Zoeken
Winkelmandje
Categorieën
 Naar overzicht

Databeveiliging voorkomt rampzalige gevolgen voor je organisatie

Databeveiliging is een essentieel proces om je digitale gegevens te beschermen. Het is vandaag de dag super belangrijk om ongeautoriseerde toegang en dataverlies te voorkomen.

Datalekken en datadiefstal kunnen verstrekkende gevolgen hebben voor een organisatie. We zien steeds vaker torenhoge boetes voor bijvoorbeeld het onvoldoende beveiligen van persoonsgegevens, maar ook de gehele strategie van een bedrijf kan om zeep worden geholpen als de concurrentie belangrijke informatie in handen krijgt. Om nog maar niet te spreken over de schade die individuele personen mogelijk lijden doordat hun gegevens op straat komen te liggen. Op deze pagina lees je meer over software encryptie, versleutelen en versleuteling van data en over belangrijke certificeringen.

Waarom databeveiliging?

Door de digitale transformatie worden data en applicaties steeds belangrijker en groter. Bovendien worden deze ook steeds kwetsbaarder zo lang je de beveiliging van data niet onder controle hebt. Er worden meestal bedrijfsgevoelige én persoonlijke gegevens vastgelegd. Als organisatie ben je volgens de AVG (ook wel GDPR) verplicht om deze laatste afdoende te beschermen.

Dat databeveiliging belangrijk is voor je organisatie mag duidelijk zijn. De cijfers omtrent dataverlies door cyberdreigingen zijn explosief gestegen. Denk hierbij aan dataverlies door technische storingen, menselijke fouten en door cyberaanvallen, zoals:

Waarom is encryptie alleen niet voldoende?

Dit heeft alles te maken met dat encryptie alleen de schil is van een datablok. Als de datablokken en/of authenticatie processen niet in orde zijn, dan kan de data nog steeds via een omweg benaderd worden.

Advies: hardwarematige symmetrische AES encryptie

We adviseren een hardwarematige symmetrische AES cryptografie met een minimale sleutellengte van 256-bits. Verder kun je denken aan beveiligde datablokken in CBC (Cipher block chaining) of XTS (ciphertext stealing) mode. In tegenstelling tot zwakke softwarematige encryptie bieden de datablokken met hardwarematige encryptie juist wél bescherming op de datablokken.

Bij systemen met encryptie op een harde schijf of USB-stick staat deze volledig uit tijdens het gebruik hiervan. Daarom wordt encryptie ook DAR (Data-At-Rest) genoemd. De geheime sleutels bij de autorisaties dienen ook goed afgeschermd te zijn. Hashing en salting zijn technieken die geen garantie bieden. Bovendien kan je hashes en wachtwoorden al eenvoudig kraken met rainbow table en BitCracker applicaties.

We adviseren daarom een hardwarematige versleuteling (AES-256 bits) waarvan de geheime DEK (Data Encryptie Key) sleutel is voorzien van een zogenoemde “Always-On” encryptie. Dit in combinatie met een Random Key generator waarbij de geheime sleutels extern worden opgeslagen en uitgewisseld (niet via het standaard RAM of CPU van het betreffende computersysteem) middels een smartcard of een USB-token.

Certificering van data security

Voor beveiligde data is een FIPS certificering vaak voldoende. Dat betekent echter dat alle verdedigingsmechanismen publiekelijk op de Amerikaans NIST website worden beschreven. Dit betekent ook dat er mogelijk ook andere aanvalsoppervlakken ofwel achterdeurtjes zijn om de databeveiliging te doorbreken. Hackers hebben immers inzicht in de verdedigingsmechanismen die worden ingezet. 

Een stap verder is een nationale pen test certificaat. Hier worden gedurende een paar weken aanvalstechnieken opgelaten en een verslag wordt uitgegeven. Dit kan positief of negatief uitvallen. Hiermee kan je binnen een paar maanden wel aantonen dat deze producten een test hebben ondergaan door een nationale security bedrijf waarna in Nederland bijvoorbeeld een BSPA certificaat wordt gegeven.

De kosten voor dit onderzoek liggen al gauw tussen de € 25.000 en € 100.000. De kosten zijn afhankelijk van welke aanvalsoppervlakken worden uitgevoerd met daarbij behorende certificering denk hierbij aan BSPA certificering of nog een zwaardere certificering van EAL5+ of hoger.

Nationale certificering

Dit zijn nationale onderzoeken die verder gaan dan alleen pen testen. Elke bit wordt als het ware omgekeerd en uitgebreid gedocumenteerd. In Nederland kennen we deze rubriceringsniveaus:

  • Departemaal Vertrouwelijk
  • Confidentieel
  • Geheim
  • Zeer Geheim

Hoe hoger de certificering, hoe langer een nationale certificering duurt. Daarnaast zullen bij een hogere certificering ook strikte eisen worden gesteld aan bijvoorbeeld:

  • Product
  • Technische documentatie
  • Technische ontwikkeling en herontwikkeling
  • Eisen aan alle productieomgevingen
  • Eisen aan nieuwe innovaties. Nieuwe updates dienen eerst worden overlegd met de organisatie die het product heeft geëvalueerd
  • Eisen aan alle medewerkers van de ontwikkelaar en daarbij behorende productielijnen
  • Het sleutelbeheer, -proces en -distributie
  • Order proces

De voordelen van nationale certificering is dat de landen die dit laten uitvoeren het gevoel en vertrouwen hebben dat de databeveiliging van een product aan bepaalde rubriceringsniveaus en eisen voldoet. Deze onderzoeken gaan veel verder dan alleen pen testen. De technische documentatie staat niet online en mochten er toch kwetsbaarheden zijn, dan dienen deze ook middels een software/firmware update opgelost te worden. Je kan stellen dat dit soort nationale certificeringen ook hoge mate van zekerheid hebben binnen de overheid.

Verschillen tussen hardware en software encryptie

  • Met software encryptie zonder datablok protectie kan een header uit een datablok uitgelezen worden. Denk er hierbij aan dat een geheim bestand (bijvoorbeeld een PDF bestand) in zijn geheel kan worden uitgelezen
  • Softwarematige versleuteling biedt geen weerstand tegen brute-force + password rewind aanvallen
  • Software disk encryptie via een TPM 2.0 chip zorgt er ook voor dat alle uitgaande data als plain text wordt weergegeven inclusief de decryptie sleutel. Daarnaast zijn bepaalde TMP 2.0 chipsets ook kwetsbaar tegen Factorization aanvallen.
  • Daarnaast kan je je afvragen hoe de geheime sleutels bij softwarematige encryptie worden uitgewisseld. Via het RAM geheugen van de computer kan deze nog achterhaald worden door de juiste side-channel aanval. Goede software encryptie kan men herkennen aan dat het RAM geheugen wordt gewist voordat de computer uitgaat. Dit kan in de praktijk een paar minuten duren en is geen gebruiksvriendelijk proces voor medewerkers binnen de organisatie.
  • Hardware encryptie vereist geen onderhoud en werkt naadloos na elke systeemupdate. Dit in tegenstelling tot software encryptie wat vaak problemen oplevert en waarbij onnodige IT kosten worden gemaakt.

COVID-19 geeft aan hoe kwetsbaar data is

Sinds COVID-19 werken veel medewerkers vanuit huis. Hierdoor verandert ook het aanvalsoppervlak door cybercriminelen waarbij het aantal cyberincidenten met gemiddeld 30% is gestegen.

Bekende voorbeelden hiervan zijn:

Kwetsbare applicaties installeren door medewerkers: doordat medewerkers eigen applicaties gaan installeren op hun eigen werkcomputers (denk hierbij aan het concept “Bring Your Own Devices”) zijn de risico’s en kwetsbaarheden niet te overzien. Door niet goedgekeurde applicaties te installeren worden de bedrijfsapplicaties en gevoelige data blootgesteld aan kwetsbaarheden.

Oplossing: geef thuisgebruikers geen beheerdersrechten om applicaties te installeren en breng hen op de hoogte van de digitale gevaren. Organisaties hoeven geen dure desktops of laptops aan te schaffen. Een beveiligde bootable Windows USB-stick volstaat ook om op een eenvoudige en kostenbesparende manier een volledige werkomgeving in te richten.

Kwetsbare VPN verbindingen: thuisgebruikers maken nog gebruik van traditionele VPN verbindingen. VPN verbindingen zijn verouderd en hierdoor kwetsbaar voor zero-day aanvallen. Bovendien geven VPN verbindingen volledig netwerktoegang nadat de tunnel is opgezet. Daarnaast werkt de multi-factor authenticatie (MFA) ook niet nadat de tunnel is opgezet. Meer informatie over kwetsbaarheden van VPN lees je in onze blog:

Zero-day aanval voorkomen met Zero Trust? Dé oplossing voor Veilig Thuiswerken

Oplossing: verdedig je tegen zero-day aanvallen en optimaliseer je huidige VPN óf vervang deze met ’s werelds meest vriendelijke Zero Trust oplossing van ZoneZero Software Defined Parameter (SDP). Bovendien werkt deze oplossing naadloos in elk complex netwerk: of het nu in de cloud of on-prem is.

Kwetsbare e-mail en management software zoals Exchange, SolarWinds en Kaseya: deze aanvallen hebben wereldwijd grote impact gehad. Door de kritieke systemen, applicaties en protocollen te voorzien van een extra MFA authenticatie laag hadden deze aanvalsoppervlakken voorkomen kunnen worden. Kortom dan was de impact niet zo groot geweest. Meer weten over deze kwetsbaarheden en aanvalstechnieken? Lees onze onderstaande blogs:

Supply Chain Attack zoals SolarWinds Orion voorkomen?

Ook de Exchange Marauder hack had voorkomen kunnen worden

Waarom cyberaanvallen steeds succesvoller zijn en hoe jij je er met 2 uitstekende oplossingen tegen wapent

Oplossing: gebruik een meerlaags endpoint beveiliging van ESET en moderniseer je hele netwerk, applicaties en protocollen met onze Zero Trust oplossing van ZoneZero.

Kwetsbaarheid door menselijke fouten: doordat het aantal phishing aanvallen ook flink is gestegen, kan één verkeerde muisklik grote gevolgen hebben voor een organisatie. Malware kan hierdoor worden geïnstalleerd en de hacker zit binnen het netwerk en kan dan voor lange tijd ongezien en ongestoord te werk gaan. Daarnaast worden ransomware aanvallen door deze hack binnen een netwerk ook steeds geavanceerder. Meer informatie over ransomware vind je in onze kennisbank:

De ultieme voorbereiding tegen Ransomware

Oplossing: gebruik een meerlaags endpoint beveiliging van ESET en moderniseer je netwerk, applicaties en protocollen met ZoneZero. Maak dagelijks back-ups en controleer of deze goed werken.

Helemaal voorkomen van ransomware is (nog) niet mogelijk. Als je elke medewerker goed blijft informeren over de gevaren van het klikken en openen van e-mails en bestanden, dan kun je dit voorkomen.

Kwetsbaarheid door criminele activiteiten: het moedwillig verwerken of doorverkopen van illegale persoonsgegevens door eigen medewerkers. Bekende voorbeelden hiervan zijn GGD GHOR uit Amsterdam en de Belastingdienst.

Oplossing: met ZoneZero behoud je de controle over de authenticatie en kan je daarnaast audits uitvoeren. Hiermee handhaaf je niet alleen de beleidsregels binnen de organisatie, maar voldoe je ook aan de wet- en regelgeving van de Algemene Verordening Gegevensbescherming (AVG/GDPR).

Beveiliging van data

Het is 5 voor 12. Zorg dat je data beveiliging op orde krijgt. Wees op tijd en begin dus, desnoods stap voor stap, met het investeren in databeveiliging. Organisaties dienen te voldoen aan de AVG-wetgeving en bij incidenten voorkom je torenhoge boetes (tot 4% van de wereldomzet) en onschatbare reputatieschade. Bij een ransomware aanval kunnen jouw IT kosten voor een lang onderzoek (~8 weken) heel hoog oplopen. Hierna kan ook nog eens een boete volgen vanuit Autoriteit Persoonsgegevens (AP) en de opgelopen reputatieschade is niet in bedragen uit te drukken. Tot slot willen jouw klanten juist graag zaken met je doen als je databeveiliging op orde hebt.

Hart 4 Technology maakt optimale databeveiliging mogelijk

Gegevens en bestanden beveiligen en je bedrijfsnetwerk beschermen tegen indringers? Neem contact op met Hart 4 Technology. Onze medewerkers staan voor je klaar om je te adviseren over de beveiliging van jouw bedrijfsdata.