Het hebben van een goed beveiligd netwerk is mooi meegenomen, maar wat als de gegevens waar het om te doen is niet goed beschermd zijn? Encryptie is nog altijd niet ingeburgerd. En wat heb je aan encryptie als inlichtingendiensten dankzij een backdoor van de vendor toch toegang krijgen? Wij vroegen het Gauthier Van Daele, managing director van Utimaco Safeware.

Dagelijks lezen we over verloren USB-sticks en laptops waarop de informatie niet versleuteld is. Volgens sommige experts niet verwonderlijk, omdat het versleutelen van informatie nog altijd moeizaam, lastig en vervelend is. Wanneer kunnen we "plug 'n play"
encryptie verwachten?

Van Daele: Dat is meteen de nagel op de kop! Dé uitdaging vandaag is niet meer zozeer het vinden van oplossingen die veilig zijn, van het vinden van encryptie dat niet te kraken is enz. De uitdaging vandaag is het ontwikkelen van beveiligingsoplossingen die beheersbaar, gebruiksvriendelijk en transparant zijn. Wat bijvoorbeeld het beveiligen van USB sticks betreft, bestaan die producten al.

SafeGuard Removable Media is een programma dat ervoor kan zorgen dat alle data die door een gebruiker weggeschreven wordt op een externe datadrager automatisch versleuteld wordt. Hier hoeft de gebruiker helemaal niets van te merken, en de Security Officer hoeft zich ook geen zorgen te maken dat de gebruiker de juiste stappen onderneemt, want er zijn geen stappen. Het is transparant en het geldt voor alle removable media.

Het tweede probleem waar grote bedrijven mee te maken hebben is dat ze geen idee waar hun vertrouwelijke gegevens uithangen. Hoe zorg je ervoor dat de informatiestroom transparant en beheersbaar is, zonder werknemers in hun activiteiten te belemmeren?

Van Daele: Er bestaan vandaag oplossingen die het dilemma van beheersbaarheid, gebruiksvriendelijkheid en transparantie met een hoog niveau van security invullen. In de praktijk werkt het als volgt: eerst definiëren welke mogelijke probleemscenario´s zich kunnen voordoen en daarna een geïntegreerde oplossing hebben die die scenario´s onmogelijk maakt. Waar hebben we het over?: we hebben het over beveiliging van data "at rest" en beveiliging van data "in motion". Data "at rest" beveiligen betekent bijvoorbeeld ervoor zorgen dat, als een notebook of een PDA gestolen wordt, de dief de data onmogelijk kan lezen. Een ander voorbeeld is HR data die ergens op een centrale server opgeslagen wordt. "Data in Motion" is bijvoorbeeld een gevoelige e-mail die van a naar b verstuurd wordt. Voor zolang a en b zich binnen een zelfde omgeving bevinden, dan is VPN hiervoor de oplossing. Zodra men communiceert met externe partners (klanten, boekhouder, advocaat, bank) dan zijn andere oplossingen nodig.

Zo nu en dan wordt er "data-vermindering" als alternatief voor encryptie, of in ieder geval als aanvulling, genoemd. Bedrijven beschikken over teveel informatie waar ze niets mee doen en die ook geen enkele waarde heeft. Door de hoeveelheid data te verminderen, wordt de kans ook kleiner dat er vertrouwelijke data uitlekt. Wat denkt u daarvan?

Van Daele: Ik denk dat data vermindering sowieso een goed idee is omdat we tegenwoordig allemaal overrompeld worden met data. Totaal los van het security aspect, denk ik dan vooral aan het verlies aan efficiëntie van teveel data te moeten beheren. Wat puur security betreft zijn we van mening dat data vermindering helemaal niet nodig is.

Een terecht genoemde uitdaging is het bereiken van bedrijven die hun informatie niet versleutelen. In hoeverre zijn deze bedrijven eigenlijk te bereiken, aangezien er inmiddels genoeg ondernemingen zijn die hun billen gebrand hebben?

En is het probleem niet dat encryptie vaak een sluitpost op de begroting is. Bedrijven zullen eerder investeren in actieve dreigingen zoals kwaadwillend personeel, frauduleus verkeer en malware. Hoe krijg je encryptie op de agenda?

Van Daele: Het klopt inderdaad dat dit een uitdaging is. Websites als security.nl helpen ongetwijfeld aan de awareness van de problematiek. Het is onze taak als IT security community om met dit bewustzijn te helpen en te investeren zonder daarvoor paniekzaaiers te worden. Encryptie op de agenda krijgen is een heel vergelijkbare uitdaging als een verzekeringspolis op de agenda te krijgen. De kans dat iets fout loopt is relatief beperkt, maar als het misloopt loopt het goed mis. Onze ervaring is dat awareness bij de bedrijven exponentieel groeit.

Hoe voorkom je dat je als bedrijf doorslaat en alle gegevens gaat versleutelen, in plaats van alleen de belangrijke? Aan de hand van welke criteria kan je een praktische scheiding aanbrengen?

Van Daele: Zoals hierboven vermeld is dat vandaag helemaal geen probleem als het gaat over het beveiligen van data op notebook, PDA en USB-stick. Daar is een volledige encryptie net de juiste oplossing die transparantie en gebruikersgemak garanderen. Wat data op de servers betreft en data met e-mail verkeer kan men heel veel regelen door de juiste policies te definiëren.

Hoe staat Utimaco tegenover open source oplossingen zoals GnuPG en TrueCrypt die vaak dezelfde functionaliteit, alleen dan gratis aanbieden. Waar ligt het omslagpunt voor bedrijven om zaken zelf te regelen of uit te besteden?

Van Daele: Encryptie "op zich" is al lang niet meer het monopolie van Encryptie ontwikkelaars zoals Utimaco. Het bieden van veilige encryptie tools is een commodity geworden en dit kan je dus per definitie gratis verkrijgen. Het omslagpunt is afhankelijk van de structuur en wensen van de organisatie die zich wil beveiligen.

Waar moeten bedrijven bij het kiezen van een beveiligingsoplossing rekening houden en hoe herken je een goede beveiligingsaanbieder?

Van Daele: Beheersbaarheid, gebruikersgemak en transparantie zijn heel belangrijk bij het maken van een keuze. We raden ook ten zeerste aan om een test te draaien alvorens een definitieve keuze te maken voor een aanbieder. Naast het product zelf, is het naar onze mening ook belangrijk om te kijken naar het bedrijf achter het product. Hoe lang is het bedrijf al actief op de markt? hoe gezond is het bedrijf financieel? hoe wordt het bedrijf gepositioneerd door externe analisten als het gaat over productontwikkelingsstrategie?

Onlangs was er veel te doen geweest over de FBI die backdoors gebruikte om zo encryptie te omzeilen door de passphrases al voor invoeren te kopieren. Sommige beveiligingsaanbieders lieten weten dat ze dit soort spyware zouden negeren. Hoe zou Utimaco met dit soort verzoeken omgaan?

Van Daele: Hier gaan we absoluut niet in mee. Dit zou ons bestaansrecht ondermijnen.