Pragmatisch
Kwaliteit
Flexibel
Relevant

BLOG: Wie heeft de sleutel?

dinsdag 05 september 2023

Een gevoelige discussie bij informatiebeveiliging is de inzet van encryptie. Aan de ene kant zorgt encryptie voor vertrouwelijke (en dus veilige) communicatie. Aan de andere kant eisen overheden de mogelijkheid om toegang te krijgen tot versleutelde gegevens. Recentelijk zijn er kamervragen gesteld over een meewerkplicht van techbedrijven bij decryptieverzoeken. Internationaal speelt dit ook. Zo eiste de FBI in een zaak tegen Apple de vrijgave van een telefoon van een terrorist.[1] Apple weigerde dit en die weigering leidde tot een maatschappelijk debat over encryptie. Wat betekent dit voor uw organisatie?

Encryptie, wat is het?

Encryptie, of versleuteling, is simpelweg het opslaan van gegevens in een niet-traceerbare vorm. Door gegevens op deze manier op te slaan kunnen alleen bevoegden toegang verkrijgen. Om gegevens later te kunnen ontsleutelen is een encryptiesleutel nodig. Zonder dit is ontsleuteling vrijwel onmogelijk[2]. Hoe werkt dit in de praktijk? Bij het gebruik van encryptie worden meestal algoritmes toegepast. Het algoritme versleutelt de data bijvoorbeeld in een getal van meer dan 300 cijfers. Dit gebeurt door het vermenigvuldigen van twee priemgetallen. Door alleen dit grote gecombineerde getal te sturen is een sleutel nodig om dit te kunnen ontcijferen.[3]

Encryptie, de discussie

Encryptie is een sterk wapen om informatie te beveiligen. Alleen, criminelen of terroristen kunnen dit ook toepassen voor kwade doeleinden zoals de Apple-zaak ons leerde.[4] Waarom weigeren techbedrijven om mee te werken met opsporingsdiensten? Encryptie is in wezen een beetje te vergelijken met een fysieke kluis. Het hele doel van een kluis is om ondoordringbaar te zijn. Om deze kluis te openen is een sleutel nodig die ook alleen op dat sleutelgat past. Het probleem is dat als overheden eisen ook toegang willen kunnen krijgen tot de kluis, zoals minister van Justitie en Veiligheid onlangs beaamde ‘belangrijk dat er mogelijkheden zijn om onder bepaalde omstandigheden toegang tot versleutelde gegevens te krijgen’, dit de beveiliging ervan ontzettend verzwakt.[5] De sleutel kan bijvoorbeeld in verkeerde handen vallen of overheden kunnen misbruik maken van hun bevoegdheden. Het verzwakken van de beveiliging kan daarnaast leiden tot een verlies van klantvertrouwen en reputatie en er kan een precedentwerking ontstaan. 

Conclusie

Moreel gezien kan het gevoel zijn om techbedrijven in uitzonderlijke gevallen te kunnen verplichten om overheden toegang te geven tot versleutelde informatie. Deze mogelijkheid ondermijnt alleen wel het oorspronkelijke doel van encryptie: beveiligen van informatie. De tijd zal ons leren wat wij als maatschappij hiervan vinden.

Cas van de Ven
Adviseur L2P