Optimale beveiliging door strikt sleutel- en certificaatmanagement

Encryptie staat momenteel volop in de belangstelling. De snelgroeiende stroom sterk versleutelde data stelt overheden en meer in het bijzonder veiligheidsdiensten voor grote problemen. Tegelijkertijd waarborgt optimale encryptie de beveiliging van bedrijfsprocessen en de privacy van burgers. Een gesprek met Craig Stewart, vice president EMEA van Venafi, over deze problematiek en welke oplossingen er mogelijk zijn.

Recentelijk probeerde de FBI in de VS de versleuteling van de iPhone 5c ongedaan te maken. En in Nederland pleitte AIVD-chef Rob Bertholee ervoor dat zijn dienst versleuteling van chatapplicaties als WhatsApp  en Telegram altijd ongedaan zou moeten kunnen maken, ongeacht de implicaties voor de privacy van gebruikers. Twee voorbeelden waaruit blijkt dat encryptie, met als doel veiligheid en privacy te garanderen, onder druk staat en waardoor ook bedrijven worden gedwongen na te denken hoe hiermee om te gaan.

Encryptie en privacy

• Craig Stewart
• Craig Stewart staat met Venafi middenin deze problematiek. ‘De technologische ontwikkelingen op dit terrein gaan snel’, stelt hij vast. ‘Versleuteling wordt daardoor steeds eenvoudiger en goedkoper. Een goed voorbeeld hiervan is de encryptie van WhatsApp, waardoor de privacy van gebruikers gewaarborgd wordt. Individuen die deze technologie ter beschikking hebben zullen overheden daarom altijd een stap voor blijven.’
• In de door overheden aangezwengelde discussie om toch toegang te kunnen krijgen tot versleutelde communicatie wordt steeds vaker geopperd om leveranciers te verplichten zogenaamde backdoors in hun programma’s te laten inbouwen. ‘Het probleem hiermee is dat als je die mogelijkheid biedt, je er niet zeker van kunt zijn dat jouw gegevens alleen bij die “goede” partij blijven. Met alle gevolgen van dien als ze in handen vallen van bijvoorbeeld hackers’, waarschuwt Stewart. Hij vervolgt: ‘Backdoors maken systemen bovendien kwetsbaarder. Want hoe meer partijen toegang hebben tot de encryptietechnologie, des te meer manieren er zijn om ze te compromitteren. En de meeste security incidenten vandaag de dag worden veroorzaakt door niet-vertrouwde sleutels of certificaten. Een bekend voorbeeld is Stuxnet, waar een gestolen certificaat aan de basis lag. Of neem de PRISM affaire, waarbij Edward Snowden met gestolen sleutels werkte. Als je in dit soort incidenten gaat speuren, is er bijna altijd een link met encryptie, sleutels en certificaten.’

Deze discussie stelt ook bedrijven voor de vraag hoe met deze problematiek om te gaan? Want wat betekent het als de IT-afdeling van een bedrijf het versleutelde verkeer van werknemers zou inkijken? Stewart: ‘Ik heb zo’n discussie weleens meegemaakt, waarbij een advocaat dit gelijkstelde aan het inbreken bij een werknemer thuis. Maar anderzijds, wat als het bedrijf dit verkeer niet inspecteert en beveiligt en een werknemer begaat een illegale daad tijdens zijn werk, heeft het bedrijf dan niet de plicht dit te stoppen? Immers, anders voldoet het niet aan zijn zorgplicht en kan het gevolgen hebben voor de bedrijfsreputatie.’ Er zijn volgens Stewart in deze discussie dan ook geen zwart-wit antwoorden te geven, zoals dat meestal opgaat voor security vraagstukken.

Snelle groei

Een ander aandachtspunt voor bedrijven is de huidige snelle groei van versleutelde data. Stewart: ‘Kijk je naar de normale bedrijfsprocessen, dan is ongeveer de helft van het dataverkeer versleuteld. Een paar jaar geleden was dat nog slechts 30 procent, en de verwachting is dat dit percentage de komende tijd zal stijgen naar 80 tot 90 procent. Dat zal een enorme impact hebben, omdat de meeste security systemen die momenteel door bedrijven worden gebruikt niet kunnen onderscheiden welke sleutels en certificaten te vertrouwen zijn en daardoor niet in staat zijn het versleutelde netwerkverkeer te inspecteren. Met alle security risico’s van dien.’ Gevraagd naar hoe bedrijven zich hiertegen kunnen wapenen, ziet Stewart de oplossing met name in het strikt managen van de sleutels en certificaten die gebruikt worden.

Onvoldoende bewustzijn

Het is volgens Stewart daarbij van belang dat bedrijven gebruik gaan maken van betere encryptiestandaarden. De migratie van de tot nu toe gangbare SHA-1 standaard naar de nieuwe standaard SHA-2 is daarom essentieel, mede onder invloed van de toename van cloud computing en omdat het steeds eenvoudiger wordt om SHA-1 certificaten te kraken. ‘Die migratie is belangrijk voor een betere beveiliging van het dataverkeer en wij helpen onze klanten hierbij. Tegelijkertijd constateer ik dat in veel bedrijven dit probleem nog niet de aandacht krijgt die het volgens mij wel zou moeten hebben. De oorzaak hiervan is dat er duidelijk sprake is van onvoldoende bewustzijn.’

Platform

Sinds zijn start bij Venafi in januari van dit jaar heeft Stewart al veel klanten in de Benelux gesproken. In deze gesprekken werd hij bevestigd in deze constatering. ‘Natuurlijk, het risicobewustzijn neemt als gevolg van de reeks recente incidenten langzaam toe. Maar we hebben volgens mij nog een lange weg te gaan.’ Hij vervolgt: ‘En daarin willen wij als Venafi een rol spelen. Bijvoorbeeld door met CIO’s en CISO’s in gesprek te gaan en ze bewust te maken van de gevolgen voor hun bedrijf als ze de beveiliging en het management van sleutels en certificaten niet op orde hebben.’ Daarbij helpt het volgens hem dat het onderwerp security en de daarmee samenhangende risico’s voor het bedrijfsimago en de bedrijfscontinuïteit ook steeds vaker in audits – zowel van de Big 4, als bij interne audits – worden opgenomen, waardoor de problematiek op het niveau van de Raad van Bestuur komt, daar besproken wordt en bestuurders zich bewust worden van het belang van een goede security.’

Dit zou wat Stewart betreft moeten resulteren in een overall security strategie voor het bedrijf, waarbij gebruik wordt gemaakt van een platform om sleutels en certificaten strikt te managen, niet-vertrouwde varianten te ontdekken, en deze indien nodig te repareren. ‘Dat is wat Venafi biedt met bijvoorbeeld het Immune System for the Internet, waarmee onze klanten een optimale beveiliging kunnen bereiken.’

Global 5000

Stewart erkent dat zo’n oplossing niet is weggelegd voor elk bedrijf. ‘Wij richten ons daarom op de zogenaamde Global 5000 bedrijven, waarvan er ongeveer 2000 in Europa actief zijn.’

Sectoren waarop Venafi focust zijn Finance & Banking, Verzekeringen, Telecom, Energie, en Transport & Luchtvaart. ‘Onze belangrijkste vertical is Finance & Banking. Bedrijven en instellingen in deze sector hebben namelijk te maken met veel strenge compliance regelgeving, waardoor security voor hen van enorm belang is’, aldus Stewart.

Groei

Over de kansen en mogelijkheden voor Venafi in de Benelux is de vice president optimistisch. Inmiddels heeft hij een salesteam samengesteld, zijn er samenwerkingsovereenkomsten gesloten met system integrators en resellers, en zijn de eerste grote klanten binnen. ‘Dit gaan we nu zo snel mogelijk uitbouwen. We willen het komende jaar ons marktaandeel in de Benelux minimaal verdubbelen’, sluit een ambitieuze Stewart af.

Arjen de Kort is freelance journalist