Veiligheid voorop – versleutel alle data

Share this post:

Vandaag leven we in een zeer complexe wereld, helemaal als het om beveiliging gaat. Al zouden we ons beperken tot louter IT Security, dan nog zijn er dagvullende symposia te volgen, vuistdikke (e-)boeken te lezen en dan nog…

Ik kijk er niet meer van op als Facebook het volgende bedoelde (Cambridge Analytica) of onbedoelde lek openbaar maakt. Ik gebruik Facebook louter nog als vergiet om de sla in te wassen. Ook Microsoft, een zeer gerespecteerd bedrijf, moest laatst met het schaamrood op de kaken bekennen dat hackers in staat waren geweest om email-adressen én content te bekijken (zie artikel: Microsoft admits Outlook.com hackers were able to access emails). Oops.

Security is een monster met vele koppen

Nu leven beveiliging en gemak op een zeer gespannen voet met elkaar. Iedereen weet wel dat wachtwoorden anders moeten zijn op elke site, maar zoals we laatst bij het koffie-apparaat bespraken heeft een collega van mij 325 accounts op diverse websites. (all decent ones, I’m sure). Kun je je indenken dat je 325 verschillende wachtwoorden moet onthouden?IT Security is een monster met vele koppen en ik ga natuurlijk wel erg kort door het bochtje om te zeggen dat IT-infrastructuur dé oplossing is. Nee! Natuurlijk niet, het is een gedrag- en zelfs een cultuur-dingetje. Binnen IBM mogen we sinds kort geen USB devices (sticks en harde schijven) meer op de laptop aansluiten. Algehele ontstemming, protesten en ja, ik zag wat (Franse) collega’s lonken naar gele hesjes, maar IBM is onverbiddelijk. En terecht. We hebben perfecte alternatieven om onderling, met klanten en Business Partners gegevens veilig uit te wisselen, maar ach, het is zo handig om na een presentatie de files even te delen op een stickie…

Versleuteling van Data

Om één kop van het IT Security monster eens nader te belichten hebben we daar de kale gegevens die ergens op een server staan. Het is de algemene opvatting dat het ondoenlijk is om al die gegevens te versleutelen. Doodleuk om de simpele reden omdat het ‘kost’. Versleuteling (encryptie) kost tijd, kost moeite, kost CPU-kracht, en dus kost het geld. Vraag die dan opkomt is: “Wie bepaalt welke data er wél/niet versleuteld moet worden?” Dat klinkt simpel, maar is het absoluut niet. Hoe classificeer je die data? Wellicht begint de Marketing Directeur wel erg hard tegen IT te schreeuwen omdat de website plots traag is.

De reden ligt in het feit dat alle gegevens voor de site eerst “ontsleuteld” moeten worden en ja, dat kost een paar honderd milliseconde extra, hetgeen als traag door de users wordt ervaren. De ingebeelde Marketer stropdas zou zo maar dingen kunnen gaan roepen als: “Prima dat we beveiliging hebben, maar als we straks geen klanten meer hebben, hebben we ook niets aan beveiliging. Ik wil dat de website snel reageert, ja!” Al gauw wordt besloten gegevens die niet privacygevoelig zijn, niet te versleutelen.

Dat is slechts één stukje van de puzzel. Dan heb je nog de vraag wie mag er wél en wie zeker niet bij data. Een Storage beheerder moet wellicht wel bij bestanden om zijn werk te kunnen doen, maar hij/zij heeft geen enkele reden om de gegevens in te zien. Ook hier kun je je hoofd breken over de verschillende functies die wel, niet, of – nog leuker – gedeeltelijk bij de data moet kunnen.

Mainframes hebben de naam veilig te zijn

Ik bestrijd dat overigens heftig: het zijn de meeste te beveiligen servers, maar ook hier geldt dat de hoofd-beheerder doodleuk zijn wachtwoord op een Post-It op het master console kan plakken: weg security.

Toch is het evident dat mainframes (en alle procedures eromheen) een perfecte plek zijn om gegevens te beveiligen. Sinds een jaar of wat heeft IBM besloten om de ongeëvenaarde versleutingskracht van het platform te gebruiken om juist te doen wat iedereen voor onmogelijk hield: Versleutel Alle Data. Punt. We noemen dat Pervasive Encryption, en doet wat het moet doen: het versleutelt wél alle data zonder dat het een negatieve invloed heeft op de applicaties die data nodig hebben of mensen die met de data werken.

Het uitgangspunt van Pervasive Encryption is dat men niets hoeft te veranderen aan werkwijzen noch applicaties en met een ‘simpele druk op de knop’ alle gegevens weet te versleutelen. Mocht een hacker, of gefrustreerde medewerker, toch nog binnen komen, zijn ALLE gegevens versleuteld en heeft men er niets aan.

Wil je weten wat die ‘simpele druk op de knop’ daadwerkelijk inhoud: neem contact met me op!

Deze blog is een initiatief van het “IBM Z schrijverscollectief”, bestaande uit Patrick Kingma en Frank van der Wal, ondersteund door Olaf Bleekemolen, en creëert een nieuwe, frisse blik op het IBM Z platform.

Abonneer je op deze blog-site en deel deze content op je eigen Social Media als je het interessant vind. Ook bloggen? Vloggen? Of op een andere manier IBM Z over het voetlicht brengen?  Neem contact op met Olaf!