8. Cryptografie voor gegevensbescherming
Cryptografie is de techniek van het versleutelen of ontsleutelen van gegevens zodat alleen bevoegde personen de gegevens kunnen lezen. Het vormt de basis om de vertrouwelijkheid en integriteit van jouw bedrijfsgegevens en assets te beschermen. Encryptie is een cryptografische methode om gegevens te versleutelen op basis van een cryptografisch algoritme. Lees meer over encryptie.
Beleid voor cryptografie
Het doel van beleid en procedures voor cryptografie en encryptie is dat de vertrouwelijkheid, integriteit, onweerlegbaarheid, authenticiteit en authenticatie van data gewaarborgd wordt.
In een beleidsdocument inzake cryptografie beschrijf je het beleid en de technieken die je ingezet hebt om de vertrouwelijkheid en integriteit van informatie te waarborgen. Onderdelen om mee te nemen in het beleidsdocument zijn:
-
Configuratiemanagement
Binnen de gehele organisatie wordt alleen gebruik gemaakt van goedgekeurde encryptiestandaarden. Daarnaast moet het beleid een minimale lengte voorschrijven per asset en standaard.-
Benodigde encryptiestandaard
Op basis van de risicoanalyse en asset classificatie moet per beveiligingsniveau de eisen van de encryptiestandaard vastgesteld worden. -
Benodigde sleutellengte
De aan te raden sleutellengte hangt af van de gekozen encryptiestandaard. In de documentatie van de encryptiestandaard die de organisatie gebruikt, is terug te vinden welke sleutellengte geadviseerd wordt.
-
-
Sleutelmanagement
Een organisatie moet beleid hebben op het gebied van de gehele levenscyclus van cryptografische sleutels. Dit houdt in dat minimaal voor de onderstaande punten de procedure, rollen en verantwoordelijkheden beschreven moet zijn:- Het genereren en distribueren van sleutels;
- Het vernietigen of intrekken van sleutels;
- Het archiveren van sleutels;
- Het back-uppen van sleutels;
- Het loggen van sleutelmanagementactiviteiten;
- Indien van toepassing, de uitgifte en verkrijgen van certificaten.
-
Effectiviteit en herziening
Het beleid op cryptografie wordt periodiek getoetst en herzien, waarbij rekening wordt gehouden met veranderingen in de organisatie en de actuele risico's voor je organisatie. De testresultaten neem je op in de herziene versie van het beleidsdocument voor cryptografie.
NIS2-zorgplicht
In de Europese NIS2-richtlijn worden gevraagd naar beleid op cryptografie en encryptie. Dit staat in artikel 21 lid 2 sub h van de richtlijn.
Bereid je voor op de NIS2
Voor de voorbereiding op de Cyberbeveiligingswet die voortkomt uit de NIS2-richtlijn, vind je hier suggesties, handvatten en aandachtspunten. Omdat de zorgplichtmaatregelen nog niet zijn uitgewerkt in de regelgeving, baseren we de suggesties, tips en handreikingen op wat er gangbaar is in de cybersecuritypraktijk. Het uitvoeren of volgen ervan vergroot de cyberweerbaarheid van je organisatie, maar het is geen garantie dat je organisatie al voldoet aan komende wetgeving.
Relevante links en hulpmiddelen
Snel aan de slag
Wil je voorbereidingen treffen voor NIS2 op het gebied van cryptografie? Gebruik dan het stappenplan hieronder. De eerste stappen zijn om te weten waar je staat.
Stap 1 Breng de cryptografische systemen die je gebruikt binnen je organisatie in kaart. Het is belangrijk dat elk cryptografisch systeem geïdentificeerd wordt, zodat je weet waar de risico’s liggen.
Stap 2 Schrijf beleid over hoe jouw organisatie omgaat met cryptografie en encryptie. Zorg ervoor dat minimaal het hierboven beschreven configuratiemanagement, de benodigde encryptiestandaard en sleutelmanagement terugkomen in het beleidsplan.
Stap 3 Zorg dat elk cryptografisch systeem een eigenaar heeft.
Stap 4 Zorg dat per cryptografisch systeem het benodigde niveau van bescherming geïmplementeerd is.
Post-quantum cryptografie
Zodra je deze stappen doorgelopen hebt en periodiek herziet, kan het relevant zijn om in het beleid de komst van post-quantum cryptografie mee te nemen. Post-quantum cryptografie is cryptografie die bestand is tegen quantumcomputers. Het Nationaal Cyber Security Centrum (NCSC) en de Algemene Inlichtingen- en Veiligheidsdienst (AIVD) adviseren bedrijven en organisaties waar dat relevant is om zich voor te bereiden op de risico's van quantumcomputers omdat deze tussen 2030 en 2040 waarschijnlijk over voldoende rekenkracht zullen beschikken om veel van de meest gebruikte vormen van cryptografie te breken. De stappen om voor te bereiden op post-quantum cryptografie zijn hetzelfde zoals deze voor de huidige cryptografie zijn, namelijk het helder in kaart brengen waar de relevantie zit, welke risico's er zijn en op welke wijze er (al dan niet in de toekomst) overgegaan kan worden op implementatie.
De NIS2-Quickscan
De NIS2-Quickscan is een tool voor organisaties die willen weten hoe zij zich kunnen voorbereiden. Deze scan is met name bedoeld voor IT- en cybersecurity-specialisten en -verantwoordelijken binnen organisaties. De scan biedt ook handelingsperspectief: per thema worden technische of organisatorische maatregelen voorgesteld die kunnen bijdragen aan de digitale weerbaarheid van organisaties en aan de voorbereiding op de NIS2.
Het Post Quantum Cryptografie migratie-handboek
Dit handboek ondersteunt organisaties met concrete stappen om de dreiging van quantumcomputers voor cryptografie te beperken. Het moment waarop quantumcomputers een dreiging zullen vormen voor momenteel gebruikte cryptografie is onvoorspelbaar. Toch moeten bepaalde organisaties nu al aan oplossingen werken vanwege het risico dat quantumcomputers met zich meebrengen. Bijvoorbeeld organisaties die data verwerken die zelfs over 20 jaar nog vertrouwelijk moeten blijven, of die systemen met een lange levensduur ontwikkelen. De meest veelbelovende oplossing is de zogenaamde post-quantumcryptografie (PQC).
Maak je organisatie quantumveilig
De verwachting van experts is dat quantumcomputers tussen 2030 en 2040 waarschijnlijk over voldoende rekenkracht zullen beschikken om veel van de meest gebruikte vormen van cryptografie te kunnen breken. Daarom moeten bedrijven en organisaties nu in actie komen en zich gaan voorbereiden om tijdig te kunnen migreren naar quantumveilige cryptografie.
De Algemene Inlichtingen- en Veiligheidsdienst (AIVD) en het Nationaal Cyber Security Centrum (NCSC) hebben daarom een gezamenlijke handreiking ’Maak je organisatie quantumveilig’ gepubliceerd. Deze handreiking is een aanvulling op het PQC-migratiehandboek en biedt een nadere uitwerking van de daarin beschreven stappen en maatregelen.
Gebruik MFA en andere beveiligde communicatie. Voor veilige bedrijfsprocessen is het nodig dat gebruikers, apparaten en andere activa worden geauthentiseerd door middel van meerdere authenticatiefactoren of continue authenticatiemechanismen om toegang te krijgen tot netwerken en informatiesystemen.
Je wilt weten of de genomen beheersmaatregelen effect hebben gehad. Vallen de beoogde risico's binnen de acceptatiecriteria? Met een beleid en procedures borg je de effectmeting. Om effect te meten, toets je de maatregelen. Dit kan via securitytesten. Het uitvoeren van een securitytest gaat in 4 stappen.
NIS2-organisaties moeten een beleid inzake risicoanalyse en beveiliging van informatiesystemen hebben. Een risicoanalyse is een essentiële eerste stap voor het verkrijgen van de nodige inzichten. Je bepaalt ermee welke risico's zwaar drukken en waar beveiligingsmaatregelen het hardst nodig zijn.