10 tips uit de praktijk: client-side encryption

10 tips uit de praktijk: client-side encryption


15 november 2017

Een van de onderdelen van het datalandschap waar M&I/Partners haar klanten mee helpt is secure storage. Naast het in beeld brengen van strategische overwegingen helpt M&I/Partners ook met het selecteren en implementeren van oplossingen. Zo ook voor een klant die actief is in het domein van wetenschappelijk onderzoek. Deze organisatie is gestart met client-side encryption - het versleutelen van (onderzoeks-)data op netwerkschijven, draagbare opslagmedia en overige (cloud) storagevoorzieningen.

Johan Boomgaard, adviseur bij M&I/Partners, is in de rol van projectleider ingeschakeld om een geschikte tool te selecteren en te implementeren. Hij geeft in dit artikel 10 tips voor organisaties die ook aan de slag willen met client-side encrytion*.

* Client-side encryption (Versleuteling aan de cliënt-zijde) geeft gebruikers de mogelijkheid om hun bestanden en mappen zelfstandig te versleutelen zodat de inhoud onleesbaar wordt voor anderen. Een belangrijk kenmerk is dat de versleuteling al plaatsvindt op de laptop, PC, tablet of telefoon (de cliënt) van de gebruiker voordat de data naar een centrale server wordt verstuurd. De bestanden komen dan al versleuteld aan bij bijvoorbeeld een cloud storage provider zoals Dropbox, Google Drive of Onedrive.

1 Vraag specialistisch advies

Wanneer men zich verdiept in client-side encryption komt men terecht in een domein vol ingewikkelde termen over encryptiestandaarden, encryptiesleutels, symmetrische encryptie en asymmetrische encryptie. Om hieruit de juiste informatie te halen en vervolgens de juiste keuzes te maken, is specialistische expertise nodig. Vraag daarom om hulp bij de gespecialiseerde functionarissen binnen je organisatie. Van goede beleidskaders en handreikingen heb je veel profijt. Vraag ook tips en ervaringen bij collega-organisaties of haal expertise uit de markt.

2 Versleuteling is een maatregel, niet dé maatregel

De versleuteling van mappen en bestanden aan de cliënt-zijde is niet dé maatregel maar een van de maatregelen. Je kan natuurlijk ook je hele harde schijf van je laptop versleutelen, data “on-premise” opslaan of privacygevoelige data anonimiseren waardoor deze niet langer privacygevoelig is. Zo zijn er nog tal van technische en procedurele maatregelen om je bestanden te beschermen tegen ongewenste toegang.

3 Ken de werkprocessen van de gebruikers

Om de juiste encryptie-tool te implementeren heb je niet alleen technische kennis nodig maar vooral ook kennis van de werkprocessen waarbij de gebruikers van de tool betrokken zijn. Zo heeft elke tool mogelijkheden en beperkingen die wel of niet aansluiten bij de manier van werken. Door middel van workshops met de gebruikers worden de details in beeld gebracht die bepalend zijn voor het succes of falen van de tool.

4 Een grondige marktverkenning is noodzakelijk

Nadat de werkprocessen zijn beschreven is een grondige marktverkenning noodzakelijk. Let hierbij op technische aspecten, beveiligingsaspecten, beschikbare functionaliteiten en de gebruiksvriendelijkheid. De beschreven werkprocessen kunnen aan leveranciers worden aangeboden met de vraag om aan te tonen in hoeverre hun tool de werkprocessen kan ondersteunen. Betrek bij de marktverkenning ook de aanwezige inkoop-expertise binnen je organisatie.

5 Plaats “Easy to use” in perspectief

Zeer waarschijnlijk prijzen alle leveranciers hun tool aan als erg gebruiksvriendelijk en is het niet nodig om je manier van werken te veranderen. Let op, de gebruiksvriendelijkheid is altijd aan de eindgebruikers om te bepalen. In de praktijk blijkt dat niet alle medewerkers van organisaties digitaal vaardig zijn en bovendien is het versleutelen van mappen en bestanden voor de meesten een nieuw fenomeen. De manier van werken verandert altijd wanneer je client-side encryption gebruikt omdat je het zelf moet doen en erover moet nadenken (welke bestanden versleutel ik en met wie deel ik dit). Een tool ondersteunt je enkel bij de technische uitvoering maar maakt geen keuzes voor je.

6 Het gebruik is spannend

Versleutelen aan de cliënt-zijde is nieuw, de achterliggende techniek ingewikkeld en het vraagt om bewuster omgaan met data(management). Daarmee wordt het gebruik van encryptie-tooling door eindgebruikers vaak als spannend ervaren. Voor de ondersteunende tak van de organisatie geldt hetzelfde, er wordt immers extra complexiteit toegevoegd omdat niet alleen de storage-voorziening in de lucht moet blijven, maar ook de encryptietool.

7 “Zero knowledge” geldt ook voor eigen beheerders.

Een groot voordeel van client-side encryption is dat cloud storage providers de data niet kunnen lezen. Dit noemen we zero knowledge. Ook wanneer je versleutelde data wordt opgeslagen op organisatie-eigen systemen, kunnen de beheerders de bestanden niet lezen. Dit kan wenselijk zijn wanneer men zeer (bijv. commercieel) vertrouwelijke informatie heeft. Let wel dat vergeten inlog-wachtwoorden in de meeste gevallen niet opnieuw ingesteld kunnen worden. Door het principe van zero knowledge is deze gebruikersinformatie niet aanwezig bij leverancier en beheerder waardoor wachtwoord-reset technisch onmogelijk is. Een logisch gevolg is dat de bestanden waartoe alleen de desbetreffende persoon toegang toe heeft, niet meer te openen zijn. Zorg er als gebruiker dus voor dat je het wachtwoord niet vergeet of geef een directe collega ook toegang tot de bestanden. Doe ook ten aanzien van dit aandachtspunt een beroep op security-expertise binnen je organisatie.

8 Zorg voor een reservesleutel en berg die goed op

Omdat bovenstaande risico voor veel organisaties te groot is, kiezen veel organisatie voor het principe van een “master-key”. Deze functionaliteit is vaak alleen maar beschikbaar binnen betaalde (company/business) versies van tooling. De master-key functioneert als een reservesleutel waarmee de beschikbaarheid van de data voor de organisatie gegarandeerd blijft. Het is noodzakelijk om de master-key goed op te bergen omdat misbruik van de master-key grote gevolgen heeft. Dit laatste behoeft geen verdere uitleg. Het goed opbergen van de master-key vraagt om goede afspraken over wie verantwoordelijk is over de master-key, wie de master-key daadwerkelijk onder beheer neemt (bij voorkeur dezelfde persoon die verantwoordelijk is), hoe de master-key opgeslagen wordt (fysiek in een kluis of in digitale repository), in welke situaties de master-key gebruikt gaat worden en hoe de procedure dan verloopt.

9 Denk na over de life-cycle in relatie tot versleuteling

Het moment van het ontstaan van een document tot en met het moment waarop een document vernietigd is, wordt de life cycle genoemd. Documenten gaan over het algemeen lang mee. In sommige domeinen is het zelfs wettelijk verplicht om documenten een bepaalde tijd te bewaren (bewaarplicht en bewaartermijn). Je kan dan kiezen om bestanden die gearchiveerd moeten worden, niet-versleuteld op te slaan zodat je over een x-aantal jaar niet afhankelijk bent van de encryptie-software. Je bent dan wel de voordelen van client-side encryption kwijt. Maar ook over data-replicatie (term wordt hier niet verder uitgelegd) en de dagelijkse “backup” moet men keuzes maken; wel of niet versleutelen.

10 Zorg ervoor dat je nog terug kan

Tot slot; het is bij aanschaf van software altijd belangrijk om maatregelen te treffen zodat je kan stoppen met het gebruik van de software en de data die bij de leverancier staat weer terugkrijgt. Bijvoorbeeld wanneer je op een ander pakket wilt overstappen. Zorg er dan voor dat je bijvoorbeeld met enkele muisklikken je bestanden weer kunt ont-sleutelen. Maar ook op een onverwachts faillissement van de softwareleverancier moet je voorbereid zijn. Kies bijvoorbeeld voor open-source software, een lokale installatie van de software of een overeenkomst met een Escrow-agent of andere vorm van Trusted Third Party (TTP).


Wij helpen u graag met al uw datamanagement vraagstukken.
Wilt u meer weten over secure storage of een ander onderdeel van datamanagement? Neem dan contact op met Johan.

Meer kennis opdoen over informatieveiligheid




De mogelijkheden van Business Intelligence en data zijn immens.



Wat betekent dat nu concreet voor u op dit moment?

M&I/Partners helpt u deze koers uit te zetten!ofMeer kennis opdoen
M&I/Partners gebruikt cookies en verzamelt daarmee informatie over het gebruik van de website onder andere om deze te analyseren en te verbeteren. Door gebruik te maken van deze website, geeft u akkoord te zijn met het gebruik van cookies.
Sluit deze melding