Granskning av konceptet ”Double Key Encryption” : En riskanalys utförd på en datakrypteringstjänst

Sammanfattning: Detta arbete bedömer risker associerade med implementeringen av en modifierad licensierad produkt, känd som Double Key Encryption (DKE), som tjänar till att kryptera interna dokument. DKE är en metodik framtagen av Microsoft, vilken kräver två nycklar för att dekryptera data. En av dessa nycklar innehas av tjänstägaren medan den andra tillhandahålls av Microsoft. En Managed Security Service Provider (MSSP) har givit uppdraget att utföra en riskanalys av deras befintliga DKE-tjänst för att identifiera potentiella sårbarheter och hot, vilka kan ha en inverkan på tjänstens prestanda och säkerhet. Analysen finner risker kopplade till tekniska säkerhetsbrister, underhåll och uppgradering av tjänsten, personalrelaterade risker, samt risker förknippade med användning.Studien identifierar totalt 10 olika hotscenarion, inklusive risk för stöld av DKE-nycklar, sårbarheter inom koden, möjlighet för attacker mot ohärdade DKE-servrar, samt risker associerade med underhåll och uppgradering av DKE-tjänsten. Andra risker inkluderar förlust av kunskap i samband med personalomsättning och användarrisker gällande potentiell överträdelse av lagar och regler. Riskutvärderingen genomförs genom att bedöma sannolikhet och konsekvens. Sannolikheten bedöms med hjälp av expertutlåtanden, medan konsekvensen bedöms baserat på potentiell skada på företagets rykte, ekonomisk påverkan och eventuella juridiska konsekvenser. Avslutningsvis kopplas identifierade risker till de tre grundläggande aspekterna av informationssäkerhet: konfidentialitet, integritet och tillgänglighet. En betydande mängd risker kategoriseras inom området för tillgänglighet, som utforskas ytterligare i arbetets diskussion.