Belangrijke informatie over gegevensversleuteling

Versleuteling is een van de effectiefste manieren om persoonlijke en gevoelige gegevens te beschermen, maar de verschillen in regelgeving in Europa veroorzaken verwarring. Dat kan echter snel veranderen…

Niemand geeft het graag toe, maar geen enkel bedrijf is immuun voor cyberaanvallen. Elk bedrijf moet zichzelf als een doelwit zien en de nodige maatregelen treffen om zijn essentiële gegevens en systemen te beschermen.

Een van de beste wapens is gegevensversleuteling. Wanneer deze goed wordt ingezet kunnen alleen personen met de juiste bevoegdheid gegevens lezen: ieder ander krijgt iets volledig onbegrijpelijks te zien. Onlangs noemde een Amerikaans samenwerkingsverband van inlichtingendiensten (National Intelligence Council) versleuteling “de beste verdediging” voor gegevens. Bovendien gaf ze de langzame acceptatie van versleutelingstechnologieën als een van de redenen waarom cyberaanvallen nog steeds zoveel schade veroorzaken.

Versleuteling is natuurlijk niets nieuws: honderden jaren geleden werden berichten al versleuteld. Maar nu gebeurt dat digitaal. In de jaren 1970 introduceerde IBM  een standaard voor versleuteling (DES) om de gegevensuitwisseling tussen banken en andere financiële instellingen te beveiligen. Deze standaard bleef gelden tot 2001 en maakte toen plaats door de Advanced Encryption Standard (AES). Deze wordt nu nog gebruikt.

Door versleuteling blijven je gegevens veilig, ook als ze in verkeerde handen vallen. Je kunt veilig online bankieren, mailen en op populaire sociale netwerken contacten onderhouden, zoals Facebook en Twitter, die sinds kort standaard https gebruiken.

Meer consumentgerichte diensten, zoals Snapchat en WhatsApp, versleutelen berichten standaard, en in zowel Windows als Mac OS X zijn versleutelingstechnologieën geïntegreerd.

Veel online activiteiten lijken dus standaard veiliger te worden: geweldig nieuws voor consumenten en bedrijven. Met de beveiliging nemen echter ook de risico’s toe. Nog nooit stonden persoonlijke en gevoelige gegevens bloot aan zoveel bedreigingen. Het Internet Security Threat Report voor 2014 van Symantec meldde een toename van 91% in gerichte aanvallen en een toename van 62% in het aantal gemelde inbreuken.

Daarom is de Europese Commissie van plan de Europese regelgeving voor bescherming grondig onder handen te nemen. De Algemene verordening gegevensbescherming (AVG) vervangt de huidige Europese Richtlijn gegevensbescherming. Deze hield nauwelijks rekening met nieuwere technologieën en de gevolgen van globalisering voor gegevens en gegevensbescherming.

De AVG is bedoeld om regelgeving voor gegevensbescherming te harmoniseren in de EU. Dat voorheen de regels in de lidstaten verschilden, bemoeilijkte coherente regelgeving en sancties. Veel bedrijven zijn immers actief in verschillende landen.

Versleuteling krijgt zeker een belangrijke rol in elk nieuw wetgevingskader. De Groep gegevensbescherming artikel 29 van de EU stelde voor om Europese organisaties die versleuteling gebruiken vrij te stellen van wetgeving op het gebied van melding van inbreuken en de bijbehorende sancties.

Veel bedrijven lijken echter nog niet klaar te zijn voor de nieuwe regelgeving. Volgens een recente enquête voldoen ze maar net aan de actuele regels en regelgeving. Volgens een enquête onder 1500 werkers in Groot-Brittannië, Frankrijk en Duitsland was 77% van de respondenten er niet van overtuigd dat hun bedrijf voldeed aan de actuele regelgeving.

Bovendien zei een vijfde dat hun organisatie persoonlijke gegevens niet versleutelt. Een kwart wist niet of hun bedrijf versleuteling toepaste en 7% wist niet eens wat versleuteling is. Ten slotte gaf 62% van de Britse respondenten aan dat hun bedrijf laptops versleutelt, tegen 56% in Duitsland en 36% in Frankrijk. GB liep met 41% ook vooraan wat betreft versleuteling van mobiele telefoons, tegen 32% in Duitsland en 21% in Frankrijk.

De cijfers over versleuteling van laptops door bedrijven zouden zeker hoger zijn, als bedrijven keken naar hardware waarin versleuteling is ingebouwd. De ThinkPad-notebooks van Lenovo hebben Full Disk Encryption (FDE): dit betekent dat alle gegevens op de vaste schijf automatisch worden versleuteld met 128-bits AES-versleuteling, zonder dat daarvoor versleutelingstools van derden nodig zijn. Door dergelijke ontwikkelingen wordt versleuteling veel gemakkelijker en voordeliger. Bovendien helpt de nieuwe Europese regelgeving multinationals (en feitelijk alle bedrijven) coherente strategieën te creëren voor gegevensbescherming waarin versleuteling is opgenomen. De nieuwe EU-regels moeten binnen de komende jaren ingaan. Bedrijven moeten dus kijken of ze hun versleutelingstechnologieën kunnen verbeteren, zodat alle werkers en klanten ervan kunnen profiteren.

DIT VINDT U MISSCHIEN OOK INTERESSANT

Het kantoor in 2020

Wat organisaties van de 21e eeuw moeten weten.