Encryptie is sleutel tot bewaken van uw reputatie

De EU-verordening omtrent gegevensbescherming gaat op dit moment door de molen van het Europees Parlement. Door het recente, alarmerende nieuws van beveiligingslekken en diefstal van data, krijgen Europese organisaties (en cloud-serviceproviders die actief zijn op de Europese markten) door deze verordening te maken met verscherpt toezicht als het gaat om de bescherming van (persoons)gegevens. Maar waarom introduceert de EU deze verordening? Wat betekent het voor uw organisatie en wat moet u erover weten?

Er is meer behoefte aan regulering dan ooit. Volgens de ‘Breach Level Index’ van SafeNet, zijn in de eerste helft van 2014 alleen al meer dan 375 miljoen klantgegevens gestolen of verloren. Dit als gevolg van de 559 datalekken wereldwijd. Dit enorme aantal gegevenslekken zou bij IT-managers alle alarmbellen moeten laten afgaan. Maar wat misschien nog alarmerender is, is het feit dat het in minder dan één procent ging om beveiligde lekken. Dit betekent dat bijna alle data die gestolen werd, niet adequaat werd beschermd. Dit is de voornaamste reden dat de EU deze verordening omtrent gegevensbescherming introduceert, om bij datadiefstal en –lekken te garanderen dat klantgegevens buiten schot blijven.

De verordening betekent de grootste verandering in gegevensbescherming in  de EU sinds 1995. Zij vervangt de vorige Data Protection Directive. Eenmaal aangenomen, overstijgt deze verordening de wetgeving in alle 28 EU-lidstaten. Hiermee creëert de EU uniformiteit binnen alle lidstaten wat de bescherming van gegevens aangaat en  scherpt het de straffen voor het niet naleven van de verordening aanzienlijk aan. Het feit dat gaat om een ‘verordening’ in plaats van ‘richtlijn’ is belangrijk, omdat het rechtstreeks van toepassing is op alle EU-lidstaten, zonder dat het nodig is dat nationale wetgevende machten deze bekrachtigen.

Wat betekent dit voor uw organisatie?

De meest opvallende verandering in de voorgestelde EU-verordening is de verplichting om zowel de autoriteiten als de getroffen personen te melden wanneer een datalek plaatsvindt. De aanpassing van de EU-regelgeving, die dateert van augustus 2013 (verordening nummer 611/20132), houdt in dat aanbieders van openbare elektronische communicatiediensten in de EU de nationale regelgevende instanties binnen 24 uur na het signaleren van een datalek in kennis moeten stellen. Klanten moet worden geïnformeerd als een datalek “ongunstige gevolgen kan hebben voor de persoonsgegevens of persoonlijke levenssfeer".

Op dit moment hoeven alleen telecom-maatschappijen en Internet Service Providers (ISP's) aan deze verordening te voldoen. De voorgestelde verordening omtrent gegevensbescherming geldt echter voor alle organisaties die persoonsgegevens verwerken. Dit betekent dat serviceproviders die klantinformatie beheren, zoals aanbieders van cloud-diensten, ook verantwoordelijk worden gehouden.

Dit is vooral verontrustend, gezien de impact die een datalek kan hebben op de reputatie van een organisatie en uiteindelijk de omzet. Het onderzoek ‘The Cost of Data Breach 2014’ van Ponemon geeft aan dat de gemiddelde kosten van een datalek zo’n 3,5 miljoen dollar zijn. De beschadigde reputatie en het verlies van klanten hebben de grootste invloed op de omzet. Uit ons onderzoek blijkt dat meer dan de helft van de volwassen respondenten (57 procent) nooit, of zeer waarschijnlijk niet, gaat shoppen bij of zaken doet met een bedrijf dat te maken heeft gehad met een datalek, waarbij persoonlijke gegevens verloren zijn gegaan.

De enige uitzondering op de verordening dat personen in kennis gesteld moeten worden van datalekken, is als er passende maatregelen getroffen zijn om "gegevens ontoegankelijk te maken voor eenieder die geen recht heeft om ze in te zien." Dus hoe kunnen organisaties gegevens ontoegankelijk maken?

Het lek dichten

Als een van de officiële adviseurs van de Europese Commissie, publiceerde ENISA onlangs een rapport met input en aanbevelingen voor de maatregelen die van toepassing zijn op het ontoegankelijk maken van gegevens voor ongeautoriseerde gebruikers. Het rapport beschrijft een technische voorziening die een aanzienlijke invloed zal hebben op de keuze die serviceproviders maken bij beveiligingsoplossingen die voldoen aan de EU-regelgeving.

Met deze aanbevelingen in het achterhoofd, moet elke organisatie rekening houden met drie factoren bij het ontwikkelen van een uitgebreide strategie voor gegevensbescherming. Ten eerste, waar is de data opgeslagen - in een database, file servers, virtuele omgevingen of de cloud? Ten tweede, hoe en waar worden encryptiesleutels veilig opgeslagen? Tot slot, wie krijgt er toegang tot de gegevens en nog belangrijker, hoe wordt deze toegang gecontroleerd?

Deze drie factoren zijn te vertalen in een drie-stappenaanpak voor gegevensbescherming:

1. Versleutel alle kritische gegevens

In het ENISA-rapport, wordt versleuteling genoemd als een essentiële en effectieve methode om te voldoen aan de wettelijke beveiligingsstandaarden voor het ontoegankelijk maken van data. Dit betekent data beveiligen op applicatieniveau (zoals POS-terminals), terwijl ze verstuurd worden en opgeslagen zijn. Dit moet verder reiken dan alleen financiële data, alle waardevolle, bedrijfskritische en klantendata moet worden meegenomen.

2. Encryptiecodes opslaan en beheren

Versleutelde gegevens zijn zo veilig en toegankelijk als hun encryptiecode toelaat. Een van de meest voorkomende fouten die organisaties maken is deze opslaan op dezelfde plek als de data. Hierdoor stellen ze hun kritische informatie bloot aan aanzienlijke risico’s. Een crypto-managementplatform beheert de encryptiesleutels,  en zorgt ervoor dat deze encryptiesleutels worden hernieuwd en verwijderd. Het biedt ook extra ‘trust anchors’ voor encryptiesleutels die hardware security-modules gebruiken.

3. Toegangscontrole

Zorg voor een authenticatiestrategie om de identiteit van gebruikers te beschermen, om er voor te zorgen dat alleen geautoriseerde gebruikers toegang hebben tot de systemen, data en apps. Concreet betekent dit dat een risicoanalyse noodzakelijk is om de toegangscontroles af te stemmen op specifieke dataverwerkingsscenario’s. Effectieve toegangscontrolesystemen gebruiken multi-factor-authenticatie, die een extra niveau van gebruikersauthenticatie vereist, zoals de toegangscode die naar een mobiele telefoon wordt verzonden.

Niet voorbereid? Bereid je dan voor om te falen

De EU-verordening omtrent gegevensbescherming wordt eind 2014 afgerond en wordt in 2017 van kracht. Echter, als bedrijven nu geen stappen ondernemen om hun manier van gegevensbescherming te veranderen, krijgen ze niet alleen te maken met compliance-sancties, maar zetten ze ook hun reputatie en het vertrouwen van hun klanten op het spel. De rapportage-eisen van de nieuwe EU-verordening maakt datalekken beter zichtbaar. Als gevolg hiervan verergeren de economische en zakelijke gevolgen van een lek. Daarom moeten bedrijven nu maatregelen nemen om voorbereid te zijn als de nieuwe verordening van kracht wordt.

Security professionals moeten altijd rekening houden met specifieke risico-analyse-eisen. Dit om organisatorische en technische maatregelen te nemen om datalekken te signaleren, voorkomen en dichten. Data-encryptie-oplossingen zijn essentieel bij het betrouwbaar versleutelen van vertrouwelijke informatie. Wanneer encryptie wordt gecombineerd met andere maatregelen, zoals beveiligd ‘key management’ en toegangscontrole, biedt dit een robuuste basis bij het voldoen aan de geldende EU-wetgeving.

Dirk Geeraerts is Regional Sales Director bij SafeNet