Encryptie: krachtig middel voor gegevensbeveiliging

Op grond van de Algemene verordening gegevensbescherming bent u verplicht passende beveiligingsmaatregelen te nemen om vertrouwelijke persoonsgegevens te beveiligen. Encryptie - de versleuteling van informatie – kan hierbij een rol spelen. In dit artikel geeft Eugenie Verhaar een toelichting op de verschillende soorten encryptie en hun toepassingen.

Soorten encryptie
Op grond van het doel en de toepassing onderscheiden we drie soorten: encryptie van ‘data in transit’, ‘data at rest’ en ‘data in use’.
- Encryptie van ‘data in transit’, dat wil zeggen encryptie van data dat zich beweegt over het internet of een besloten netwerk, zoals mailverkeer, gebruik van een webapplicatie etc. Deze vorm van encryptie wordt veelvuldig toegepast, immers data in transit is kwetsbaar voor ongeoorloofde toegang. De regel is dat alle vertrouwelijke informatie ‘in transit’ encrypt moet zijn.
Encryptie van ‘data at rest’, dat wil zeggen encryptie van data dat is opgeslagen in een database, op een (deel van) een disk, in een ‘filesystem’ etc. Een goed uitgangspunt is dat op alle gegevensdragers een of andere vorm van encryptie toegepast moet worden.
Encryptie van ‘data in use’. De laatste soort encryptie staat nog in de kinderschoenen. Encryptie van ‘data in use’ gaat over encryptie van data dat wordt verwerkt, gedeeld of bekeken door een gebruiker. Deze vorm van encryptie wordt nog weinig toegepast, in dit artikel gaan we hierop niet verder in. Hieronder gaan we verder in op encryptie van ‘data in transit’ en ‘data at rest’.

Data in transit
De belangrijkste encryptietechnieken die worden toegepast op ‘data in transit’ zijn:
IPsec. (Internet Protocol Security). IPsec wordt gebruikt voor het versleutelen van de pakketjes die over het netwerk worden verstuurd en voor het uitwisselen van de sleutel voor het openen van de pakketjes.
VPN (Virtual Private Network). VPN is de techniek voor het maken van een privé-netwerk, waarbij gebruik gemaakt wordt van de publieke infrastructuur.
SSL (Secure Socket Layer) en zijn opvolger: TLS (Transport Layer Security). Deze techniek wordt met name toegepast op webapplicaties etc. om zeker te zijn van een beveiligde verbinding. Hoewel TLS nu de standaard is, wordt nog steeds gesproken over een ‘SSL certificaat’. SSL certificaten heb je in verschillende prijsklassen. De prijsklasse zegt iets over de controles die zijn uitgevoerd op de ‘echtheid’ van het certificaat.  Van TLS bestaan verschillende versies. Het is belangrijk om te controleren of op uw websites geen oude versie van TLS wordt toegepast. Op dit moment wordt versie 1.2 beschouwd als veilig genoeg.
Data in transit-encryptie beschermt tegen twee risico’s: Ten eerste voorkomt het ongeautoriseerde toegang tot informatie op een netwerk, ten tweede geven de Data in transit encryptietechnieken zekerheid over de juistheid van de verbinding.

Data at rest
Afhankelijk van de plaats waar de encryptie engine is geplaatst en zijn werk doet, kunnen we verschillende soorten encryptie onderscheiden:
‘Full disk encryptie’ Encryptieengine is geplaatst op het niveau waar ook de opslag van data wordt geregeld (storage management level). Deze engine encrypt alle data die wordt opgeslagen en decrypt alle data wanneer het wordt gebruikt (bekeken, gewijzigd etc.)
Deze vorm van encryptie beschermt alleen tegen het risico dat hardware wordt gestolen en dat informatie hierdoor in ongeautoriseerde handen komt. Het beschermt niet tegen bijvoorbeeld systeembeheerders, die toegang hebben tot de opslagmedia.
Bitlocker, dat veel wordt gebruikt voor het encrypten van laptops etc. is een bekend voorbeeld van ‘Full disk encryptie’.
- ‘Instance based encryptie’ Deze encryptie grijpt aan op het operating systeem dat de opslag regelt. Het beschermingsniveau van deze encryptie is al wat beter: het beschermt tegen diefstal van de hardware, maar ook tegen iedereen die geen toegang heeft tot het operating system. In plaats van op de server waar de data staat, kan de ‘encryptie engine’ ook geplaatst worden op een aparte server, een zogenaamde proxyserver. Dat laatste is beter, omdat een extra stap nodig is voor het verkrijgen van de sleutel.
- ‘File level encryptie’ Met deze vorm van encryptie worden een of meer ‘directories’ of ‘folders’ op een opslagmedium encrypt. Deze vorm van encryptie wordt toegepast om bepaalde gebruikers wel en anderen geen toegang te geven tot informatie (Information Rights Management). Bij deze vorm van encryptie is de encryptiesleutel alleen beschikbaar voor gebruikers die geautoriseerd zijn voor de betreffende file/folder.
- ‘Database encryptie’ Deze vorm van encryptie wordt door de database geregeld. De encryptie engine bevindt zich in de database. Deze vorm van encryptie kan ook toegepast worden op enkele tabellen uit een database. Dat is nuttig als de gevoelige gegevens van een toepassing slechts in enkele tabellen worden opgeslagen. De sleutel bevindt zich veelal op hetzelfde opslagmedium als de database. Deze vorm van encryptie beschermt tegen diefstal van het opslagmedium en geeft beperkt bescherming tegen aanvallen door hackers.
- ‘Application level encryptie’ Hier is de ‘encryptie engine’ geplaatst in het applicatie–deel van een toepassing. Alle gegevens in bijvoorbeeld de database zijn encrypt en afhankelijk van de rechten van een gebruiker die toegang heeft tot de applicatie worden gegevens decrypt. Deze vorm van encryptie beschermt tegen zeer veel vormen van ongeautoriseerde toegang. Ook beheerders van een applicatie kunnen niet zomaar de data decrypten.
Deze encryptietechnieken kunnen ook gecombineerd toegepast worden. Bijvoorbeeld ‘full disk encryptie’ om de vertrouwelijke informatie te beschermen tegen diefstal van een opslagmedium in combinatie met ‘file level encryptie’ om toegang tot delen van het opslagmedium (files of folders) af te schermen van groepen gebruikers.

Voor- en nadelen
Alle vormen van ‘data in rest’ encryptie hebben specifieke voor- en nadelen. ‘Application level encryptie’ biedt een verfijnde bescherming tegen ongeautoriseerde toegang. Deze vorm kan niet altijd toegepast worden bijvoorbeeld omdat ‘Application level encryptie’ performance problemen kan generen. Immers alle records die door een gebruiker worden opgevraagd, moeten worden decrypt. Dat is anders bij ‘Full disk encryptie’, waar de gehele disk tegelijk wordt encrypt en decrypt. ‘Full disk encryptie’ is hierdoor eenvoudig toe te passen. Het nadeel van ‘Full disk encryptie’ is weer dat het niet beschermd tegen ongeautoriseerde toegang door systeembeheerders.  

Afwegingen bij de keuze
De boodschap is dat bij de implementatie van encryptie als beveiligingsmaatregel, goed moet worden doordacht tegen welke risico’s de encryptie moet beschermen en welke technische mogelijkheden er zijn. Op basis hiervan kan een goede keuze worden gemaakt. Wanneer de performance (snelheid) van een applicatie niet heel goed is, valt ‘Application Level Encryptie’ als mogelijkheid af, maar kan een combinatie van ‘Database encryptie’ met ‘Full Disk encryptie’ afdoende bescherming bieden.

Naast de vele soorten, zijn er kwaliteitsverschillen van aanbieders van encryptie tools. Ook de sterkte van de gebruikte sleutels en encryptie algoritmen heeft invloed op de effectiviteit. Indien voor de ‘full disk encryptie’ van een device een sleutel van 10 posities wordt gebruikt, zal het voor een hacker niet moeilijk zijn om met wat geduld en hulpmiddelen alsnog de data te ontcijferen.

Eugenie Verhaar is directeur van Informatiebeveiligingdoejezo. Informatiebeveiligingdoejezo ondersteunt bedrijven en organisaties met het inregelen van informatiebeveiliging en het voldoen aan de ISO 27001, de NEN 7510 of het verkrijgen van een ISAE 3402 verklaring.

Tag

AVG

Onderwerp



Niet gevonden? Vraag het de redactie!

Heeft u het antwoord op uw vraag niet gevonden, of bent u op zoek naar specifieke informatie? Laat het ons weten! Dan zorgen we ervoor dat deze content zo snel mogelijk wordt toegevoegd, of persoonlijk aan u wordt geleverd!

Stel uw vraag