Drie voorspellingen rondom bedrijfsbeveiliging

Cybersecurity in 2016 - voorspellingen van Erka Koivunen.

Auteur: Sanne
Datum: 05/02/2016
Leestijd: 5 Minuten

2016 is gestart en bedrijven maken zich klaar voor dit nieuwe jaar, ook op het gebied van beveiliging.

Erka Koivunen

F-Secure Cyber ​​Security Advisor Erka Koivunen is gespecialiseerd in het bestuderen hoe overheden en bedrijven hun gegevens kunnen beschermen. En Erka zegt dat een grote ontwikkeling is dat bedrijven klaar moeten zijn voor nieuwe regelgeving en discussies op het hoogste niveau over de toekomst van encryptie, maar aan de andere kant ook het omgaan met de gevolgen van lakse operationele veiligheid.

Hier is het deel dat je gek kan maken: de overheid stelt steeds strengere eisen aan de particuliere sector om de privacy van consumenten te waarborgen, terwijl zij zelf steeds meer toegang wil hebben tot diezelfde data. Het is een ironie die is opgelegd door de wet – dus het is wijsheid om deze paradox te accepteren en jezelf voor te bereiden op de toenemende vraag van overheden, zelfs als de eisen zelf elkaar tegenspreken.

“Hervorming van wetgeving zal de dominante veiligheidsuitdaging van 2016 zijn”

De toekomst van de end-to-end encryptie is een hot topic op dit moment. Sommige regeringen zetten druk op bedrijven om technische oplossingen te creëren die hen toestaan ​​om versleutelde communicatie te monitoren. De discussie gaat niet over de vraag of het gebruik van cryptografische technieken moet worden verboden, maar over de vraag of commerciële producten zo moeten worden ontworpen dat overheden via een achterdeur altijd toegang kunnen hebben tot gegevens.

Als bijvoorbeeld de Amerikaanse en Britse regeringen het voor het zeggen zouden hebben, zouden sommige bedrijven mogelijk gedwongen worden om hun bedrijfsmodel aan te passen om te voldoen aan de overheidseisen voor de toegang tot gegevens. Messaging producten zoals iMessage, Signal en WhatsApp zijn vooral gebruikt als voorbeeld van een product om te beschermen voor je eigen bestwil. Aan de andere kant: Facebook Messenger en Twitter Direct Messages zouden – door de manier waarop ze zijn ontworpen- al voldoen aan deze eisen.

Een groep van een aantal van ’s werelds grootste tech bedrijven, waaronder Apple, hebben publiekelijk hun verzet geuit tegen het idee dat de verzwakking van encryptie in het belang van het publiek zou zijn. Hun woorden zijn gesteund door de ’s werelds meest gerespecteerde cryptografie onderzoekers.

Inbreuk maken op encryptie is een bedreiging voor bedrijven, omdat het hen vraagt om persoonlijke gegevens te behandelen- en dat is een zware aansprakelijkheid voor bedrijven. Ze zouden systemen moeten ontwikkelen om dit veilig te doen. En gezien het toenemende aantal en de ernst van de inbreuken op gegevens over het afgelopen jaar, is dat een verantwoordelijkheid die bedrijven niet alleen aankunnen.

“Wetgeving als deze stelt mensen bloot aan meer bedreigingen dan dat het hen zal beschermen. Dus het gaat om vele veiligheidsmaatregelen die we voor lief nemen zonder dat het echt voordelen oplevert”, zei Koivunen. Aandringen van de belangrijkste inlichtingendiensten om massaal toegang te krijgen tot privégegevens en communicatie (in plaats van gerichte toegang tot specifieke gegevens) klinkt ook niet erg aantrekkelijk. “Bedrijven willen end-to-end encryptie bieden omdat het hen, hun partners en hun klanten beschermt.  Het openen van een achterdeur voor één regering zal uiteindelijk leiden tot buitenlandse inlichtingendiensten, corporate saboteurs en misdadigers die binnen kunnen sluipen. Ik verwacht dit jaar een fel debat rondom dit onderwerp door de verschillende stakeholders. “

“De verplichte rapportage-eisen geregeld in Europese wetgeving zorgen voor een grote verandering in aansprakelijkheid  en cyber security.”

Regeringen eisen via achterdeuren toegang te krijgen tot gegevens. Tegelijkertijd worden ze ook wakker dat bedrijven in toenemende mate doelwit zijn voor aanvallen. Het klinkt misschien tegenstrijdig, totdat men zich realiseert dat regeringen vele stemmen spreken, met name in de EU.

Tot nu toe werden in Europa de kosten van de aanvallen op persoonsgegevens maar al te vaak doorgegeven aan individuen en eindgebruikers. In de EU zijn deze zorgen vertaald in nieuwe regelgeving (in het bijzonder, the General Data Protection Regulation en de Network and Information Systems richtlijn), die richtlijnen afgeeft voor cyberveiligheid en behandelen van persoonlijke data voor bedrijven die actief zijn in Europa, inclusief welke stappen moeten worden gevolgd in het geval van een inbreuk.

Financiële sancties zullen worden gestandaardiseerd en het melden van veiligheidsincidenten wordt verplicht. Dus er is geen gemakkelijke uitweg of de mogelijkheid voor bedrijven om beveiligingslekken te  verdoezelen, waardoor het beveiligen van de gegevens veel belangrijker wordt.

“Bedrijven die deel uitmaken van een data-supply chain zullen een kostenverzwaring voelen, maar dit zal een druppel op een gloeiende plaat zijn in vergelijking met wat kan gebeuren als ze niet voldoen aan de wetgeving,” zei Koivunen. Bedrijven zullen moeten beginnen om zich aan te passen aan de nieuwe realiteit in 2016. ” Eerder schreven we een artikel met 10 tips om klaar te zijn voor deze nieuwe wetgeving. Organisaties die een datalek ten onrechte niet melden riskeren een hoge boete, die kan oplopen tot 820.000 euro.

“Overheden zullen geen gevoel voor ironie ontwikkelen.”

Regeringen willen dat je klantgegevens beschermd tegen iedereen, behalve tegen zichzelf.

De Verenigde Staten, het Verenigd Koninkrijk en Frankrijk zijn slechts een paar van de landen die ‘on-demand’ toegang tot ieders privé-communicatie en persoonlijke gegevens willen. Tegelijkertijd vragen ze service-providers om aansprakelijkheid te aanvaarden voor het waarborgen van “privacy by default”, zoals ze zeggen in de EU.

“Overheden eisen dat bedrijven de cyberbescherming verbeteren als gevolg van bedreigingen van online criminaliteit en buitenlandse regeringen,” zei Koivunen. “Terwijl ze op hetzelfde moment ofwel regelrecht inbreken in dezelfde bedrijven of hen dwingen om een achterdeur open te stellen.”

Misschien is het gemak waarmee overheden bedrijven binnendringen wel wat hen zo achterdochtig maakt. Dat is een enge gedachte. Maar de waarheid is nog erger.

“Overheden hebben geen gevoel voor ironie,” zei Koivunen.

Eisen worden niet tegen elkaar afgewogen, omdat regeringen niet opgezet zijn om concurrerende behoeften tegen elkaar af te wegen. Tenminste, niet als het gaat om het beveiligen van digitale eigendommen.

“Als mensen die bij de overheid werken een stap terug doen, kunnen ze duidelijk zien dat wat ze vragen bipolair is”, zegt Koivunen als ex-lid van het Finse CERT-team. “Het probleem is dat overheden en hun mandaten gecompartimenteerd zijn. De regering bestaat ​​in diepe silo’s. Mensen die zich bezig houden met gegevensbescherming praten nauwelijks met mensen van de inlichtingendienst.

Dit zal ook in 2016 voor uitdagingen zorgen.

Meer lezen? Bekijk het interview met Sean Sullivan over online threats.


Post Comment

Vul je gegevens in of klik op een icoon om in te loggen.

WordPress.com logo

Je reageert onder je WordPress.com account. Log uit / Bijwerken )

Twitter-afbeelding

Je reageert onder je Twitter account. Log uit / Bijwerken )

Facebook foto

Je reageert onder je Facebook account. Log uit / Bijwerken )

Google+ photo

Je reageert onder je Google+ account. Log uit / Bijwerken )

Verbinden met %s