Encryptie door bedrijven niet altijd toegepast met juiste motivatie

Abonneer je gratis op Techzine!

Als je enterprise organisaties vraagt naar hun encryptiebeleid dan kan je concluderen dat ze het meer en meer toepassen. Encryptie is een serieus onderdeel geworden van hun IT-strategie. De motivatie erachter is echter niet altijd de juiste. Vaak is het voldoen aan wet- en regelgeving een belangrijke motivatie, terwijl het beveiligen van klantgegevens bijvoorbeeld niet altijd de primaire motivatie is.

nCipher is een beveiligingsbedrijf dat al sinds 2005 onderzoek doet naar het gebruik van encryptie binnen bedrijven. Ze doen dit omdat ze oplossingen bieden voor het versleutelen van data. We spraken met John Grimm, VP of Strategy & Business Development bij nCipher.

Nieuw in het onderzoek van dit jaar is dat ze ook de Nederlandse markt hebben meegenomen, zodat de Nederlandse resultaten ook vergeleken kunnen worden met het gemiddelde en andere landen. De afgelopen jaren was het voldoen aan wet- en regelgeving de voornaamste reden om data te versleutelen. Daar is dit jaar verandering in gekomen. Bovenaan de lijst staat nu het beveiligen van klantgegevens. Gemiddeld genomen hebben bedrijven dus een gezonder encryptiebeleid. Dit geldt echter niet voor Nederland. In Nederland staat het voldoen aan wet- en regelgeving nog met stip op één.

Encryptiebeleid is hoofdpijndossier

We spraken met Grimm en bestudeerden het onderzoeksrapport. Op basis daarvan concluderen we dat het eigenlijk gewoon een verplicht hoofdpijndossier is geworden. Zeker bij grote bedrijven worden er veel uren weggeschreven op encryptie, maar is het nog maar de vraag hoe goed het precies geregeld is.

Het positieve aan het onderzoek is dat steeds meer bedrijven doorpakken en met een goed encryptiebeleid komen. Van de bedrijven stelt 48 procent dat ze een encryptieplan hebben voor alle oplossingen binnen de hele organisatie. Daar tegenover staat dat 39 procent een beperkt encryptieplan heeft voor specifieke applicaties en 13 procent dat geen plan heeft.

De reden dat encryptie een hoofdpijndossier is, is dat er geen uniforme oplossing is waarmee je overal mee uit de voeten kan. Als je alles on premise draait kan je met een lokale hardware security model (HSM) wel veel afvangen, maar bedrijven willen ook naar de cloud. De public cloud-partijen hebben allemaal wel een soort HSM-oplossing, waarop ze hun eigen versimpelde interface en configuratiemodellen hebben toegepast. Hierdoor werkt encryptie en beveiliging in elke cloud anders en is het lastig om uniform beleid te maken.

Encryptie is niet sexy genoeg

Uiteindelijk komt het er op neer dat encryptie niet sexy genoeg is. Het is een noodzaak waar niemand echt om staat te springen. Behalve als het flink mis gaat natuurlijk. Zowel ontwikkelaars als mensen aan de operations-kant voelen zich niet aangesproken om hele dagen encryptiebeleid in te regelen voor verschillende datacenter-applicaties en public clouds.

Er ligt duidelijk een kans in de markt om dit soort zaken centraal te regelen en eenvoudiger te maken. De vraag is alleen wie dat gaat doen. Maar ook als je dit goed doet, blijft het uitlekken van data niet te voorkomen.

Uit het onderzoek komt naar voren dat het grootste risico nog steeds de gebruiker is, die per ongeluk toch op een bepaalde manier de data onversleuteld deelt.

Key management is lastig

Volgens de mensen die participeerden in het onderzoek is het doen van key management uiteindelijk het lastigste onderdeel. Het is nooit helemaal duidelijk wie eigenaar is van de data. Voor goede key management is ook geschikt personeel nodig om het in te richten. Daar valt bijna niet aan te komen. Hierdoor weet men ook vaak niet wat nu de exacte eisen zijn voor een goede key management-strategie: wat is hiervoor nodig en waar moet men rekening mee houden.

Er is ook nog geen standaard voor, waardoor zowel on premise als in de cloud allerlei verschillende methoden worden toegepast die door elkaar heen lopen. Ze zijn niet out-of-the-box compatibel met elkaar en daar ligt nog het nodige werk.

Encryptie heeft negatief imago ten opzichte van performance

Een van de redenen waarom IT-professionals encryptie ook nog weleens mijden is omdat het een negatief effect heeft op de prestaties van een applicatie. De ontwikkelaars wil een zo goed mogelijke applicatie ontwikkelen die ook snel werkt. Hetzelfde geldt voor operations, daar willen ze geen gezeur over trage applicaties van gebruikers. Dit terwijl er tegenwoordig voldoende alternatieven encryptiemogelijkheden zijn die razendsnel werken en in principe een zeer minimaal effect hebben op de prestaties. Zo is er een opkomst van Eleptic Curve Crypto (ECC), een technologie die een stuk sneller is dan het meer bekende RSA.

Het verschil tussen ECC en RSA is de lengte van de encryptiesleutelels, ECC-sleutels zijn ongeveer de helft korter. Ook is er voor ECC minder rekenkracht nodig om de encryptie toe te passen en minder rekenkracht betekent ook weer sneller. RSA is in veel gevallen nog de standaard keuze bij veel bedrijven, maar ECC is wel stevig in opkomst. Bijvoorbeeld in de wereld van SSL-certificaten voor het versleutelen van webverkeer en het beveiligen van websites begint ECC populairder te worden. Ook voor IoT-doeleinden waar weinig rekenkracht en opslagcapaciteit is, zijn de ECC-certificaten populair.

De toekomst van encryptie

De samenleving vertrouwt data niet toe aan cybercriminelen en overheden en verwacht dat bedrijven alles versleutelen en veilig opslaan. Dat is echter lang niet altijd het geval, al is het de afgelopen jaren wel beter geworden. Het grootste nadeel is dat er nog geen generieke oplossing is die hierop inspeelt. Daar ligt nog echt een kans. Een oplossing die on premise en in de cloud overweg kan met de instellingen en een generiek beleid kan uitrollen. Dat gaat voorlopig echter niet gebeuren.

We hebben ook gevraagd of nCipher hier op in speelt. nCipher gaf te kennen dat zij over een klantenbestand beschikken dat niet op zoek is naar zo’n eenvoudige interface of eenvoudig te activeren encryptie. Bij nCipher willen ze vooral de meest uitgebreide oplossing kiezen met enorm veel opties en configuratiemogelijkheden. Volgens Grimm is dat waar nCipher-klanten naar op zoek zijn.

Wij blijven erbij dat automation en het versimpelen van complexe technische applicaties en oplossingen, altijd bijdraagt aan meer innovatie. In dit geval zou het ook goed kunnen zijn om een standaard te definiëren die wereldwijd gebruikt wordt. Of dat gaat gebeuren is echter afwachten en ligt vooralsnog niet erg voor de hand.