sftp-not-gdpr-compliant

Waarom SFTP niet aan de AVG kan voldoen

Waarom SFTP niet aan de AVG kan voldoen

De Europese GDPR, hier beter bekend als de Algemene Verordening Gegevensbescherming, afgekort AVG, is van toepassing op alle organisaties die de persoonsgegevens van EU-ingezetenen verwerken en opslaan, ook als de organisatie zelf buiten de EU is gevestigd. De boetes voor niet-naleving worden inmiddels uitgedeeld en zijn niet mals.

Terwijl alle organisaties er aan hebben gewerkt om ervoor te zorgen dat hun AVG maatregelen voldoen, is nog lang niet iedereen er gerust op. Zeker omdat er grijze gebieden zijn, waarbij de ene manier van data verzamelen is toegestaan, maar een andere niet-conform de AVG eisen blijkt.

SFTP is een grijs gebied met betrekking tot de AVG

Secure FTP (SFTP) is zo'n grijs gebied in de AVG. Veel bedrijven geloven ten onrechte dat het protocol AVG-compatibel is. Hoewel SFTP ongetwijfeld praktisch is, wil je natuurlijk niet dat je de wet- en regelgeving overtreed tijdens het gebruik ervan. Voordat we kunnen kijken naar waarom SFTP niet helpt om aan de AVG te voldoen, moeten we begrijpen wat het protocol onderscheidt van het reguliere File Transfer Protocol.

Secure File Transfer Protocol is een relatief nieuwe technologie die midden jaren 90 werd ontwikkeld en die het delen van bestanden en data mogelijk maakt via een verbinding die is beveiligd met behulp van het Secure Shell-protocol. Wat SFTP onderscheidt van FTP is het pakketgebaseerde karakter, in tegenstelling tot het FTP's tekst gebaseerde karakter. De belangrijkste onderscheidende factor is dat, omdat SFTP minder gegevens verstuurt, het uiteindelijk sneller zal zijn. Bovendien worden met SFTP bestandsoverdrachten in-line uitgevoerd via de hoofdverbinding, waardoor het niet nodig is om een afzonderlijke dataverbinding voor file transfers te openen.

 

Waarom SFTP geen AVG-compliance betekent

Nu we begrijpen wat SFTP onderscheidt van FTP, kunnen we kijken naar wat het protocol zo'n riskante gok maakt voor AVG compliance. Ten eerste is het zo dat zelfs veilige file transfer processen een aantal beperkingen hebben die een organisatie kunnen blootstellen aan een verhoogd risico op beveiligingsinbreuken en niet-naleving van de AVG. Dit is vaak het gevolg van het niet voldoen aan een paar belangrijke best practices, waaronder data encryptie, FTP-automatisering, het zicht op de FTP activiteiten en de juiste schaalvergroting om de groeiende complexiteit van een organisatie tegemoet te komen.

File transfers die persoonlijke gegevens bevatten die buiten de organisatie gedeeld worden vereisen veel aandacht voor de AVG. Het versturen en ophalen van bestanden en data, hoewel handig en snel, vormen een aantal risico's voor de veiligheid van persoonsgegevens. Persoonsgegevens die naar FTP-servers worden geüpload, zijn bijvoorbeeld onversleuteld en worden zelden verwijderd, verouderde beveiligingspatches bieden eenvoudige toegang voor hackers en cybercriminelen en het gebrek aan gecentraliseerde controle over machtigingen stelt gebruikersreferenties bloot.

FTP-data overdrachten zijn vaak afhankelijk van scripts die zijn geschreven in ongedocumenteerde talen zoals PERL, BASH, VB en PowerShell. Deze ongedocumenteerde script workflows die op meerdere FTP-servers zijn geïnstalleerd, kunnen complicaties veroorzaken die resulteren in de ongeoorloofde verwerking van persoonsgegevens. Bovendien legt AVG regels op aan IT, DPO en security managers om bewijs te kunnen overleggen dat alles AVG compliant is. Het verzamelen en aanbieden van auditlogboeken van meerdere FTP-servers zal tijdrovend zijn en zal de verdenkingen wekken van compliance-auditors die een voorkeur hebben voor een enkele bron van logboek data dat in een consistent formaat is opgeslagen in een fraudebestendige database.

Kun je een bestaande SFTP-omgeving upgraden naar een AVG-compliant omgeving?

Opgemerkt moet worden dat het upgraden van een bestaande SFTP-omgeving naar een AVG-compliant omgeving niet de beste strategie is. Door dit te doen, zou een organisatie ervoor moeten zorgen dat alle externe overdrachtsprocessen veilige protocollen en encryptie gebruiken. Bovendien zou een organisatie AES-256-codering moeten toevoegen aan alle uploadprocessen om alle opgeslagen informatie en data te beschermen. Hoewel dit misschien een veilige en verantwoorde stap in de richting van AVG naleving lijkt, moet duidelijk worden gemaakt dat dit uiteindelijk een nutteloze inspanning is, omdat deze verbeteringen niet voldoende zijn; Secure FTP erft een aantal van de kwetsbaarheden en risico's van de vervangen SFTP-server.

Oplossingen die AVG-compliant zijn

Zoals eerder vermeld, als een organisatie de persoonsgegevens van EU-burgers verzamelt, opslaat, verwerkt of verzendt, is de AVG op haar van toepassing. Om hacks en boetes te voorkomen, is het van cruciaal belang dat IT, DPO en security teams ervoor zorgen dat de systemen die betrokken zijn bij het verzamelen en verzenden van persoonsgegevens, serieuze authenticatie van gebruikers en encryptie technieken bevatten. Secure FTP voldoet dus niet voor de AVG, maar er zijn Managed File Transfer-oplossingen ontstaan om AVG compliant file transfers wel mogelijk maken. Deze oplossingen lijken te voldoen aan de relevante artikelen die door AVG zijn geïntroduceerd, zoals;

1. De mogelijkheid om persoonsgegevens te encrypten, zowel tijdens het versturen als in opslag,

2. Data alleen tussen afzenders en ontvangers delen,

3. DLP- en integratie met antivirus oplossingen

4. Perimeterbeveiliging

5. Gecentraliseerde toegangscontrole

AVG moet niet te licht worden opgevat. Is het niet de EU dan kunnen ook klanten vragen, want je bedrijf er aan doet. Kijk dus bij het verwerken van persoonsgegevens verder dan Secure FTP.

Bekijk deze bronnen voor meer informatie over AVG en de implicaties ervan:

De gegevensbeschermingsprincipes van de AVG

In zeven stappen naar AVG 

Bestandsoverdracht en de AVG

Brexit en de GDPR

Gegevensoverdracht bij financiële diensten en de AVG


Comments
Comments are disabled in preview mode.