8 Soorten Gegevens Die Je Zeker Moet Encrypten
Met de toenemende hoeveelheid persoonlijk identificeerbare informatie (PII) en beschermde gezondheidsinformatie (PHI) die bedrijven en organisaties verzamelen, is encryptie niet langer alleen een beste practice, maar een essentieel onderdeel van een complete cyberbeveiligingsstrategie.
De tijd dat effectieve data-encryptie werd gezien als een extra kostenpost ligt ver achter ons. PII- en PHI-gegevens zijn zeer waardevol voor kwaadwillenden en met de gemiddelde kosten van een datalek die in 2022 opliepen tot gemiddeld $4,35 miljoen, zijn de kosten van het niet beschermen van gevoelige data enorm.
Encryptie op hoofdlijnen uitgelegd
Op hoofdlijnen is encryptie een techniek om informatie te beschermen tegen toegang door onbevoegden. Hierbij wordt heldere data omgezet in een onleesbare code die alleen via een specifiek omgekeerd proces kan worden ontcijferd, vaak met behulp van een “sleutel” als vorm van authenticatie.
Om ervoor te zorgen dat versleutelde data veilig blijft, zijn encryptiemethoden gebaseerd op complexe transformaties die het vrijwel onmogelijk maken om deze transformaties om te keren en toegang te krijgen tot de oorspronkelijke data.
Als het gaat om de bescherming van persoonlijke informatie, is encryptie een van de meest effectieve beschikbare hulpmiddelen. Door data te versleutelen, kunnen bedrijven ervoor zorgen dat zelfs als hackers toegang krijgen tot deze gevoelige informatie, ze deze niet kunnen lezen. Dit maakt het voor criminelen veel moeilijker om deze data te gebruiken voor identiteitsdiefstal of andere kwaadwillende doeleinden. Bovendien kan versleutelde data nog steeds nuttig zijn voor bedrijfsanalyses en andere doeleinden, ook al is de daadwerkelijke inhoud van de data verborgen.
Als je jouw PII-data wilt versleutelen, zijn hier enkele tips om mee te beginnen. Bedenk eerst welk type encryptie je nodig hebt. Er zijn twee hoofdtypen encryptiesystemen: symmetrisch en asymmetrisch.
Symmetrische encryptie is sneller en eenvoudiger te implementeren, maar gebruikt dezelfde sleutel voor zowel het versleutelen als ontsleutelen van data. Asymmetrische encryptie daarentegen gebruikt voor elk proces een andere sleutel, wat het veiliger maakt. Het kan echter lastiger zijn om effectief in te zetten en te gebruiken.
Factoren die encryptie stimuleren
Naast de rampzalige gevolgen van een datalek is een andere reden om data te versleutelen de naleving van regelgeving. Sommige regelgeving, zoals de Health Insurance Portability and Accountability Act (HIPAA), Health Information Technology for Economic and Clinical Health (HITECH) Act, General Data Protection Regulation (GDPR) en andere, verwijzen specifiek naar encryptie, terwijl andere zoals de Gramm-Leach-Bliley Act (GLBA) encryptie niet verplicht stellen maar het wel sterk aanbevelen.
Vragen & antwoorden over data-encryptie
De onderstaande tabel geeft korte antwoorden op enkele veelgestelde vragen over data-encryptie (Tabel 1).
|
Vraag |
Antwoord |
|
Welke tools kan ik gebruiken om gevoelige informatie te versleutelen? |
Diverse encryptietools gebruiken verschillende encryptie-algoritmen op basis van de gebruikte sleutels, sleutelgrootte en de grootte van versleutelde datablocks. De meest gebruikte algoritmen zijn AES, RSA, TripleDES, Blowfish en Twofish. |
|
Wat is end-to-end encryptie? |
End-to-end encryptie (E2EE) is een veilige communicatiemethode die ervoor zorgt dat alleen de verzender en ontvanger toegang hebben tot data die van het ene systeem/apparaat naar het andere wordt gedeeld. Het verzendende apparaat versleutelt de data en alleen het ontvangende apparaat kan deze ontsleutelen. Geen enkele derde partij, inclusief een hacker, kan deze data benaderen. |
|
Wat is encryptie van data in rust? |
Encryptie van data in rust is een steeds vaker toegepaste cyberbeveiligingsstrategie die opgeslagen data beschermt die niet actief wordt verzonden van het ene apparaat/gebruiker naar het andere. Zelfs als cybercriminelen andere cyberverdedigingen weten te omzeilen, krijgen ze geen toegang tot versleutelde data in rust, wat vaak hun belangrijkste doel is. Elk bedrijf dat zeer gevoelige data opslaat, zoals PII, PHI en financiële gegevens, zou encryptie van data in rust moeten overwegen. |
Tabel 1. Veelgestelde vragen en antwoorden over data-encryptie.
8 verschillende soorten privédata die encryptie vereisen
Hieronder staan acht verschillende soorten privédata die organisaties moeten versleutelen om te voldoen aan regelgeving en de integriteit van bedrijfsprocessen en hun toeleveringsketens te waarborgen.
Persoonlijk identificeerbare informatie (PII)
De meeste organisaties beschikken over een vorm van persoonlijk identificeerbare informatie (PII) die ze moeten beschermen tegen cybercriminelen en kwaadwillende staten. Data privacy-regelgeving zoals de GDPR in de Europese Unie, de Personal Information Protection and Electronic Documents Act (PIPEDA) in Canada en de California Consumer Privacy Act (CCPA), verplichten organisaties om PII te volgen, te controleren en te beschermen, zowel tijdens verzending als in rust.
Beschermde gezondheidsinformatie (PHI)
Zorgorganisaties zijn uiteraard een belangrijk doelwit voor cyberaanvallen als het gaat om beschermde gezondheidsinformatie (PHI). Maar omdat PHI door veel HR-afdelingen wordt beheerd, geldt het beschermen van PHI en het naleven van de bijbehorende regelgeving voor elke sector. PHI kan worden uitgewisseld tussen systemen die door zorgverleners worden gebruikt om patiënten te behandelen. Het kan worden vastgelegd in een mobiele app en gedeeld met diverse patiëntsystemen. En zodra PHI is ontvangen, wordt het opgeslagen op verschillende systemen—van on-premises tot in de cloud—in het formaat waarin het is ontvangen.
Encryptie—van e-mail tot bestandsoverdracht, tot beheerde bestandsoverdracht, tot webformulieren, tot application programming interfaces (API’s)—is een vereiste voor organisaties die PHI willen beschermen tegen kwaadwillende datalekken en willen voldoen aan branche- en overheidsregels zoals HIPAA, die eisen dat PHI- en ePHI-data versleuteld zijn wanneer deze in rust zijn. Daarnaast moeten organisaties encryptie of andere transportlaagbeveiliging (TLS) protocollen gebruiken bij het verzenden en delen van PHI. Dit geldt ook voor e-mailencryptie.
Financiële gegevens
GLBA beschermt niet-openbare persoonlijk identificeerbare financiële informatie (PIFI) van mensen tegen misbruik door financiële instellingen. Dit omvat gevoelige gegevens zoals adressen, burgerservicenummers en inkomen, maar strekt zich ook uit tot meer details zoals stortingsbedragen, leninginformatie en betalingsgeschiedenis die identificatie of validatie van persoonlijke financiële informatie mogelijk maken.
Hoewel encryptie geen expliciete vereiste is van GLBA, is het een van de beste practices voor het beschermen van data in rust en onderweg. Volgens de Safeguards Rule, uitgevaardigd door de FTC als onderdeel van de implementatie van GLBA, moeten bedrijven klantinformatie veilig houden. En de Pretexting-bepalingen in dezelfde wet bepalen dat bedrijven toegang tot persoonlijke informatie moeten beschermen tegen valse voorwendselen zoals scams.
Encryptie zorgt ervoor dat instellingen financiële gegevens kunnen beschermen tegen ongeautoriseerde toegang en de integriteit en vertrouwelijkheid van klantdata waarborgen.
HR-data
Tenzij je een eenmanszaak bent, heeft elk bedrijf werknemers, en dat brengt een grote hoeveelheid gevoelige data met zich mee die beschermd moet worden. HR-gerelateerde data omvat PII en financiële gegevens. HR-data bevat ook privé-informatie zoals contracten, urenstaten, ziekmeldingen en meer.
Deze informatie kan voor hackers zeer waardevol zijn, om te verkopen op het dark web, voor chantage of voor andere kwaadaardige doeleinden. Veel van deze digitale informatie wordt verzonden en gedeeld tussen verschillende partijen en systemen binnen organisaties, maar ook met derden—waaronder individuen en systemen.
Wanneer bijvoorbeeld een contract met een adviseur eindigt, wordt gevoelige inhoud met betrekking tot de beëindiging verzonden, gedeeld, ontvangen en opgeslagen. Deze digitale uitwisseling creëert kansen voor kwaadwillenden om de privédata te hacken en op kwaadaardige manieren te misbruiken. Daarnaast worden in sommige organisaties loonstroken, urenstaten en ziekmeldingen ook overgedragen naar en van applicaties, zoals HR-, payroll-, finance- en andere systemen, via beheerde bestandsoverdracht (MFT).
Commerciële informatie
Informatie over klanten, details van contracten met leveranciers en documentatie met betrekking tot offertes en aanbestedingen zijn slechts enkele van de commerciële datatypes die elk bedrijf in een of andere vorm bezit. Een deel van deze informatie kan kwalificeren als PII of financiële gegevens. In andere gevallen gaat het om vertrouwelijke contracten, antwoorden op verzoeken tot voorstellen en andere verkoopgerelateerde inhoud.
Het blootstellen van dergelijke commerciële inhoud kan negatieve gevolgen hebben—van het onthullen van vertrouwelijke informatie aan concurrenten tot het blootstellen van potentiële juridische aansprakelijkheden en risico’s. Deze informatie wordt vaak via e-mail verzonden, maar ook uitgewisseld via bestandsoverdracht. Verder wordt veel ervan opgeslagen in ERP-, CRM- en andere systemen via MFT. In al deze gevallen moeten standaard governancebeleid en encryptie worden toegepast.
Juridische informatie
De hoeveelheid juridisch relevante informatie die encryptie vereist, kan groot en divers zijn. Denk bijvoorbeeld aan e-maildiscussies tussen bestuursleden waarin toekomstige strategieën, investeringen en fusie- en overnameactiviteiten worden besproken; deze zijn zeer vertrouwelijk en moeten worden versleuteld. Correspondentie over rechtszaken, inclusief samenwerking aan juridische stukken, tussen bedrijfsjuristen en externe advocaten is uiterst gevoelig en organisaties moeten ervoor zorgen dat alle communicatie en inhoud wordt versleuteld—beschermd tegen kwaadwillende exploitatie. De lijst met mogelijke juridische use-cases is uitgebreid.
Controlled Unclassified Information (CUI)
Controlled Unclassified Information, of CUI, is een term die door de Amerikaanse overheid wordt gebruikt om gevoelige maar niet-geclassificeerde informatie aan te duiden. Hoewel dit type informatie niet geclassificeerd is, vereist het toch speciale behandeling en bescherming tegen ongeautoriseerde toegang of openbaarmaking. Het beveiligen van CUI is essentieel voor de nationale veiligheid en de veiligheid van overheidsmedewerkers en aannemers. CUI omvat informatie die, indien vrijgegeven, de nationale veiligheid kan schaden of de openbare veiligheid in gevaar kan brengen.
Hoewel sommige soorten CUI wettelijk verplicht versleuteld moeten worden, moet alle CUI worden versleuteld om ongeautoriseerde openbaarmaking te voorkomen. Volgens het Amerikaanse ministerie van Defensie (DoD) moet alle CUI die niet is goedgekeurd voor openbare verspreiding en in rust wordt opgeslagen op verwijderbare opslagmedia of mobiele apparaten, worden versleuteld. Een goed voorbeeld van waar CUI-bescherming verplicht is, is te vinden in de Cybersecurity Maturity Model Certification (CMMC) 2.0 die DoD-aannemers en onderaannemers reguleert en uiteindelijk bepaalt of een aannemer en/of onderaannemer zaken mag doen met het DoD.
Informatie over fusies en overnames (M&A)
Het belang van data-encryptie bij fusies en overnames kan niet genoeg worden benadrukt. In de huidige digitale zakenwereld is data een van de meest waardevolle bezittingen van een bedrijf. Wanneer twee bedrijven fuseren of het ene het andere overneemt, gaat er een enorme hoeveelheid data over van de ene partij naar de andere. Dit omvat financiële informatie, klantenlijsten, intellectueel eigendom en handelsgeheimen. Als deze informatie in verkeerde handen valt, kan dat rampzalig zijn voor de betrokken bedrijven. Daarom moeten organisaties alle data versleutelen voordat deze wordt overgedragen—zowel intern als extern—tijdens een fusie of overname. Dit helpt om de privacy te waarborgen en tegelijkertijd te voldoen aan overheids- en branchevoorschriften.
Het belang van het beveiligen van gevoelige M&A-informatie wordt onderstreept door spraakmakende gevallen in de afgelopen jaren waarbij privédata werd gelekt—met als gevolg alles van het annuleren van M&A-activiteiten tot boetes en sancties.
Kiteworks Private Content Network voor gegevensprivacy en naleving
Data-encryptie helpt je om je beveiligingsstatus te verbeteren, te voldoen aan regelgeving en vertrouwen op te bouwen bij je klanten. Organisaties moeten streven naar het juiste platform om hun data veilig te houden, zowel in rust als onderweg, via encryptie en andere cyberbeveiligingstechnologieën en beste practices.
Het Kiteworks Private Content Network versleutelt elk stuk gevoelige inhoud dat wordt verzonden of gedeeld met een unieke, sterke sleutel op bestandsniveau en met een andere sterke sleutel op schijfvolume-niveau. Dit zorgt ervoor dat elk bestand dubbel wordt versleuteld. Daarnaast worden bestandssleutels, volumesleutels en andere tussensleutels versleuteld opgeslagen.
Organisaties kunnen met Kiteworks gecentraliseerd governance- en beveiligingsbeleid instellen over al hun communicatiekanalen om ervoor te zorgen dat gevoelige inhoud die wordt verzonden en gedeeld, intern en extern, privé blijft en bovendien voldoet aan diverse regelgeving.
Plan een aangepaste demo van Kiteworks om te zien hoe het Kiteworks Private Content Network privacy- en compliancecontrole uitbreidt over al je communicatiekanalen.
Veelgestelde vragen
Risicobeheer door derden is een strategie die organisaties toepassen om risico’s te identificeren, beoordelen en beperken die verbonden zijn aan hun interacties met externe leveranciers, leveranciers of partners. Deze risico’s kunnen variëren van datalekken en beveiligingsdreigingen tot nalevingsproblemen en operationele verstoringen. Het proces omvat doorgaans het uitvoeren van zorgvuldigheid voordat men met een derde partij in zee gaat, het continu monitoren van de activiteiten en prestaties van de derde partij, en het implementeren van controles om geïdentificeerde risico’s te beheersen. Het doel is ervoor te zorgen dat de acties of tekortkomingen van de derde partij geen negatieve impact hebben op de bedrijfsvoering, reputatie of wettelijke verplichtingen van de organisatie.
Risicobeheer door derden is cruciaal omdat het helpt om de risico’s die gepaard gaan met relaties met derden te identificeren, beoordelen en beperken. Dit kan onder meer cyberbeveiligingsdreigingen, nalevingsproblemen, operationele risico’s en reputatieschade omvatten.
Beleidscontroles zijn essentieel in risicobeheer door derden omdat ze duidelijke verwachtingen vaststellen voor het gedrag van derden, gegevensverwerking en beveiligingspraktijken. Ze helpen het risico op beveiligingsincidenten te beperken door acceptabele handelingen te definiëren en zorgen ervoor dat derden voldoen aan relevante wetten, regelgeving en industrienormen. Daarnaast bieden beleidscontroles een basis voor het monitoren van activiteiten van derden en het afdwingen van naleving, waardoor de organisatie passende maatregelen kan nemen bij beleidsinbreuken. Beleidscontroles vormen dus een cruciaal kader voor effectief risicobeheer door derden.
Audittrail is onmisbaar bij risicobeheer door derden omdat het een volledig overzicht biedt van alle activiteiten van derden binnen je systemen. Ze helpen bij het identificeren van potentiële risico’s door ongebruikelijke of verdachte activiteiten te signaleren, dienen als belangrijk hulpmiddel bij incidentrespons en forensisch onderzoek, en helpen te voldoen aan regelgeving door bewijs te leveren van effectieve beveiligingsmaatregelen en monitoring van derden. Bovendien bevorderen ze een cultuur van verantwoordelijkheid en transparantie bij derden, ontmoedigen ze kwaadwillende activiteiten en stimuleren ze naleving van beveiligingsbeleid.
Kiteworks ondersteunt risicobeheer door derden door een veilig platform te bieden voor het delen en beheren van gevoelige inhoud. Het platform is ontworpen om gevoelige inhoud die binnen, naar en uit een organisatie beweegt te controleren, te volgen en te beveiligen, wat het risicobeheer aanzienlijk verbetert. Kiteworks biedt ook twee niveaus van e-mailencryptie, Enterprise en Email Protection Gateway (EPG), om gevoelige e-mailcommunicatie te beveiligen. Dit helpt om risico’s van derden die samenhangen met e-mailverkeer te beperken.