Tokenization versus encryptie: Kies de juiste data beveiligingsmethode

Tokenization en encryptie zijn beiden manieren om data te beveiligen als het over het internet wordt verstuurd of wordt bewaard. Hoewel zowel tokenization als encryptie een effectieve databeveiliging technologie is, zijn deze methoden niet identiek en niet inwisselbaar. Elke technologie heeft zijn eigen krachten en zwakten. Op basis daarvan zou een van de twee de voorkeur moeten krijgen om data onder verschillende omstandigheden te beschermen. In sommige gevallen worden beide methoden gebruikt om het end-to-end proces te beveiligen.

Hoewel tokenization vaak veiliger is dan encryptie, is deze technologie niet altijd een goede oplossing. Laten we eens kijken wat de voor- en nadelen van tokenization versus encryptie zijn, om te ontdekken welke methode geschikt is voor jouw organisatie.

Encryptie

Data encryptie is het proces van het gebruiken van een algoritme in combinatie met een unieke code om data te vertalen naar een vorm die niet lijkt op het origineel en welke geen betekenis bevat in de afwezigheid van de unieke code of decodeersleutel.

Iets langer dan een jaar geleden zei US surveillance klokkenluider Edward Snowden dat encryptie de enige bestaande methode was voor het op betrouwbare wijze beschermen van de informatie van de wereld. Als sterke cryptosystemen op de juiste manier worden geïmplementeerd, zijn deze zeer betrouwbaar.

Toch is de aard van encryptie dat het omgekeerd kan worden, waarbij de data onthuld wordt. Dit kan gebeuren als men met brute kracht poogt de encryptie sleutel te achterhalen. Hierin ligt de kwetsbaarheid van versleutelde data. De eigenlijke data wordt verstuurd en kan daardoor illegaal worden onthuld door een vastberaden persoon.

Tokenization

Data tokenization heeft een andere benadering. Zeer gevoelige data wordt vervangen door een token die op unieke wijze de data identificeert, zonder de gevoelige informatie te bevatten. Tokens hebben geen wiskundige relatie met de originele data die zij vertegenwoordigen en hebben geen intrinsieke waarde of betekenis. Wel maken ze het mogelijk voor transacties om plaats te vinden, aangezien de tokens verwijzen naar betekenisvolle data. De gevoelige data zelf wordt niet verstuurd, maar blijft veilig opgeslagen. Dit brengt grote voordelen met zich mee. Toch kan tokenization arbeidsintensief zijn en praktische hindernissen presenteren, in tegenstelling tot data encryptie.

Welke methode is de juiste?

Welke methode de juiste is, is afhankelijk van de use case. Omdat tokenization het versturen van gevoelige data vermijdt, kan het een veiliger alternatief zijn voor encryptie. Tokenization is echter niet geschikt voor ongestructureerde data of grote hoeveelheden data.

Wanneer encryptie geschikt is

Data encryptie kan op efficiënte wijze een beschermingslaag aanbrengen op grote hoeveelheden data zonder het versturen van de data te belemmeren en zonder toegang door de ontvanger. In feite biedt data encryptie voor veel algemene data beveiliging use cases de beste combinatie van gemak, bruikbaarheid en veiligheid. Je kunt data encryptie in overweging nemen voor de volgende scenario’s:

• Ongestructureerde, grote hoeveelheden data: Waar de organisatie grote hoeveelheden data als afbeeldingen of videobeelden verstuurt, kan encryptie effectieve bescherming bieden zonder hoge kosten met zich mee te brengen. Ook waar data het type structuur mist dat vereist is voor tokenization, zoals ID nummers en persoonsgegevens, is encryptie een geschikte keuze.
• Lagere nalevingsvereisten: Sommige datasets vereisen bijzondere bescherming volgens specifieke richtlijnen. Andere datasets vereisen ‘gewoon’ adequate bescherming. Voor de laatste gevallen is encryptie de meest kostenefficiënte beveiligingsmaatregel.

Wanneer tokenization de betere optie is

Bepaalde datasets vormen zo’n groot risico op datadiefstal dat het gewoonweg beter is om het versturen van de originele data te vermijden en in plaats daarvan tokenization in te zetten. Tokenization kan passend zijn voor de volgende gevallen:

• Gestructureerde data: De mate van beveiliging en de moeite die ermee gepaard gaat brengen altijd een compromis met zich mee. Echter, waar data een voorspelbare structuur heeft wordt tokenization gemakkelijker toe te passen. Het is goed om tokenization in overweging te nemen als de data duidelijk gestructureerd is.
• Erg strenge nalevingsvereisten: Bij erg strenge nalevingsvereisten kan het beter zijn om de gevoelige data helemaal niet te behandelen. Tokenization biedt voor deze situaties de mogelijkheid om transacties te verrichten zonder de data te behandelen, waardoor blootstelling aan de vereisten beperkt wordt.
• Waar bestaand gebruik bewezen is: Terwijl encryptie gestandaardiseerd en gemakkelijk toe te passen is, vereist beveiliging door middel van tokenization een uitgebreidere heroverweging van bestaande systemen en procedures. Dit kan snel obstakels opleveren. Gelukkig zijn er gevallen waar tokenization al heeft bewezen dat het werkt. Voor soortgelijke gevallen kan jouw organisatie gevestigde praktijken overnemen om dezelfde beveiligingsvoordelen te genieten.

Encryptie en tokenization worden tegenwoordig beiden regelmatig gebruikt om data opgeslagen in de cloud of in applicaties te beschermen. Zoals we hebben ontdekt kan een organisatie encryptie, tokenization, maar ook een combinatie van beide methoden inzetten om verschillende typen data te beveiligen en aan verschillende vereisten te voldoen. Zo is er voor elke situatie een passende oplossing.