Bitwolk

Terug naar blog

Hoe weet je of een product/dienst veilig is?

Tips — maandag 13 augustus 2018

Veel producten en diensten geven aan veilig te zijn. Door de technische termen is het natuurlijk lastig in te schatten hoe veilig het écht is. Daarom een handig lijstje met termen, wat het betekent en waar je op moet letten.

Beginnend met de termen encryptie ofwel versleuteling. Dit is een techniek om informatie onleesbaar te maken. Vaak met een sleutel, vandaar versleuteling, om alles weer leesbaar te maken. Dit is handig om informatie veilig uit te wisselen of op te slaan, met de zekerheid dat anderen niet meelezen. Dat zijn twee verschillende toepassingen die elkaar aansterken.

1. Veilige verbinding

Je mobiel of computer wisselt informatie uit over het internet. Dit gebeurt door verbinding te leggen met een dienst. Onderweg loopt dit via je internetprovider, verschillende schakelpunten, eventueel nog andere partijen of een overheid, naar een andere internetprovider, en uiteindelijk naar de dienst zelf. Dat betekent dat er tussen jou en de dienst meerdere partijen zijn waar alle gegevens langskomen. Standaard is de informatie die je uitwisselt leesbaar, wat betekent dat het mogelijk is om mee te luisteren. Denk hierbij ook aan je eigen netwerk, zoals je collega’s op werk, andere bezoekers van de koffiezaak of medereizigers in de trein.

Een veilige verbinding, ook wel SSL, TLS of HTTPS

Een beveiligde verbinding gebruikt encryptie om alle informatie te versleutelen voor het versturen, zodat niemand onderweg meeleest. Dit betekent niet dat gegevens veilig zijn opgeslagen. Het is alleen voor het veilig uitwisselen van informatie tussen twee partijen en één aspect om rekening mee te houden. De techniek is te herkennen door ’t slotje in de adresbalk en de volgende termen:

  • SSL
  • TLS
  • HTTPS
  • Beveiligde verbinding

2. Opslag en encryptie

Naast het veilig uitwisselen van informatie wil je natuurlijk ook dat alles veilig opgeslagen is. Het inzetten van encryptie is daarbij een voor de hand liggende oplossing. De meest populaire encryptie op het moment is AES-128 of AES-256. Door veel onderzoekers getest en tot op vandaag veilig bevonden.

Er zijn echter meerdere manieren om encryptie voor opslag toe te passen, met een enorm verschil in veiligheid. Het liefst wil je natuurlijk beschermd zijn tegen het meelezen van derden, een inbraak of datalek. Daarom de verschillen op een rij.

Opslag zonder encryptie is onveilig

Geen encryptie is onveilig. Dit betekent dat alle informatie leesbaar is opgeslagen en er verder geen acties nodig zijn om het in te zien. Wat voor een hacker geldt, maar ook voor de organisatie die het opslaat.

Disk encryptie is niet erg veilig

Disk encryptie, ook wel full disk encryption, is niet erg veilig. Veel partijen gebruiken deze methode en geven aan dat het product veilig is omdat ze encryptie gebruiken. Full disk encryptie zorgt ervoor dat de hele harde schijf onleesbaar is op het moment dat de computer uitgeschakeld is. Voor laptops is dit een goede oplossing, op het moment dat je hem kwijtraakt of bij diefstal zijn je gegevens niet in te zien. Een server staat echter 24 uur per dag en 7 dagen per week aan, waarbij de gegevens dus eigenlijk altijd leesbaar zijn. De kans dat iemand een fysieke server uit een zwaarbeveiligd datacenter weet te halen is verwaarloosbaar. De kans op een digitale inbraak door een hacker, een fout van de organisatie die zorgt voor een datalek, of het doorverkopen van gegevens is vele malen groter. Vergelijk het met een kluis waar de sleutel naast hangt en deur altijd open staat.

End-to-end of client-side encryptie is veilig

End-to-end (e2e) of client-side encryptie is veilig, maar in minder producten te vinden doordat het technisch uitdagender is. Alle gegevens zijn hierbij onleesbaar opgeslagen voor de dienst zelf en daarom ook veilig bij een digitale inbraak of datalek. Dit geldt natuurlijk ook voor een fysieke inbraak. Het versleutelen (onleesbaar maken van alle informatie) gebeurt namelijk bij de verzender en ontvanger zelf, vóór het versturen naar de dienst toe. Hierdoor komt de dienst nooit in aanraking met de leesbare gegevens.

3. Verdienmodel en gegevensverwerking (AVG/GDPR)

Kijk bij diensten en producten altijd in de privacyverklaring. Door de komst van de AVG/GDPR wetgeving zijn deze tegenwoordig vaak goed op orde en lekker toegankelijk. Hierin vind je een overzicht met welke informatie ze opslaan, voor hoe lang, met welke partijen ze gegevens delen en waarom. Bijvoorbeeld een overzicht van gegevens die Bitwolk opslaat. Controleer of er geen partijen of toepassingen tussen staan waar je het niet mee eens bent.

Verdienmodellen van bedrijven, diensten en producten zijn belangrijk voor je privacy

Vergeet niet naar het verdienmodel te kijken. Elk bedrijf moet een bron van inkomsten hebben. Vaak betaal je eenmalig, maandelijks of jaarlijks een bedrag voor het gebruik. Wat je steeds vaker ziet zijn 'gratis' producten, maar ook zij hebben inkomsten.

Wat je vaak ziet is dat de basisabonnementen gratis zijn en de grotere klanten zorgen voor de inkomsten. Ook wel het freemium-model genoemd, een combinatie van free en premium.

Een alternatief is dat ze je informatie doorverkopen aan derden of commercieel inzetten. Er is namelijk een steeds grotere markt voor het verzamelen en analyseren van gebruikersinformatie.

Zo zijn er nog vele andere verdienmodellen en soms is het een combinatie van verschillende modellen. Zo is het mogelijk dat je voor een dienst betaalt, maar ze je gegevens ook commercieel gebruiken. Kortom, kijk altijd naar de privacyverklaring en hoe ze omgaan met je gegevens.

Nog een paar tips

Dankzij AVG/GDPR zijn bedrijven verplicht om veilig met gegevens om te gaan. Vooral met persoonsgegevens, waar tegenwoordig ook e-mailadressen onder kunnen vallen. Daarom is een beveiligde verbinding tegenwoordig in de meeste gevallen zelfs verplicht. De browser Chrome geeft sinds kort zelfs aan dat websites onveilig zijn als ze het niet gebruiken. Het laat ook zien dat een organisatie veiligheid serieus neemt. Maak een beveiligde verbinding daarom een verplichte eis op je checklist.

Voor de opslag van gegevens hangt het af van het soort gegevens waar het om gaat en de opties van de verschillende aanbieders die er zijn, maar ga er met encryptie niet standaard vanuit dat het wel goed zit. Soms passen ze het alleen toe in een beveiligde verbinding of voor de eerder genoemde disk encryptie, wat uiteindelijk weinig veiligheid biedt. Als ze niet specifiek zijn in de methode die ze gebruiken vraag het na bij support of ga er vanuit dat het niet toereikend is.

Kijk bij het uitzoeken van een nieuw product altijd naar meerdere aanbieders en vergelijk ze op beschikbare functies, prijs en veiligheid. Heb je geen idee? Vraag dan advies aan iemand die er verstand van heeft.

Ontdek ook hoe makkelijk veilig is.

Gratis proefperiode van een maand, zonder verplichtingen.

Gratis proberen