Kjedelig tittel? I så fall er den tilsvarende viktig – for verdens datasikkerhet. Om ikke dette blogginnlegget, så i alle fall prinsippet med at sensitiv informasjon må krypteres før det sendes ut på nettet. I dag gjør de aller færreste det; både fordi det er upraktisk og fordi det mangler gode og enkle tjenester for brukerne.

I forlengelsen av mitt blogginnlegg om sikkerhetsåret 2011, kom jeg over dette blogginnlegget:

image

Les overskriften og ingressen to ganger. Hva synes du? Hvis engelsken er litt besværlig, kan jeg nevne at “ubiquitous” betyr “allestedsnærværende”. Det betyr at forfatteren Jeff Hudson mener at 2012 vil bli året for når kryptering av data blir tilgjengelig overalt. I alle fall at etterspørselen etter kryptering stiger og at det er på alles lepper i løpet av året. Ikke en dum tanke, egentlig.

Han oppsummerer 2011 i tre punkter:

  1. Third-party trust is an integral piece of our worldwide security infrastructure. It is important; the world we know cannot operate without it.
  2. Because the world relies on digital certificates and the CAs (third-party trust providers) that sign them, digital certificates and CAs are among the highest-value targets for hackers. If hackers can compromise CAs and create counterfeit certificates, they can perfectly assume others’ identities.
  3. Organizations must be prepared for an epidemic of third-party trust compromises, which they were not in 2011. Such compromises were not even represented in 2011 risk analyses and mitigation plans. The DigiNotar compromise virtually shut down the Dutch government for days as it scrambled to find and replace its affected certificates.

Han mener (helt riktig) at inntrengerne allerede er på innsiden av bedriftenes IT-systemer. Kampen om å holde dem på utsiden, slik fokuset for sikkerhetsbransjen har vært tidligere, er med andre ord tapt. Nå gjelder det å bekjempe denne raskt stigende trusselen på innsiden. Og nettopp da er kryptering viktig. Rettelse: Uunnværlig. Problemet er at så få krypterer sensitiv informasjon, og dermed blir det lett match når ondsinnet programkode på innsiden sender ukryptert informasjon ut til sine kilder.

“If the bad guys are on the inside, and it is becoming easier for them to get there through an explosion of systems, applications and devices that connect with and share valuable information are secured through certificates and encryption keys, what can organizations do to stop them? In most cases, hackers compromise systems to steal data. Intellectual property, financial data, and personal data are all valuable commodities: Hackers can use them for financial gain, to maliciously expose secrets, and to deliberately harm reputations. Security systems in 2011 focused on keeping bad guys out. But now the bad guys are on the inside. Organizations’ best defense is to encrypt data everywhere, whether the data is at rest or in motion, because encrypted data isn’t recoverable without its encryption key. Hence, 2012 will go down in IT-security history as the Year of Ubiquitous Encryption.”

Konklusjonen er som følger: “If 2011’s leaked and stolen data had been encrypted, and the encryption keys stored in a secure area away from the data, the data would have been worthless to the bad guys…..Again, it’s important to understand that encrypted data isn’t usable without its encryption key. With keys that are separate and safe from prying eyes, the bad guys can take all the data they want because they’ll never know what they have.”

La meg avslutte med reklame for eget produkt: Ensafer, som krypterer sensitiv informasjon på Internett, gjør nettopp det Jeff Hudson sier. Det understøttes med hans avsluttende avsnitt:

“With data and applications moving to the cloud, where they are fully accessible to all devices and can move from one physical location to another almost instantly, ubiquitous encryption becomes even more important. Even if malefactors get their hands on mobile devices (which are relatively easy to steal and compromise), encrypted data makes the thefts trivial.”

Ha et godt krypteringsår!