Encryptie van laptops en andere IT-systemen
Lokale besturen beschikken over veel gevoelige informatie. Ze kunnen diverse maatregelen nemen om te voorkomen dat onbevoegden deze informatie te zien krijgen of kunnen bemachtigen. Één maatregel is het versleutelen of ‘encrypteren’ van systemen met gevoelige informatie.
Versleuteling is een proces dat informatie via een algoritme onherkenbaar maakt. Enkel diegene die een unieke code heeft kan deze informatie terug leesbaar maken (ontsleutelen). Het lokaal bestuur van Wevelgem versleutelt in het kader van zijn encryptiebeleid alle laptops en computers.
Er zijn verschillende gebruiksvriendelijke programma’s om op een eenvoudige manier te versleutelen. Op Windows-systemen is het programma Bitlocker aanwezig (in veel licenties standaard inbegrepen). Voor Linux is ‘dm-crypt’ een standaardoptie en voor Apple is dat ‘filevault’. Andere gespecialiseerde programma’s kunnen worden aangekocht. Deze programma’s versleutelen de harde schijf (veelal ook met de mogelijkheid om usb-sticks te versleutelen). Het voorkomt dat onbevoegden bij verlies of diefstal de informatie op een toestel kunnen uitlezen.
Noot van Audit Vlaanderen: deze goede praktijk handelt over de versleuteling van harde schijven. Voor de versleuteling van usb-sticks verwijzen we naar de goede praktijk van Erpe-Mere. Voor de versleuteling van bijlages in e-mail en voor de versleuteling van netwerkverbindingen (o.a. VPN-toegang voor leveranciers) bestaan ook goede oplossingen maar daarover zijn nog geen goede praktijken gepubliceerd.
Stappenplan voor implementatie
- Bekijken welke IT-apparatuur (bv. laptops, pc’s, servers usb-sticks) best versleuteld wordt.
- Kiezen van een versleutelingsprogramma en bepalen van een minimaal te realiseren encryptiesterkte.
- Systemen zo opzetten dat alle vereiste versleuteling gebruiksvriendelijk, liefst automatisch en transparant, wordt toegepast.
- Periodiek evalueren of de gebruikte algoritmes nog voldoende sterk zijn.
Tips voor opzet in een organisatie
- Sensibiliseer medewerkers over de noodzaak van versleuteling.
- Stel een eenvoudige procedure op om te versleutelen.
- Voorzie een back-up van de herstelsleutels. Zo kan de data toch nog worden ontsleuteld wanneer iemand zijn sleutel of encryptie-wachtwoord kwijtraakt.
- Bepaal duidelijk welke (informatie en dus) IT-apparatuur minstens moet worden versleuteld.
Welke risico’s worden afgedekt door de implementatie van deze goede praktijk?
- Informatie komt in verkeerde handen terecht.
- Privacy wordt geschonden.