op jouw netwerk, de echte gegevens eerst gekraakt moeten worden voordat ze leesbaar zijn.
Datalekken
Encryptie en tokenisatie beperken hiermee de invloed van datalekken. Geen overbodige luxe gezien het grote aantal datalekken. Volgens de Breach Level Index van mijn werkgever zijn er in 2017 1765 datalekken gemeld. Deze datalekken bevatten steeds vaker, steeds meer records. Zo gingen er vorig jaar meer dan twee miljard records verloren. De gevolgen voor bedrijven zijn aanzienlijk, dus het is in hun eigen belang om alles te doen wat in hun macht ligt om de gegevens van hun klanten te beschermen. Helaas staat versleuteling van gegevens in veel gevallen nog niet op de agenda.
De eerste reden waarom versleuteling nog niet op de agenda staat is omdat er een groot tekort is aan cybersecurity-experts en dan vooral op het gebied van encryptie en tokenisatie. In veel vacatures voor cybersecurity-functies zie je ervaring met encryptie of tokenisatie daarom al niet eens meer terug. Zorgwekkend als je het mij vraagt, het effect voor bedrijven is namelijk enorm. In 2017 betrof minder dan 4 procent van de datalekken versleutelde gegevens. Met als gevolg in veel gevallen enorm hoge kosten en veel reputatieschade. We zijn inmiddels al zover dat we accepteren dat bedrijven worden gehackt, maar dan is het wel een vereiste dat gegevens als ze gestolen worden nutteloos zijn gemaakt met behulp van versleuteling.
Ten tweede besteden veel bedrijven de beveiliging van hun big data uit aan hun cloud service provider. Veel organisaties gaan er dan ook vanuit dat de verantwoordelijkheid bij de leverancier ligt en dat die het goed geregeld heeft. Gelukkig steekt de AVG hier een stokje voor en maakt bedrijven zelf verantwoordelijk. Klanten, investeerders en het grote publiek associëren datalekken met het bedrijf en niet met de leverancier die it-diensten levert. Het is daarom van cruciaal belang dat bedrijven de verantwoordelijkheid voor de versleuteling van gegevens gaan nemen. Of het nu interne medewerkers of cloudproviders zijn, er moeten gesprekken worden gevoerd over hoe gegevens worden beveiligd. De actiepunten zijn in ieder geval een classificatie maken van de gegevens zodat men kan focussen op de beveiliging van kritische data en controleren of de encryptiesleutels worden opgeslagen in een beveiligde omgeving die volledig gescheiden is van waar de data zich bevindt (key management)
Voordelen
Tokenisatie en encryptie beperken de schade aan het imago van het merk, de reputatie, de financiële verliezen, overheidsboetes. Je hebt immers goede maatregelen genomen om de gegevens, indien ze gestolen worden, onbruikbaar te maken. Dat niet alleen, versleuteling ontmoedigt criminelen ook. De inspanning die nodig is om de versleutelde data te kraken, is significant, wat het onrendabel maakt voor criminelen. Ze focussen zich dan liever op organisaties die hun zaken minder goed geregeld hebben. Dus als het probleem zo duidelijk is en de oplossing zo voor de hand liggend, waarom investeren bedrijven dan niet gewoon meer in het versleutelen van gegevens?
Er is geen goede reden te bedenken voor bedrijven om niet aan de slag te gaan met tokenisatie en gesprekken over dit onderwerp met leveranciers en cio’s niet aan te gaan. Zo blijkt ook uit onderzoek van PwC. Daaruit blijkt dat een van de grootste zorgen van ceo’s een cyberaanval is. Ook al hoeft een ceo encryptie niet te begrijpen, hij moet wel inzien dat het van groot belang is data op deze manier te beveiligen. Gezien de grote kans op datalekken, moet het besef groeien dat we allemaal verantwoordelijk zijn voor het bevorderen van gegevensbeveiliging. En dat betekent dat uw bedrijf de best practices voor gegevensbescherming zou moeten gebruiken, encryptie dient te implementeren alsook het beheer van cryptografische sleutels moet optimaliseren.
