Encryptie in crisis: Britse bedrijven worden geconfronteerd met een beveiligingsschok onder de voorgestelde hervorming van de Investigatory Powers Act
Inhoudsopgave:
De Britse regering streeft naar wijzigingen in de Investigatory Powers Act, het internet snooping regime, waardoor rechtshandhavings- en veiligheidsdiensten de end-to-end encryptie van cloud providers kunnen omzeilen en gemakkelijker en met een grotere reikwijdte toegang krijgen tot privécommunicatie. De regering beweert dat de wijzigingen in het belang van het publiek zijn, aangezien cybercriminaliteit uit de hand loopt en de vijanden van Groot-Brittannië hun burgers willen bespioneren.
Veiligheidsexperts denken er echter anders over en stellen dat de amendementen encryptie-achterdeurtjes creëren waarmee cybercriminelen en andere kwaadwillende partijen de gegevens van nietsvermoedende gebruikers kunnen misbruiken. Ze dringen er bij bedrijven op aan om encryptie in eigen hand te nemen om hun klanten en hun reputatie te beschermen, aangezien de clouddiensten waarop ze vroeger vertrouwden niet langer vrij zijn van overheidsspionage. Dit blijkt uit Apple's besluit om te stoppen met het aanbieden van zijn Advanced Data Protection-tool in Groot-Brittannië na eisen van Britse wetgevers voor backdoor-toegang tot gegevens, ondanks het feit dat de in Cupertino gevestigde techgigant er niet eens toegang toe heeft.
Verbetering van de openbare veiligheid
De overheid hoopt de openbare veiligheid en de nationale veiligheid te verbeteren door deze veranderingen door te voeren. Dit komt doordat het toegenomen gebruik en de verfijning van end-to-end encryptie het onderscheppen en monitoren van communicatie moeilijker maakt voor handhavings- en inlichtingendiensten. Politici beweren dat dit de autoriteiten ervan weerhoudt hun werk te doen en criminelen in staat stelt om weg te komen met hun misdaden, wat het land en zijn bevolking in gevaar brengt.
Matt Aldridge, Principal Solutions Consultant bij OpenText Security, legt uit dat de overheid dit probleem wil aanpakken door de politie en inlichtingendiensten meer bevoegdheden en mogelijkheden te geven om technologiebedrijven te dwingen end-to-end-encryptie te omzeilen of uit te schakelen als ze een misdrijf vermoeden.
Op die manier konden onderzoekers toegang krijgen tot de ruwe data die techbedrijven in handen hebben. Ze konden deze informatie vervolgens gebruiken om hun onderzoeken te ondersteunen en uiteindelijk criminaliteit aan te pakken.
Alridge vertelt ISMS.online: “Het argument is dat Britse burgers zonder deze extra mogelijkheid om toegang te krijgen tot gecodeerde communicatie of data, meer blootgesteld zullen worden aan criminele en spionageactiviteiten, omdat autoriteiten geen gebruik kunnen maken van signaalintelligentie en forensisch onderzoek om cruciaal bewijs te verzamelen in dergelijke gevallen.”
De overheid probeert criminelen en andere dreigingsactoren bij te houden door middel van uitgebreide bevoegdheden om data te snuffelen, zegt Conor Agnew, hoofd van compliance operations bij Closed Door Security. Hij zegt dat er zelfs stappen worden ondernomen om bedrijven onder druk te zetten om backdoors in hun software te bouwen, waardoor ambtenaren toegang kunnen krijgen tot de gegevens van gebruikers wanneer ze dat willen. Een dergelijke stap riskeert "het gebruik van end-to-end encryptie te verwerpen".
Grote gevolgen voor bedrijven
Hoe de overheid haar besluit om de IPA aan te passen ook probeert te rechtvaardigen, de wijzigingen vormen een grote uitdaging voor organisaties bij het handhaven van de gegevensbeveiliging, het naleven van wettelijke verplichtingen en het tevreden houden van klanten.
Jordan Schroeder, managing CISO van Barrièrenetwerkenbetoogt dat het minimaliseren van end-to-end-encryptie voor staatstoezicht en onderzoeksdoeleinden een “systematische zwakte” zal creëren die kan worden misbruikt door cybercriminelen, natiestaten en kwaadwillende insiders.
"Het verzwakken van encryptie vermindert inherent de beveiliging en privacybeschermingen waar gebruikers op vertrouwen", zegt hij. "Dit vormt een directe uitdaging voor bedrijven, met name die in de financiële, gezondheidszorg- en juridische dienstverlening, die afhankelijk zijn van sterke encryptie om gevoelige klantgegevens te beschermen.
Aldridge van OpenText Security is het ermee eens dat de overheid, door mechanismen te introduceren om end-to-end encryptie te compromitteren, bedrijven "enorm kwetsbaar" maakt voor zowel opzettelijke als onopzettelijke cyberbeveiligingsproblemen. Dit zal leiden tot een "enorme afname van de zekerheid met betrekking tot de vertrouwelijkheid en integriteit van gegevens".
Om te voldoen aan deze nieuwe regels, waarschuwt Aldridge dat technologiedienstverleners mogelijk gedwongen worden om essentiële beveiligingspatches achter te houden of uit te stellen. Hij voegt toe dat dit cybercriminelen meer tijd zou geven om ongepatchte cyberbeveiligingskwetsbaarheden te exploiteren.
Alridge verwacht daarom een “nettoreductie” in de cybersecurity van techbedrijven die in het VK opereren en hun gebruikers. Maar vanwege de onderlinge verbondenheid van technologische diensten, zegt hij dat deze risico’s ook andere landen dan het VK kunnen treffen.
Door de overheid opgelegde beveiligingsachterpoortjes kunnen ook economisch schadelijk zijn voor Groot-Brittannië.
Agnew van Gesloten deurbeveiliging zegt dat internationale bedrijven hun activiteiten uit het Verenigd Koninkrijk kunnen terugtrekken als ‘juridische overmacht’ hen ervan weerhoudt gebruikersgegevens te beschermen.
Zonder toegang tot mainstream end-to-end gecodeerde services, gelooft Agnew dat veel mensen zich tot het dark web zullen wenden om zichzelf te beschermen tegen toegenomen staatstoezicht. Hij zegt dat toegenomen gebruik van ongereguleerde dataopslag gebruikers alleen maar meer risico zal opleveren en criminelen ten goede zal komen, waardoor de veranderingen van de overheid nutteloos worden.
Het beperken van deze risico's
Onder een repressiever IPA-regime lopen encryptie-backdoors het risico de norm te worden. Mocht dit gebeuren, dan hebben organisaties geen andere keuze dan ingrijpende veranderingen door te voeren in hun cybersecurity-houding.
Volgens Schroeder van BarrièrenetwerkenDe belangrijkste stap is een culturele en mentaliteitsverandering waarbij bedrijven er niet langer vanuit gaan dat technologieleveranciers over de capaciteiten beschikken om hun gegevens te beschermen.
Hij legt uit: “Waar bedrijven vroeger vertrouwden op aanbieders als Apple of WhatsApp om E2EE te garanderen, moeten ze er nu vanuit gaan dat deze platforms incidenteel gecompromitteerd zijn en verantwoordelijkheid nemen voor hun eigen encryptiepraktijken.”
Zonder adequate bescherming van technologische dienstverleners, dringt Schroeder erop aan dat bedrijven onafhankelijke, zelfgecontroleerde encryptiesystemen gebruiken om de privacy van hun gegevens te verbeteren.
Er zijn een paar manieren om dit te doen. Schroeder zegt dat een optie is om gevoelige data te versleutelen voordat deze naar systemen van derden wordt overgebracht. Op die manier worden data beschermd als het hostplatform wordt gehackt.
Organisaties kunnen ook open-source, gedecentraliseerde systemen gebruiken zonder door de overheid verplichte encryptie-achterdeurtjes. Het nadeel, zegt Shroeder, is dat dergelijke software verschillende beveiligingsrisico's heeft en niet altijd eenvoudig te gebruiken is voor niet-technische gebruikers.
Aldridge van OpenText Security is het met Schroeder eens en zegt dat bedrijven extra encryptielagen moeten implementeren nu ze niet meer kunnen vertrouwen op de end-to-encryptie van cloudproviders.
Voordat organisaties data naar de cloud uploaden, zegt Aldridge dat ze deze lokaal moeten versleutelen. Bedrijven moeten ook afzien van het opslaan van encryptiesleutels in de cloud. In plaats daarvan, zegt hij, moeten ze kiezen voor hun eigen lokaal gehoste hardwarebeveiligingsmodules, smartcards of tokens.
Agnew van Gesloten deurbeveiliging adviseert bedrijven om te investeren in zero-trust- en defense-in-depth-strategieën om zichzelf te beschermen tegen de risico's van genormaliseerde encryptie-backdoors.
Maar hij geeft toe dat organisaties, zelfs met deze stappen, verplicht zullen zijn om gegevens te overhandigen aan overheidsinstanties als dit via een bevel wordt opgevraagd. Met dit in gedachten moedigt hij bedrijven aan om prioriteit te geven aan "het focussen op welke gegevens ze bezitten, welke gegevens personen kunnen indienen bij hun databases of websites, en hoe lang ze deze gegevens bewaren".
Het beoordelen van deze risico's
Cruciaal is dat bedrijven deze uitdagingen moeten beschouwen als onderdeel van een uitgebreide risicomanagementstrategie. Volgens Schroeder van Barrier Networks zal dit inhouden dat er regelmatig audits worden uitgevoerd van de beveiligingsmaatregelen die worden gebruikt door encryptieproviders en de bredere toeleveringsketen.
Aldridge van OpenText Security benadrukt ook het belang van een herevaluatie van cyberrisicobeoordelingen om rekening te houden met de uitdagingen die zwakkere encryptie en backdoors met zich meebrengen. Hij voegt eraan toe dat ze zich moeten concentreren op de implementatie van extra encryptielagen, geavanceerde encryptiesleutels, patchmanagement door leveranciers en lokale cloudopslag van gevoelige gegevens.
Een andere goede manier om de risico's die de IPA-wijzigingen van de overheid met zich meebrengen, te beoordelen en te beperken, is door een professioneel cybersecuritykader te implementeren.
Schroeder zegt dat ISO 27001 een goede keuze is omdat het gedetailleerde informatie biedt over cryptografische controles, encryptiesleutelbeheer, veilige communicatie en encryptierisicobeheer. Hij zegt: "Dit kan organisaties helpen ervoor te zorgen dat ze, zelfs als hun primaire provider wordt gecompromitteerd, de controle over de beveiliging van hun gegevens behouden."
Over het geheel genomen lijken de IPA-wijzigingen nog maar eens een voorbeeld te zijn van de overheid die meer controle wil krijgen over onze communicatie. De wijzigingen worden aangeprezen als een stap om de nationale veiligheid te versterken en gewone burgers en bedrijven te beschermen, maar ze brengen mensen simpelweg een groter risico op datalekken. Tegelijkertijd worden bedrijven gedwongen om toch al overbelaste IT-teams en dunne budgetten te wijden aan het ontwikkelen van hun eigen encryptiemiddelen, omdat ze de bescherming die cloudproviders bieden niet langer kunnen vertrouwen. Hoe het ook zij, het opnemen van het risico van encryptie-achterdeurtjes is nu een absolute noodzaak voor bedrijven.
