Jak pokazują od lat różne badania, najpoważniejszym zagrożeniem dla wrażliwych danych są niezmiennie błędy popełniane przez pracowników. Dlatego jak najbardziej uzasadnione są te obawy firm, które dotyczą nieumyślnego wycieku wynikającego z pomyłek bądź zaniedbań personelu albo awarii systemów. Przeważają one znacząco nad obawami dotyczącymi złośliwych incydentów, za którymi stoją tymczasowi bądź kontraktowi pracownicy lub cyberprzestępcy.

Tworzone w latach 2021 i 2022 dla Entrust raporty Ponemon Institute stwierdzały, że decydenci w procesie wyboru wdrażanych rozwiązań do szyfrowania nie preferowali żadnych konkretnych rozwiązań. Niemniej większość badanych priorytetowo traktuje szyfrowanie danych w spoczynku (data-at-rest) i szyfrowanie w chmurze publicznej.

Dobrą wiadomością jest to, że respondenci zwracają uwagę na przyszłościowe trendy w szyfrowaniu i przynajmniej częściowo rozpoczęli wdrażanie ochrony w takich obszarach, jak Internet Rzeczy. Dynamiczny rozwój IoT sprawia, że gromadzone są ogromne ilości danych. Często są one poufne, więc szyfrowanie staje się kluczowe. Gwarantuje ono, że dane pozostaną bezpieczne nawet podczas przenoszenia między różnymi urządzeniami i systemami IoT.

Tym, co może być uznane za nowy trend, który w kolejnych latach zapewne będzie narastać, jest migracja wrażliwych danych do chmury. Jak wynika z badania „Global Encryption Trends 2023” (autorstwa Encryption Consulting) w przypadku chmury firmy wybierają szyfrowanie pozostających tam danych w spoczynku w jednej z kilku opcji. Pierwsza zakłada szyfrowanie wykonane on-premise przed przesłaniem danych do chmury przy użyciu kluczy generowanych i zarządzanych przez ich administratorów. Druga to szyfrowanie w pełni powierzone dostawcom usług chmurowych, w ramach czego dostawcy wprowadzają silniejsze algorytmy szyfrowania, takie jak AES-256, aby zapewnić bezpieczeństwo danym (chronione są wtedy nie tylko dane w spoczynku, ale także podczas ich przesyłania). Ostatnim podejściem jest Bring Your Own Key (BYOK), czyli skonfigurowanie dzierżawy przy użyciu własnego klucza, zamiast stosowania klucza domyślnego wygenerowanego przez dostawcę chmury.

Obawa przed potężnymi karami  

Jeśli chodzi o typ najchętniej szyfrowanych danych to niezmiennie w firmach i instytucjach dominuje ochrona danych osobowych. Stoi za tym obawa przed utratą reputacji w przypadku wycieku takich danych, ale także konieczność dostosowania się do przepisów i regulacji (w przypadku Unii Europejskiej to oczywiście RODO).

Firmy zdają sobie sprawę, że naruszenie tych regulacji w przypadku wycieku danych może skutkować bardzo poważnymi karami finansowymi. Dlatego zgodność z przepisami jest kluczowym motywem biznesowym dla wdrożenia szyfrowania, które jest jednym z fundamentalnych wymagań tego rodzaju regulacji (dotyczy zarówno danych w ruchu, jak i w spoczynku). Szyfrowanie jest jedną z metod spełniania takich przepisów, ponieważ może zapobiec nieautoryzowanemu dostępowi, ujawnianiu lub modyfikacji danych. W kontekście regulacji także samo szyfrowanie danych musi podlegać odpowiednim ramom prawnym, uwzględniając takie aspekty, jak lokalizacja danych, przesyłanie ich za granicę czy zarządzanie kluczami szyfrowania.

– Z naszego wieloletniego doświadczenia wynika, że największy wzrost zainteresowania szyfrowaniem ma miejsce wtedy, gdy wchodzi w życie regulacja stanowiąca o konieczności stosowania adekwatnych do ryzyka środków technicznych. Poza tymi okresami zainteresowanie wyraźnie spada, a firmy wdrażające u siebie te mechanizmy powołują się na konieczność spełnienia regulacji. Niestety, firmy idą na skróty i rzadko kiedy dokonują rzetelnej analizy zagrożeń, najczęściej powołując się wprost na RODO. A przecież, jak czytamy w samym rozporządzeniu w art. 32 ust. 1, należy dobrać odpowiednie środki techniczne i organizacyjne właśnie na podstawie analizy ryzyka. Takie podejście jest w końcowym rozrachunku bardziej korzystne – mówi Dawid Zięcina, dyrektor działu technicznego w Dagmie.

Jak wynika z badania Entrust, własność intelektualna, dane pracownicze/HR oraz dokumenty finansowe to najpoważniejsi „kandydaci” do zaszyfrowania. Znacznie rzadziej wybieranym przez firmy rodzajem danych do zaszyfrowania są informacje związane ze zdrowiem i informacje niefinansowe, co może być zaskakującym wynikiem, biorąc pod uwagę wrażliwość informacji dotyczących zdrowia.

Bardziej optymistycznie przedstawia się badanie „Bezpieczeństwo IT w sektorze ochrony zdrowia”, wykonane przez Biostat na zlecenie Fortinetu w lipcu 2022 r. Wskazywało ono, że decydenci w Polsce zdają sobie jednak sprawę z wagi zabezpieczania cyfrowych zasobów oraz konieczności dalszych inwestycji.

– Najczęściej zgłaszaną potrzebą, bo przez co czwartą placówkę, było stworzenie środowiska i procedur gwarantujących ochronę danych przed utratą. Tylko 10 procent badanych nie miało planów dotyczących wdrażania kolejnych typów systemów zabezpieczania danych – stwierdza Robert Dąbrowski, szef zespołu inżynierów w polskim oddziale Fortinetu.