Beheer

Security
sleutel

Beheer encryptiesleutels buiten de cloud!

Zelf versleutelen verkleint de kans op datalekken.

14 juni 2021

Vertrouwen is een belangrijk gespreksonderwerp. Vertrouwen in privacy, (cloud-)security en compliancy. Organisaties hebben steeds minder vertrouwen in hoe hun gegevens opgeslagen en verwerkt worden.

En terecht, aangezien uit onderzoek blijkt dat slechts 49% van de gegevens die in de cloud is opgeslagen, beveiligd is met encryptie. Bovendien is het aantal datalekken in de afgelopen jaren toegenomen. Door het versleutelen van je gegevens verklein je de kans op datalekken. Alleen degenen die over de sleutel beschikken, hebben de mogelijkheid om de informatie te lezen of bewerken. Het is daarom verstandig om sleutels in eigen beheer te houden.

Voordelen sleutels in eigen beheer

Sommige cloudproviders bieden de mogelijkheid om bedrijfsdata te beschermen middels ingebouwde encryptie. Dit betekent echter wel dat de provider toegang heeft tot de data die (nog) niet versleuteld is. Bovendien kan en mag je niet alle verantwoordelijkheid bij de cloudprovider leggen, aangezien deze niet kan garanderen dat aan de AVG-richtlijnen wordt voldaan. De uiteindelijke verantwoordelijkheid voor het versleutelen van de data ligt dan ook altijd bij de organisatie die de data beheert, de data owner. Deze verantwoordelijkheid wordt gedeeld met de cloudprovider, de data processor, op het moment dat de data in de cloud wordt gezet. Door zelf verantwoordelijk te zijn voor encryptie, en je data te versleutelen voordat het naar de cloud wordt geüpload, behoud je zelf de volledige controle. Bovendien heb je ook de mogelijkheid om sleutels buiten het cloudplatform te beheren, waardoor niet alleen het vertrouwen van bedrijven wordt verhoogd, maar ook de kans op bepaalde risico’s wordt verkleind, waaronder:

  • Verlies van encryptiesleutels door de provider als gevolg van bijvoorbeeld een bug of operationeel probleem;
  • Openbaarmaking van sleutels als gevolg van een verkeerde configuratie;
  • De kans op misbruik door ontevreden werknemers, aangezien de werknemer geen toegang heeft tot de sleutels; en
  • Verzoeken van bepaalde entiteiten om (de sleutel van) bepaalde klantgegevens te overhandigen.

De noodzaak om encryptiesleutels uit de cloud te houden

Naast het verkleinen van risico’s zijn er nog drie scenario’s waarbij het noodzakelijk of handig kan zijn om de sleutels buiten de cloud op te slaan.

Het eerste scenario betreft extreem gevoelige, sterk gereguleerde gegevens, zoals in de gezondheidszorg, financiële- of farmaceutische sector. In dit geval hebben organisaties om verschillende risico-, compliance- of beleidsredenen de voorkeur om hun gegevens nog steeds on-premise te bewaren. Het lekken van dit type data zou tevens andere bedrijfsdoelstellingen in gevaar kunnen brengen. Daarom bestaan er oplossingen om versleutelde gegevens naar de cloud te verplaatsen, waarbij het volledige bezit van de encryptiesleutels en de controle wordt behouden.

Het tweede scenario betreft de privacy- en beveiligingspolicy’s in regio’s als Europa, India, Japan of Brazilië, en de naleving hiervan. Deze vereisten stellen dat de cloudprovider onder geen enkele omstandigheid toegang kan hebben tot klantgegevens, waardoor er ook geen toegang tot encryptiesleutels nodig is. Deze datasoevereiniteit zorgt ervoor dat de provider alleen toegang kan krijgen tot klantgegevens wanneer klanten deze handelingen als noodzakelijk bestempelen.

Tot slot, zoals Gartner benoemde, zijn er twee redenen om alle sleutels binnen één systeem te houden voor meerdere cloud- en on-premise-omgevingen: operationele efficiëntie en de noodzaak om het aantal sleutelbeheertools te verminderen. Door sleutelbeheer te centraliseren wordt de complexiteit verminderd. Daarnaast kan de klant hierdoor centraal beleid afdwingen met betrekking tot toegang tot de sleutels en dus toegang tot data at rest.

Door encryptiesleutels in eigen beheer te houden, wordt het vertrouwen in de cloudprovider vergroot en is de kans op bepaalde risico’s aanzienlijk kleiner. Daarnaast is het in sommige scenario’s noodzakelijk om de sleutels in eigen beheer te hebben. Op deze manier wordt de kans op bepaalde bedreigingsfactoren verkleind.

Reactie toevoegen