Vertrouwen van klanten staat op breekpunt door onbetrouwbare sleutels en certificaten

Cybercriminelen vallen steeds vaker encryptiesleutels en digitale certificaten van bedrijven aan. Voor bedrijven levert dit forse problemen op. Het online vertrouwen staat op een breekpunt. Als organisaties niet meer worden vertrouwd, verliezen zij klanten en kan zelfs de continuïteit gevaar lopen.

Dit blijkt uit onderzoek van het Ponemon Instituut en leverancier van beveiligingsoplossingen Venafi naar de businessimpact van niet beveiligde digitale sleutels en certificaten. In het onderzoek komen verschillende gevaren naar voren:

• Verlies van klanten als online vertrouwen wegvalt: 59% van alle respondenten hebben al klanten verloren door onvoldoende beveiliging van sleutels en certificaten die de basis vormen voor online vertrouwen, voor een gemiddelde waarde van $ 15 miljoen per incident.
• Uitval van kritische bedrijfssystemen: de afgelopen twee jaar zijn kritische systemen van de ondervraagde organisaties gemiddeld ruim 2 keer uitgevallen door certificaatproblemen.
• Gemiste audits: de afgelopen twee jaar is er bij de ondervraagde organisaties minstens één SSL/TLS-audit en één SSH-audit mislukt.

Internet-beveiliging op basis van sleutels en certificaten
Alle IP-toepassingen, variërend van online bankieren en mobiele apps, tot en met het Internet of Things, worden beveiligd met digitale sleutels en certificaten. De afhankelijkheid daarvan neemt de komende jaren verder toe door het snelgroeiende gebruik van SSL/TLS en internetten via mobiele netwerken, WiFi en VPN’s. Daardoor worden tevens de beschikbaarheid-, compliance- en beveiligingsrisico’s groter. De veiligheidsrisico’s bedragen bij de ondervraagde organisaties de komende twee jaar $ 53 miljoen en de compliance- en beschikbaarheidsrisico’s zo’n $ 7,2 miljoen.

Bedrijven blijken lang niet altijd te weten hoeveel sleutels zijn in gebruik hebben. 54% van de 2.300 ondervraagde IT-securityprofessionals geeft aan niet te weten hoeveel sleutels binnen de organisatie in gebruik zijn en waar deze worden bewaard. Dit percentage ligt hoger dan de 50% uit hetzelfde onderzoek twee jaar geleden. Security-analisten zijn van mening dat het aantal wordt onderschat. Dezelfde 54% geeft toe dat zij geen policybeleid hebben voor alle sleutels en certificaten. Venafi en het Ponemon Instituut stellen dat organisaties meer aandacht zouden moeten besteden aan de uitdagingen die ten grondslag liggen aan de risico’s op het gebied van beveiliging, beschikbaarheid en compliance, veroorzaakt door onvoldoende beveiligde sleutels en certificaten.

Audits en beleid
“Als bedrijven er onvoldoende in slagen om hun digitale sleutels en certificaten te beveiligen en te beheren, is de kans groot dat zij klanten en omzet verliezen”, zegt Kevin Bocek, Vice President Security Strategy & Threath Intelligence bij Venafi. “Elke organisatie vertrouwt tegenwoordig op het vertrouwen dat sleutels en certificaten dagelijks bieden, ook al is men zich daar niet van bewust. Daarom zouden IT-beveiligers verplicht moeten worden om regelmatige audits uit te voeren naar alle gebruikte certificaten en sleutels en hun expiratiedata. Maar ook beleid te ontwikkelen om informatiediefstal, ongeplande systeemstoringen en mislukte audits te voorkomen.”

“Hopelijk maakt dit rapport IT-securityprofessionals en managementteams bewuster van de risico’s die zij lopen als encryptiesleutels en digitale certificaten onvoldoende worden beschermd”, zegt Larry Ponemon, voorzitter en oprichter van het Ponemon instituut. “Sleutels en certificaten worden namelijk steeds breder toegepast en zijn onmisbaar voor het creëren van vertrouwde verbindingen en het beveiligen van online business. Het is duidelijk dat de data een groter beveiligingsprobleem onthult. Als men niet weet waar alle sleutels en certificaten worden gebruikt en beheerd, zijn ze uiteraard niet continu te monitoren en te beschermen. Organisaties die nalaten om ze tijdens de hele levenscyclus geautomatiseerd te beveiligen, verliezen vroeg of laat het online vertrouwen.”