En ny global undersökning visar på fortsatt ökad användning av kryptering och att det hänger samman med strategiska bedömningar av informationssäkerheten.
Det ses dock som besvärligt att hantera säkerhet med kryptering när data ligger i olika molntjänster.
Det främsta skälet till att kryptera data är att skydda kundernas personuppgifter. Trots detta tillämpar företagen kryptering för just kunddata i lägre utsträckning än för andra typer av data. Det är ett av de mer slående resultaten i undersökningen 2021 Global Encryption Trends Study som nu genomförts för 16:e året av Ponemon Institute, på uppdrag av Entrust.
Över 6000 IT-proffs – 275 av dem från Sverige – har medverkat i undersökningen, som syftar till att samla kunskap om de säkerhetsutmaningar som företag och organisationer står inför idag, samt hur och varför de utnyttjar kryptering för att skydda data.
För första gången är det i årets undersökning hälften av deltagarna som uppger att de har strategi för kryptering som tillämpas konsekvent inom hela organisationen. Samma fråga har ställts under en lång tid och visar på en stadigt ökande trend.
Hotbild och prioriteringar
Det är nu andra året i rad som undersökningen visar att skydd av kundinformation är den främsta drivkraften till att installera krypteringsteknik. Detta resultat står dock i kontrast till att kundinformation rankas först på femte plats över listan över de typer av data som företag faktiskt ser till att kryptera, vilket visar på ett betydande glapp mellan organisationens prioriteringar och verkligheten. När man tittar på de typer av data som organisationerna i undersökningen valt att kryptera kommer finansiell information först (55%) och betalningsrelaterade data (55%) först, följt av personal/HR-data (48%), immateriella tillgångar (48%) och kunders personuppgifter (42%).
– Om personuppgifter blir röjda och kommer på avvägar slår det direkt mot företagets kundrelationer. Kryptering utgör själva grunden för dataskyddet och när en organisation inte prioriterar att värna kundernas integritet så medför det betydande affärsrisker i form av förlorade affärer och försämrat rykte, säger Dick Jacobsson, försäljningschef på Entrust i Sverige.
Regelefterlevnad har i tidigare undersökningar rankats som den främsta anledningen till att kryptera. Det anses fortfarande viktigt men fortsätter att minska i betydelse. De vanligaste skälen till att kryptera är nu skydd av personuppgifter om kunder (54%), skydd mot kända hot (50%) och skydd av immateriella tillgångar (49%) med regelefterlevnad på fjärde plats (45%).
Krångligt att hantera kryptering och nycklar
Årets undersökning belyser också positiva trender. För första gången uppger nu hälften (50%) av organisationerna att de har en övergripande strategi för kryptering som tillämpas konsekvent, medan 37% anger att de har en begränsad krypteringsstrategi.
Samtidigt finns svårigheter kvar som försvårar användningen av kryptering, inte minst i multimoln-miljöer. Det finns mängder med olika verktyg och de undersökta organisationerna använder i genomsnitt åtta olika produkter som utför kryptering. De funktioner hos krypteringslösningar som värderas högst är prestanda, hantering av krypteringsnycklar, policyhantering och möjlighet att installera både i molnet och lokalt med egen IT-drift.
45% av respondenterna bedömer det som viktigt eller mycket viktigt med enhetlig nyckelhantering som kan omfatta såväl flera molntjänster som den interna IT-miljön. Detta ligger i linje med ett annat resultat från undersökningen, som ger vid handen att nyckelhanteringen är besvärligast när man använder molntjänster – bland annat lösningar av typen Bring Your Own Key (BYOK).
Samtidigt som nyckelhanteringen blir alltmer komplex, är det en ständig utmaning bara att hålla rätt på var organisationens data finns: i lokala, virtuella, moln- och hybridmiljöer. 65% av organisationerna uppger att det är svårt att upptäcka var känsligt data finns, och detta är alltjämt den överlägset största utmaningen med att planera och genomföra en krypteringsstrategi.
Växande roll för hårdvarumoduler (HSM)
Jobbet med att skapa och hantera krypteringsnycklar kan bli mer effektivt med hjälp av hårdvarubaserade säkerhetsmoduler (HSM) och undersökningen visar att dessa ökar i användning. Två tredjedelar (66%) av de svarande anser att HSM är den viktigaste komponenten i krypterings- och nyckelhanteringsstrategier. Ett annan resultat är att HSM-moduler i allt högre grad används för kryptering i moderna tillämpningar som containrar, signeringstjänster, publika moln, hantering av säkerhetsrelaterade uppgifter och åtkomstkontroll.
HSM-moduler har fått en viktig roll för organisationer som genomgår digital transformation och utnyttjar molntjänster. Undersökningen visar att krypterings- eller signeringstjänster för containrar (40%) är den tredje mest populära tillämpningen för HSM-moduler, efter applikationskryptering (47%) och TLS/SSL (44%). På fjärde plats kommer kryptering i publika moln, inklusive BYOK (34%).
Blockkedjan, kvantkryptering och ny krypteringsteknik
När det gäller morgondagens krypteringsteknik, exempelvis säkra flerpartsberäkningar (MPC) och homomorfisk kryptering visar undersökningen på en allmän uppfattning om att det dröjer minst fem år innan de kommer till bred användning. Kvantalgoritmer för kryptering förväntas inte bli att räkna med på allvar förrän om åtta år.
Däremot ligger blockkedjan närmare praktisk tillämpning som krypteringsteknik. Respondenterna tror att blockkedjan, som idag främst utnyttjas som grund för kryptovalutor, inom tre år kommer att hitta nya tillämpningar exempelvis för:
- E-plånbok för kryptovalutor (59%)
- Transaktionshantering (52%)
- Identitet (45%)
- Leverantörskedjor (37%)
- Smarta avtal (35%)
– När man granskar årets resultat av Global Encryption Trends-studien och ser till utvecklingen över de senaste 16 åren är det uppenbart att cybersäkerhet och dataskydd aldrig har varit mer komplexa frågor, detta i en tid då insatserna aldrig har varit högre. Det mest uppmuntrande är att dataskydd för konsumenter är så högt prioriterat bland företag och myndigheter, men det finns helt klart en del arbete att göra för att omsätta det i verkligheten när det gäller vilket data som faktiskt krypteras och när det sker i datalivscykeln. Det är också uppenbart att organisationer i alla former och storlekar vill använda kryptering för en rad nya och banbrytande tillämpningar, vilket definitivt kommer att fortsätta driva innovation i branschen, säger Dr. Larry Ponemon, grundare av Ponemon Institutet.
Några resultat från 2021 Global Encryption Trends Study
- Sverige uppvisar den högsta användningen av kryptering för IoT-enheter (”sakernas Internet”). 47% tillämpar detta i stor skala för IoT jämfört med 33% i genomsnitt globalt.
- För de svenska deltagarna i undersökningen är skydd av värdefull information / immateriella tillgångar det främsta skälet till att använda kryptering.
- Hårdvarubaserad kryptering med HSM-moduler används betydligt oftare i Sverige för kryptering på applikationsnivå (67% jämför med 47% I genomsnitt globalt).
- USA uppvisar den högsta användningen både av kryptering (70%, 20% över genomsnittet globalt) och av HSM-moduler (72%, vilket är 23% över globalt genomsnitt).
- I Storbritannien är kryptering av kundinformation mest utbrett (59% jämfört med 42% i genomsnitt globalt)
Entrust 2021 Global Encryption Trends Study – undersökningsmetodik
Den nya rapporten 2021 Global Encryption Trends Study bygger på en undersökning från Ponemon Institute och handlar om hur organisationer över hela världen hanterar olika IT-säkerhetshot, regelefterlevnad och hur de använder kryptering för att skydda verksamhetskritisk information och system. De totalt 6 610 IT-proffs som har deltagit i undersökningen representerar olika branscher och kommer från följande 17 länder och regioner: Australien, Brasilien, Frankrike, Tyskland, Hong Kong, Japan, Mexiko, Mellanöstern (Saudiarabien och Förenade Arabemiraten), Nederländerna, Ryssland, Spanien, Sydkorea, Sydostasien, Sverige, Taiwan, Storbritannien och USA. 275 av respondenterna kommer från Sverige.