Deelnemers IAPP PSR 2017 tonen aan dat gegevens alleen privé zijn als ze beveiligd zijn
Vorig jaar was GlobalSign voor het eerst aanwezig bij het congres International Association of Privacy Professionals (IAPP) Privacy Security Risk (PSR) over privacy, beveiliging en risico’s. Na het congres schreef ik deze blogpost over de manier waarop professionals op het gebied van beveiliging en privacy steeds nauwere banden met elkaar aangaan in hun gemeenschappelijke streven om gegevens veilig en privé houden. Security and Privacy Professionals Joining Forces (Professionals op het gebied van beveiliging en privacy bundelen de krachten).
Eind 2017 waren we opnieuw van de partij bij IAPP PSR voor het tweede achtereenvolgende jaar. We ontdekten al snel dat de relaties tussen professionals op het gebied van beveiliging en privacy steeds hechter worden. De oorzaak moet worden gezocht in de reeks van “sensationele” schendingen van bescherming van gegevens en de nieuwe en huidige regelgeving aangaande privacy. Het meest spraakmakende incident voor het evenement dit jaar was de schending bij Equifax en hoe iedereen probeert de GDPR van de Europese Unie die in mei 2018 van kracht wordt uit te werken.
In gesprekken tijdens het evenement werd al snel duidelijk dat organisaties die gegevensbescherming willen garanderen ook over de juiste beveiliging moeten beschikken. Deskundigen op het gebied van privacy vertelden ons dat zij bezig waren met een onderzoek naar de juiste beveiligingsoplossingen voor hun beveiligingsteams. En de beveiligingsprofessionals zochten naar meer beveiligingsmaatregelen om privacy te garanderen. Zelfs een gesprek met een bedrijfsjurist werd zeer technisch toen SSL/TLS-certificaten ter sprake kwamen en hoe webbeveiliging daarmee verbeterd kan worden.
Waarom? Niemand wil Equifax achterna.
De schending bij Equifax was niet alleen een van de opzienbarendste beveiligingsincidenten, maar ook lagen de gegevens van 150 miljoen klanten voor het grijpen, inclusief vertrouwelijke persoonsgegevens en betalingsgegevens. Daarom slaan de professionals van beveiliging en privacy nu de handen in elkaar. Blootstelling van dergelijke gegevens kan fataal zijn voor een hoop bedrijven – dergelijke publiciteit is funest voor de reputatie en de financiële situatie. GDPR in de EU is bedoeld om dit soort activiteiten en ook het misbruik van privé gegevens van burgers te stoppen door de juiste controlemechanismen toe te passen waaronder beveiligingstechnologie die toegangsregeling, verificatie en versleuteling garandeert.
Ieder bedrijf dat zaken doet in de EU moet zich houden aan de verordening met ingang van 25 mei 2018. Wanneer bedrijven moeite hebben om zich klaar te stomen voor GDPR is dat een kwestie van het ontbreken van concrete richtlijnen waar men op af kan gaan. GDPR schetst waarom persoonsgegevens beveiligd en privé moeten blijven en het belang daarvan, maar schrijft niet voor hoe dat moet gebeuren. Organisaties moeten dat zelf uitzoeken en dit vergt een gezamenlijke inspanning door experts op het gebied van privacy, beveiliging en juridische zaken om hier handen en voeten aan te geven.
Er loopt momenteel een onderzoek door regelgevende autoriteiten in het VK naar de schending van de beveiliging bij Equifax ruim voor de datum waarop GDPR van kracht wordt. De Financial Conduct Authority in het Verenigd Koninkrijk (de tegenhanger van de Autoriteit Financiële Markten) kan Equifax nu een boete opleggen. Onder GDPR kunnen de boetes nog hoger uitvallen als bedrijven schending van privégegevens mogelijk maken. Andere landen zullen zich ongetwijfeld nu ook op dergelijke boetes en maatregelen bezinnen. Geen enkele organisatie wil op dezelfde manier in de penarie komen en zoals velen aangaven tijdens de IAPP PSR, is er nog steeds een hoop werk te doen in verband met naleving van de GDPR.
De rol van IT-beveiliging bij privacy
Beveiliging is van essentieel belang om gegevens privé te houden. Gegevens moeten worden beveiligd bij opslag en bij verzending. Er zijn vele organisatorische lagen voor de beveiliging van gegevens in de IT-infrastructuur. Digitale certificaten spelen een cruciale rol bij sterkere verificatie, toegangsregeling en versleuteling. Een PKI-strategie voor het hele bedrijf dient te worden bekeken waarbij de levering van certificaten wordt geautomatiseerd, de certificaatcyclus wordt beheerd en geïntegreerd met de huidige IT-systemen. Hier zijn enkele van de beveiligingskwesties die je eenvoudig kan aanpakken met PKI:
- Web- en serverbeveiliging – versleuteling van interne en openbare servers en websites voor de beveiliging van de transacties van vertrouwelijke gegevens.
- Verificatie en toegangsregeling – maak wachtwoorden sterker met op certificaten gebaseerde verificatie, zodat alleen goedgekeurde personen, machines en apparaten toegang krijgen tot bedrijfsnetwerken en bronnen.
- Beveiligde e-mail – versleutel vertrouwelijke interne communicatie, bewijs de herkomst van de e-mail en voorkom geknoei en bedreigingen zoals phishing.
- Documentondertekening – vertrouwde digitale handtekeningen verhogen de beveiliging van het document en voorkomen dat iemand er mee knoeit.
Hoe begin je er nu aan?
Indien de privacy van gegevens bij jouw bedrijf voorop staan, ongeacht of je klaar bent voor GDPR, dan moet een IT-beveiligingsstrategie ook bovenaan het lijstje staan. We weten allemaal dat er verschillende leveranciers van technologie zijn en er verschillende lagen van IT-beveiliging bestaan voor de vele verschillende beveiligingsapplicaties. PKI is een steunpilaar waar iedere organisatie baat bij kan hebben.
Het op de cloud gebaseerde PKI-platform van GlobalSign biedt automatiserings-, beheer- en integratiemogelijkheden waarmee PKI eenvoudig kan worden toegevoegd zonder dat je een versleutelingsexpert hoeft te worden. Als je meer te weten wilt komen, neem je het best vandaag nog contact met ons op.