26-10-2013

Gökmen Kiremit, Avensus: 'Te weinig aandacht voor Key management is veiligheidsrisico'

Deel dit bericht

Security staat in naam hoog op de agenda bij veel organisaties. Maar in praktijk blijken veel bedrijven er ambivalent tegenover te staan, omdat de return op investeringen in veiligheid niet altijd goed zijn aan te tonen. Dat heeft onder meer effect op zaken die gepercipieerd worden als technisch, terwijl ze wel uitermate belangrijk zijn. Key management is zo’n kwestie.

Key management is een belangrijk thema voor Avensus, omdat het een cruciaal maar vaak nog onderbelicht onderdeel is van beveiligingsoplossingen. Een sector waar veel gebeurt op het gebied van security is de financiële –en verzekeringswereld, een belangrijke afnemer voor Avensus met een geheel eigen profiel. Gökmen Kiremit, Director | Security Services bij Avensus: "Het gaat om organisaties met een grote omvang, een hoog risicoprofiel en ze lopen voorop in het adopteren van nieuwe technologieën, zoals security controls."

"Key management, onderdeel van die controls, is in feite sleutelbeheer. In de kern gaat het om cryptografie, dus het versleutelen van data. Wanneer je die sleutels hebt, dan heb je de data in handen. En als je de sleutels weggooit ben je de data kwijt. In feite is er dus geen betere manier om data te vernietigen dan ze goed te versleutelen en de sleutels weg te gooien. Key management is dus het goed beheren van die sleutels."

"Dat beheer is onderdeel van een volledige lifecycle. Je moet bijvoorbeeld sleutels creëren, wat ondermeer betekent dat ze sterk genoeg moeten zijn. Daar zijn de juiste algoritmen voor nodig. De sleutels moet je dan op een veilige manier van A naar B brengen. Ze zijn gedurende een bepaalde periode geldig, en je moet ze weer kunnen intrekken als ze niet meer van toepassing zijn. Dus dat lifecycle management zit om het gebruik van cryptografie heen."

Wet- en regelgeving

Dit wordt steeds belangrijker. "Het gebruik van encryptie neemt hand over hand toe, en niet alleen in de financiële -en verzekeringswereld. We zien het eigenlijk overal waar informatie moet worden beschermd. Toezichthouders en de bijbehorende wet- en regelgeving spelen daar een belangrijke rol in. Een belangrijke factor bijvoorbeeld is de bescherming van persoonsgegevens. Je moet persoonsgegevens of creditcardgegevens te allen tijde beschermen."

"Als een instantie gehackt is en die informatie is op de straat terecht gekomen, dan is men verplicht daar aangifte van te doen. Maar die verplichting geldt niet als ze kunnen aantonen dat de data goed versleuteld is. Dan is het namelijk in de zin van de wet geen repliceerbare informatie. Het is versleuteld en iemand die de sleutel niet heeft, kan niets met die data. Er gebeurt veel op het gebied van wet- en regelgeving, ook op Europees niveau. De industrie maakt zelf bovendien compliancy regels. Dit alles zorgt ervoor dat het gebruik van encryptie hand over hand toeneemt."

Risico

Naarmate encryptie vaker wordt gebruikt neemt vanzelfsprekend ook het belang van key management toe. "Maar als je dat niet automatiseert en goed controleert dan loop je een risico. Wanneer het sleutelbeheer niet in orde is lekken sleutels weg, zijn ze verlopen of voldoen ze niet meer. Dat is wat je nu vaak ziet gebeuren. Om deze problematiek tegen te gaan werken wij samen met vooraanstaande technologieleverancier die dat lifecycle management hebben geautomatiseerd, zodat foutgevoelige en arbeidsintensieve activiteiten niet meer op papier hoeven te gebeuren."

Hoewel sleutelbeheer dus een belangrijk aspect is van de totale security is er in de praktijk relatief weinig aandacht voor. "Totdat er een incident plaatsvindt. Een veel gebruikt voorbeeld, maar nog steeds relevant, is Diginotar. Zij gaven certificaten uit voor de Nederlandse Staat, maar ze werden gecompromitteerd. Dat had grote gevolgen voor overheid en bedrijfsleven, die hun Diginotar certificaten allemaal moesten vervangen. Dat is een concreet voorbeeld dat laat zien hoe kwetsbaar dat hele systeem kan zijn."

Automatisering van beheer kan de risico's verminderen. "We werken met vooraanstaande technologieleveranciers om certificaten en keys geautomatiseerd te beheren. De informatie wordt centraal opgeslagen, en daar wordt vervolgens het lifecycle management aan toegevoegd. Je kunt de certificaten ook automatisch vernieuwen of vervangen."

Een hindernis voor sommige organisaties zijn de kosten. "Het kost in eerste instantie meer dan wanneer je niets doet. Dat is het eeuwige dilemma van security-oplossingen, ze lijken niets concreet op te leveren. Je merkt pas wat de echte kosten zijn als er wat gebeurt. Maar als de oplossing goed werkt weet je nooit precies waar het anders zou zijn misgegaan. Toch heeft de business belang bij een goede controle. Het is de uitdaging om organisaties het belang van die security controls te laten inzien. En dat is een dagelijkse worsteling. Nog steeds geldt helaas dat men vaak pas de put dempt als het kalf verdronken is."

Bedrijfsbelang

Ook daarom is de financiële –en verzekeringssector belangrijk als trendsetter op security-gebied. "Daar hebben ze specialisten in dienst die zich bezighouden met risicomanagement met IT-security als afgeleide. Grote banken kijken voortdurend naar de markt om te zien of ze nog iets missen. Wij hebben daarover regelmatig met hen overleg zoals onlangs weer tijdens het Avensus Kennis Event. En wat we leren op de financiële markt vertalen en gebruiken we voor andere industrieën."

"Het mooiste is wanneer we de link kunnen leggen naar het bedrijfsbelang, naar de business. Wanneer je op dat niveau een risicoanalyse uitvoert zie je al snel hoe waardevol het voor een bedrijf is, op basis van de factoren als beschikbaarheid, vertrouwelijkheid en integriteit. Dat zijn drie essentiële componenten van informatiebeveiliging. Uiteraard ontkom je er niet aan om bepaalde technische concepten te bespreken, maar het gaat uiteindelijk om het belang voor de hele organisatie."

 

Partners