In menig sciencefictionfilm zie je het gebeuren: technologie die door de mens is ontwikkeld, keert zich radicaal tegen de mensheid als geheel. Met als resultaat totale destructie van de aarde. Het mag dan een thema zijn dat het prima doet in Hollywood, het staat redelijk ver af van het dagelijkse leven. Toch zijn er zo aan het begin van 2020 wel degelijk technologieën aan te wijzen die ontwikkeld zijn met de beste intenties, maar nu toch twee gezichten blijken te hebben en ons soms achter de oren doen krabben.
Een van die technologieën is encryptie. Jaren geleden ontworpen om digitale data(stromen) beter te beveiligen en inmiddels toegepast in talloze consumentenproducten. Internet is een belangrijke accelerator geweest voor de inzet van encryptie. Dat heeft erin geresulteerd dat momenteel meer dan tachtig procent van al het wereldwijde internetverkeer is versleuteld. Zo is Whatsapp bijvoorbeeld overgegaan op het versleutelen van berichten zodat gebruikers erop kunnen vertrouwen dat alleen de ontvanger van het bericht de inhoud kan lezen. In een wereld waarin cybercriminelen 24/7 actief zijn en zoveel mogelijk data proberen te stelen is dat natuurlijk ook geen overbodige luxe.
300 miljoen aanvallen per maand
Het succes en de krachtige toepassing van encryptie is ook het digitale dievengilde niet ontgaan. Cybercriminelen maken al jaren gebruik van allerlei manieren van camoufleren. Via phishing-mails, spoofing, domain squatting, het defacen van websites, en nog veel meer methodes om mensen data en/of geld afhandig te maken. Door momenteel ook kwaadaardige code versleuteld te versturen, proberen ze traditionele security-suites te omzeilen.
Deze suites zijn ofwel niet in staat om de versleutelde pakketjes in te zien, mogen dat niet in verband met zorgen over privacy of het is een te grote aanslag op de performance van de systemen om al het versleutelde verkeer door te lichten. Er worden momenteel al op grote schaal versleutelde bedreigingen verstuurd. Alleen al in onze cloud werden vorig jaar bijna driehonderd miljoen van dergelijke gevallen per maand gedetecteerd.
Certificate Authority
Veel organisaties wanen zich veilig omdat ze vertrouwen op ssl-encryptie via de zogenaamde public key infrastructure (pki). Deze pki voorziet in de techniek die nodig is voor het versleutelen van internetverkeer en bevat onder andere een zogenaamde ‘certificate authority’ (ca). Dit zijn partijen die de unieke sleutels beheren en beveiligen, en websites de certificaten leveren voor het ‘slotje’ in de browser. Er zijn er die daarin fantastisch werk doen en er alles aan doen om de communicatie veilig te houden. Echter… iedereen kan in principe een pki-infrastructuur opzetten en certificaten uitdelen. Er zijn ca’s met een goede reputatie die goed onderzoek doen, maar er zijn er ook met een minder goede reputatie waar een ‘bad actor’ vervolgens gewoon een certificaat kan krijgen.
Dit heeft ertoe geleid dat het heel gemakkelijk is voor ‘bad actors’ om versleutelde webpagina’s te bouwen die er op het eerste gezicht legitiem uitzien. Dit zorgt voor een bepaalde schijnveiligheid bij digitale transacties. Ssl/tls-encryptie zorgt voor confidentialiteit en integriteit, waardoor je zeker weet dat je ‘data in transit’ niet onderweg bekeken of gemanipuleerd kan worden. Maar dat ‘slotje’ in de browser zegt niets over de intentie van de persoon (of het systeem) waarmee je communiceert.
Ciso heeft een dilemma
Dit zorgt ervoor dat veel ciso’s met een ingewikkeld dilemma opgescheept zitten. Het gaat daarbij niet om de vraag of er wel of niet encryptie toegepast moet worden op ‘data in transit’, want dat is niet alleen veel veiliger, het is vaak ook verplicht. De uitdaging zit hem veel meer in het binnenkomende verkeer dat versleuteld is. Ondanks dat de meeste ciso’s wel inzien dat het inspecteren van versleutelde data zeker toegevoegde waarde heeft en zorgt voor een hoger veiligheidsniveau, twijfelen sommigen toch om dit te doen. Soms heeft dat te maken met de beschikbare technologie om dit effectief te kunnen doen, maar vaak is het ook onwetendheid inzake de rechten op privacy van medewerkers. En die onwetendheid is dan de reden om de status quo aan te houden en versleuteld verkeer zonder pardon te accepteren. Terwijl men dan niet weet wat de exacte inhoud is van een datapakket en of deze mogelijk schade toebrengt aan de organisatie en… aan de medewerkers.
De GDPR-wetgeving die medio 2018 van kracht is geworden, is een van de redenen dat veel ciso’s twijfelen over de legitimiteit van het scannen van versleuteld dataverkeer. Ondanks dat de wetgeving niet altijd helder is over de exacte voorzorgsmaatregelen die organisaties moeten nemen om compliant te zijn, is zij over een ding duidelijk: organisaties zijn verantwoordelijk voor een veilig digitaal werkklimaat voor hun medewerkers. Wanneer een organisatie geen idee heeft welke data binnenkomt en wat daar de impact van kan zijn, stelt ze dus niet alles in het het werk om een veilig (digitaal) werkklimaat te faciliteren (zoals ook beschreven in artikel 32 van GDPR).
Aan ciso’s die zich zorgen maken over de privacy wil ik meegeven dat bij het inspecteren de rapportage en logging (of liever gezegd de opslag daarvan) zodanig kan gebeuren dat enkel meta-data zichtbaar wordt voor operators. Alle pi-velden worden geobfusceerd (verwarren van broncode met als doel de code er anders uit te laten zien, en toch de functionaliteit van de code behouden). Dat voorziet in voldoende informatie om een technisch onderzoek te doen. Pas als uit dat onderzoek blijkt dat zich een incident heeft voorgedaan dat het zichtbaar maken van pi rechtvaardigt, kan er een proces in werking worden gezet waarbij de persoonsgegevens zichtbaar worden gemaakt. Dit gebeurt dan alleen onder speciale omstandigheden (bijvoorbeeld wanneer iemand wordt verdacht van lekken van data, of als het belangrijk is om te begrijpen welke persoon gecompromiteerd is door een hack bijvoorbeeld). Vaak zijn ook medewerkers van hr of legal betrokken bij het uitvoeren van zo’n proces. Bovendien worden dit soort zaken binnen organisaties vastgelegd in privacy policies, waarvan werknemers worden geacht kennis van te hebben.
Security-cloud biedt uitkomst
Steeds meer organisaties kiezen ervoor om al hun dataverkeer via een security-cloud te ontvangen en te versturen. Dergelijke diensten beschikken over genoeg capaciteit om zeer grote hoeveelheden – in het bijzonder ook versleutelde – data in korte tijd te analyseren en door te sturen naar de eindgebruikers. Een van de grootste voordelen van deze manier van werken is dat het proces van decryptie en inspectie in de cloud gebeurt, waardoor organisaties fors besparen op processing-power en ze alleen data binnen hun perimeter ontvangen die is goedgekeurd door de cloud security-leverancier. Op deze manier kunnen organisaties blijven profiteren van de kracht van encryptie, compliant blijven aan wetgeving zoals de GDPR en hun medewerkers verzekeren van optimale privacy en veilige data op al hun apparaten.
Luc van Deuren, solutions architect Noord-Europa bij Zscaler
