Veiligheid klantgegevens gaat boven compliancy: maar niet in Nederland
Nederland koploper in versleutelen betalingsgegevens
10 april 2020 -
Organisaties maken vandaag de dag steeds meer gebruik van de cloud en het Internet of Things (IoT) waardoor het datavolume en het aantal datatypen blijven toenemen. Uit de Global Encryption Trends Study 2020 van nCipher Security blijkt dat IT-professionals de bescherming van persoonlijke klantgegevens als hoogste prioriteit zien.
Voor het vijftiende jaar op rij werd onderzocht hoe en waarom organisaties encryptie inzetten. nCiper Security heeft bij dit internationale onderzoek nauw samengewerkt met het Ponemon Institute.
Bedreigingen, drijfveren en prioriteiten
Voor het eerst staat het beschermen van persoonlijke klantgegevens op nummer één als belangrijkste reden om encryptie in te zetten (54 procent van de respondenten). ‘Naleving’ staat internationaal op de vierde plek (47 procent). In Nederland is de verdeling echter anders, daar zien organisaties de naleving van regelgeving als de belangrijkste drijfveer voor encryptie (63 procent).
Traditioneel was naleving van regelgeving de belangrijkste drijfveer voor het gebruik van encryptie, maar sinds 2017 is dit in prioriteit gedaald. Dit toont aan dat encryptie minder wordt gezien als een vereiste en meer als een proactieve keuze om kritieke informatie te beschermen.
Fouten van werknemers blijven de grootste bedreiging voor gevoelige gegevens (54 procent). De bezorgdheid over aanvallen door hackers (29 procent) of kwaadwillende insiders (twintig procent) is aanzienlijk minder. De minst belangrijke bedreigingen die worden genoemd zijn officiële gegevensverzoeken (twaalf procent) en het afluisteren door de overheid (elf procent).
Data discovery is de grootste uitdaging
Met de verspreiding van gegevens van digitale initiatieven, cloudgebruik, mobiliteit, IoT-apparaten en de komst van 5G-netwerken, blijft data discovery – dat is precies weten waar gevoelige gegevens zich bevinden − de grootste uitdaging bij het plannen en uitvoeren van een data-encryptiestrategie. 67 procent van de respondenten ziet dit als hun nummer één uitdaging. En dit zal waarschijnlijk alleen maar toenemen doordat momenteel heel veel werknemers werken op afstand, gegevens thuis gebruiken en extra kopieën maken op persoonlijke apparaten en cloudopslag.
Blockchain, kwantum en adoptie van nieuwe encryptietechnologieën
Uit het onderzoek blijkt dat 56 procent van de Nederlandse organisaties in hun gehele organisatie encryptiestrategieën heeft toegepast. Dit is meer dan het gemiddelde van alle onderzochte organisaties, want internationaal gezicht doet slechts 48 procent dit. Ook maken Nederlandse organisaties het vaakst gebruik van containerversleuteling (47 procent versus 32 procent gemiddeld). Waar gaan organisaties in de toekomst gebruik van maken, nu de implementatie van encryptie gestaag toeneemt? Op korte termijn is 60 procent van de organisaties van plan om blockchain te gebruiken, met cryptocurrency/wallets, activatransacties, identiteit (opslag van informatie met betrekking tot de identiteit van apparaten, mensen en dingen), supply chain en slimme contracten.
Nederlandse organisaties hebben grote interesse in opkomende algoritmen zoals ECC, Elliptic-curve cryptography (77 procent versus 59 procent gemiddeld). Er zijn ook technologieën waar veel over gepraat wordt, maar die op korte termijn niet op de radar van IT-organisaties staan. De meeste IT-professionals denken dat de algehele acceptatie van multi-party computation pas over ten minste vijf jaar zal plaatsvinden, de acceptatie van homomorfe encryptie over meer dan zes jaar en kwantumbestendige algoritmen over acht jaar.
Vertrouwen, integriteit en controle
Het gebruik van hardware security modules (HSM’s) blijft groeien: 48 procent van de respondenten zet HSM’s in om een fraudebestendige omgeving te bieden met een hoger niveau van vertrouwen, integriteit en controle − voor zowel gegevens als applicaties. Organisaties in Duitsland, de Verenigde Staten en het Midden-Oosten zetten het vaakst HSM’s in. Australië, Duitsland en de Verenigde Staten hechten het grootste belang aan HSM’s als onderdeel van de encryptie- of key management activiteiten van hun organisatie.
HSM-gebruik is niet langer beperkt tot traditionele use-cases zoals public key infrastructure (PKI), databases of applicatie- en netwerkencryptie (TLS/SSL). De vraag naar vertrouwde encryptie voor nieuwe digitale initiatieven heeft geleid tot een aanzienlijke groei van HSM voor encryptie van big data (tot zeventien procent), code signing (tot twaalf procent), IoT root of trust (tot tien procent) en document signing (tot zeven procent). Bovendien zegt 35 procent van de respondenten dat ze HSM’s gebruiken om toegang tot public cloud-applicaties te beveiligen. Nederlandse organisaties gebruiken HSM’s voor TLS/SSL het meest: 64 procent (versus 45 procent gemiddeld). Ook vinden zij HSM’s voor encryptie of key management belangrijker dan organisaties in andere landen.
De race naar de cloud
83 procent van de respondenten geeft aan dat ze gevoelige data naar de cloud brengen of van plan zijn dit binnen de komende rwaalf tot 24 maanden te doen. Organisaties in de Verenigde Staten, Brazilië, Duitsland, India en Zuid-Korea doen dit het vaakst.
Respondenten voorspellen dat er in de komende twaalf maanden een aanzienlijke toename zal zijn in het eigendom en de werking van HSM's om Bring Your Own Key (BYOK) te genereren en beheren. Ook verwachten ze een toename in integratie met een Cloud Access Security Broker (CASB) om sleutels en cryptografische bewerkingen te beheren. Uit het onderzoek bleek dat dit de belangrijkste cloud encryptie functies zijn: ondersteuning voor Key Management Interoperability Protocol (KMIP) (67 procent), integratie van security information en event management (SIEM) (62 procent), gedetailleerde toegangscontrole (60 procent) auditlogs voor sleutelgebruik (55 procent) en toegangsbeheer voor specifieke gebruikers (50 procent).
"Consumenten verwachten dat organisaties hun gegevens beschermen tegen inbreuken en het beste met hen voor hebben. Het onderzoek laat zien dat IT-leiders dit serieus nemen: de bescherming van klantgegevens wordt voor het eerst genoemd als de belangrijkste reden voor de groei van encryptie," zegt Dr. Larry Ponemon, voorzitter en oprichter van Ponemon Institute. "Het gebruik van encryptie is ongekend hoog: 48 procent van de respondenten zegt dat hun organisatie een encryptieplan heeft dat consistent wordt toegepast in de gehele organisatie, en nog eens 39 procent heeft een beperkt plan of een beperkte strategie die wordt toegepast op bepaalde applicaties en gegevenstypen."
"De impact van de huidige wereldwijde pandemie laat zien dat beveiliging en identiteit cruciaal zijn geworden voor organisaties en individuen, zowel op het werk als thuis, nu de wereld steeds digitaler wordt," zegt Paul van Hugte, VP Sales EMEA bij nCipher Security. "Organisaties staan onder constante druk om goede beveiliging en naadloze toegang te bieden – waarbij hun klantgegevens, bedrijfskritische informatie en applicaties beschermd worden en bedrijfscontinuïteit wordt gegarandeerd. nCipher helpt klanten door hen een zeer betrouwbare security foundation te bieden die de integriteit en betrouwbaarheid van hun gegevens, applicaties en intellectuele eigendom garandeert."
Andere belangrijke trends
Het aantal organisaties dat een enterprise encryptiestrategie heeft is het grootst in Duitsland (66 procent), de Verenigde Staten (66 procent), Zweden (62 procent), Hong Kong (60 procent), Nederland (56 procent) en het Verenigd Koninkrijk (54 procent). Betalingsgerelateerde gegevens (54 procent van de respondenten) en financiële gegevens (54 procent van de respondenten) worden het meest versleuteld. Het percentage van Nederlandse organisaties die betalingsgerelateerde gegevens versleutelen is aanzienlijk hoger, namelijk 80 procent. Het datatype dat niet routinematig door organisaties wordt versleuteld, is gezondheidsgerelateerde informatie (25 procent van de respondenten). Een verrassend resultaat, gezien de gevoeligheid van gezondheidsinformatie. De branche die op dit moment de grootste toename ziet in encryptie-gebruik is productie. Op dit moment zeggen respondenten uit de productie (49 procent), horeca (44 procent) en consumentenproducten (43 procent) encryptie-strategieën hebben voor de gehele organisatie. Dit ten opzichte van een gemiddelde in acht jaar van respectievelijk 30 procent, 32 procent en 29 procent.
Misschien net een andere discussie, maar het feit dat ondernemingen voor de Vpb-aangifte 2019 en eerdaags ook voor omzetbelasting verplicht zijn om van eHerkenning gebruik te maken, is in mijn ogen een kwalijke en bureaucratische stap. Had van een systeem gebruik gemaakt als Digid. Dat had een hoop papierwerk gescheeld.