Encryptie maakt bedrijven kwetsbaar voor nieuwe aanvallen
Het gebruik van encryptie is voor veel bedrijven een oplossing om het lekken van vertrouwelijke gegevens te stoppen, maar kan de onderneming ook kwetsbaar voor nieuwe aanvallen en risico's maken, zo waarschuwen experts. Met name bewuste of onbewuste aanvallen op de key management infrastructuur kan vergaande gevolgen hebben.
"Veel bedrijven hebben geen ervaring met encryptie. Ze zijn alleen bekend met SSL, maar dat betreft slechts een sessie. Als je overgaat naar het versleutelen van opgeslagen gegevens en je laptop, als je dan een de sleutel verliest ben je je data kwijt. Het is een zelf veroorzaakte denial-of-service aanval," zegt Richard Moulds van nCipher.
Zelfs bedrijven die wel met encryptie bekend zijn noemen het een potentiële nachtmerrie, met de mogelijkheid om de bedrijfsvoering te stoppen, gaat Moulds verder. Anton Grashion van Juniper waarschuwt dat het aanvallen van de key infrastructuur een verleidelijk doelwit voor aanvallers is. Een aanvaller zou bijvoorbeeld een sleutel kunnen stelen, en dan om losgeld vragen. Een ander probleem is dat het al te enthousiast versleutelen ervoor kan zorgen dat belangrijke gegevens niet eenvoudig meer gedeeld kunnen worden, wat ook schadelijk voor de bedrijfsvoering is.
hebben natuurlijk een oplossing voor deze problematiek.
Einde van dit reclameblok.
Grappig dat dit soort artikelen worden bestempeld als
informatief terwijl het eigenlijk verkapte reclame voor een
product is.
Kijk even allemaal op de website van nCipher, want zij
hebben natuurlijk een oplossing voor deze problematiek.
Einde van dit reclameblok.
Grappig dat dit soort artikelen worden bestempeld als
informatief terwijl het eigenlijk verkapte reclame voor een
product is.
het bedrijf zelf. Daar is helemaal niets mis mee, zolang je
maar zelf nadenkt.
De geschetste risico's zijn reeel, en al echt voorgekomen.
Het gaat hier echter maar om een deel van het probleem en
mogelijk om een deel van de oplossing.
Om digitaal duurzaam om te gaan met gegevens, waarbij de
vertrouwelijkheid belangrijk is, is encryptie een van
de opties.
Als met dit soort artikelen de risico's op de agenda van de
beslissers kan komen, heeft het z'n waarde al bewezen.
Zelf op de werkvloer heb je dom klikedeklik volk.
en dan helpt encrypty ook weer niet.
Ik denk persoonlijk, dat als je data wilt beschermen, je een
draagbaar persoonlijk encrypty systeem moeten maken, dat de
data van DIE werknemer zou moeten beschermen.
dongle, stick, etc..
whatever..
is wel wat op te vinden. Zeer vertrouwelijke bestanden die
versleuteld zijn, moeten ook een kopie met de software erop.
Dat kan elke verwisselbare medium zijn. Raak je om wat voor
een reden de sleutel kwijt, dan is met een kopie de zaak nog
te ontsleutelen. Ook hier weer moraal van het verhaal:
gewoon voldoende kopies maken
structuur, recovery agents en een backup van de keys op een
veilige plaats dan kun je alle bovenstaande onzin vergeten.
-Jeroen
Als je EFS goed opzet, dus met een juiste certificaten
structuur, recovery agents en een backup van de keys op een
veilige plaats dan kun je alle bovenstaande onzin vergeten.
Alles draait uiteindelijk om de procedures eromheen. Als die
goed geregeld zijn, en de hierboven genoemde maatregelen
worden allemaal consistent genomen, dan zou dat goed kunnen
gaan. Probleem is natuurlijk dat veel bedrijven al die
procedures niet goed en consistent opzetten en volgen. En
daar hebben we dan het echte probleem...
Als je EFS goed opzet, dus met een juiste certificaten
structuur, recovery agents en een backup van de keys op een
veilige plaats dan kun je alle bovenstaande onzin vergeten.
goed geregeld zijn
EFS staat zijn ontwerpaspecten - helemaal prima - procedures zijn wat
mensen moeten doen. De beschreven setup kán transparant voor de
mensen opgezet worden, dus zonder menselijke interactie behalve als het
mis gaat. En dan is de procedure heel eenvoudig.
De opmerking klinkt dus als iemand die de techniek niet als het probleem
beschouwd, en zich bezig houdt met de mensen. En dat is belangrijker,
ergo, de persoon die zich ermee bezig houdt is dat óók,
Kijk even allemaal op de website van nCipher, want zij
hebben natuurlijk een oplossing voor deze problematiek.
Einde van dit reclameblok.
Grappig dat dit soort artikelen worden bestempeld als
informatief terwijl het eigenlijk verkapte reclame voor een
product is.
alleen de properties centraal geregeld worden maar dat ook de sleutels
centraal opgeslagen zijn. Trouwens, de database is ook versleuteld.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?