Pracownicy w coraz większym stopniu korzystają z przenośnych komputerów i smartfonów, kopiują pliki na urządzenia wymienne i przesyłają je do chmury. Firmowe dane nie mogą więc już po prostu być chronione jedynie przez dotychczas stosowane zabezpieczenia. W powszechnym dziś modelu telepracy zwiększenie poziomu bezpieczeństwa urządzeń, poczty elektronicznej i samej informacji mogą zapewnić narzędzia wprowadzające szyfrowanie danych. Taka ochrona będzie skuteczniejsza, gdy funkcje kryptograficzne będą obecne w rozwiązaniach do zarządzania kontami użytkowników i ich urządzeniami, zapewniających także inne mechanizmy zapobiegające wyciekom danych.

Co istotne, samo szyfrowanie, jeszcze zanim zostało wprowadzone RODO, było uznawane za podstawowy sposób zapewnienia poufności danych osobowych. Chroni bowiem je w ruchu, przy przesyłaniu przez sieć publiczną, w której istnieje niebezpieczeństwo „podsłuchania” informacji przez osobę do tego nieuprawnioną, a także ich zmiany, uszkodzenia lub zniszczenia. Od dawna jest też zalecane stosowanie środków ochrony kryptograficznej do zabezpieczania sprzętu i nośników przenośnych w celu utrzymania wysokiego poziomu bezpieczeństwa systemów informatycznych, wykorzystywanych do przetwarzania danych osobowych.

Nie jest źle, ale dobrze też nie

Świadomość wagi szyfrowania jest już dość wysoka. Jak wynika z danych Netology, które zaprezentowano w raporcie „It is Security Report, Sir”, to jedna z najczęściej stosowanych metod zabezpieczeń. Z grupy dwóch tysięcy ankietowanych ekspertów bezpieczeństwa aż 74 proc. przyznało, że stosuje takie rozwiązania w swojej firmie. I chociaż we współczesnym biznesie bardzo ważne jest szyfrowanie urządzeń mobilnych, to zdecydowało się na to jedynie 38 proc. pytanych. Z kolei32 proc. potwierdziło, że ich firmy zaimplementowały narzędzia Data Leak Prevention, a 23 proc. oparło swoje zabezpieczenia na wirtualizacji stacji roboczych.

Źródło: Raport firmy Netology „It is Security Report, Sir” 2020

Wobec olbrzymiego wzrostu znaczenia pracy zdalnej, w ostatnim czasie szyfrowanie komputerów przenośnych i urządzeń mobilnych, na których często przechowywane są dane o szczególnej wrażliwości, powinno być w firmach i instytucjach priorytetem. Niestety, wciąż nie jest. Wynika to po części z lekceważenia zagrożenia – w końcu komunikat o pozostawieniu laptopa w taksówce nigdy nie wywoła takich emocji, jak ten o hakerach, którzy przełamali zabezpieczenia i spenetrowali sieć. Dlatego administratorzy w przedsiębiorstwach pamiętają o firewallach i innych rozwiązaniach bezpieczeństwa sieciowego, a zaniedbują szyfrowanie urządzeń końcowych. Tymczasem różne badania pokazują, że wycieki danych, wynikające z utraty urządzeń przenośnych, mogą stanowić nawet 40 proc. wszystkich tego rodzaju incydentów.

Wyciek danych w wyniku utraty komputera przenośnego może mieć bardzo poważne konsekwencje dla ofiary. W końcu ubiegłego roku na warszawskiej SGGW zaginął laptop, na którym przechowywano szczegółowe dane wszystkich kandydatów na studentów, w tym ich numery PESEL, serie i numery dowodów osobistych oraz adresy zamieszkania. Studenci zarzucili uczelni brak rozwiązań zgodnych z RODO i jeśli w wyniku pozwu dojdzie do odszkodowań, uczelnia będzie musiała znaleźć na nie wiele milionów złotych. A przecież, gdyby dane były skutecznie zaszyfrowane, w ogóle nie byłoby o tym mowy. Dlatego tak ważne staje się zabezpieczenie urządzeń mobilnych przed nieuprawnionym dostępem lub uniemożliwienie odczytu danych po ich przypadkowym utraceniu.

Zdaniem specjalisty

Robert Sepeta, Business Development Manager, Kingston Technology  

Od wielu lat prowadzimy kampanię informacyjną wśród użytkowników domowych, przedsiębiorstw oraz resellerów, uświadamiającą im bezwzględną konieczność szyfrowania wszelkich danych, które są w jakikolwiek sposób przenoszone, a więc narażone na zgubienie lub kradzież. Nasze doświadczenia wynikają z praktyki. Jak powszechnie wiadomo, najsłabszym ogniwem w nawet najlepszych systemach ochrony jest człowiek. Wiele spotkań i rozmów z klientami utwierdziło nas w przekonaniu, że podstawą każdego skutecznego systemu bezpieczeństwa jest silne szyfrowanie sprzętowe, które nie pozostawia użytkownikowi furtki pozwalającej na pominięcie tego zabezpieczenia.

  
Piotr Kawa, Business Development Director, Bakotech  

Rośnie świadomość klientów w obszarze zapobiegania wyciekom danych, choć nie tak dawno takie systemy były zarezerwowane tylko dla dużych przedsiębiorstw. Często też – z powodu zaawansowanych mechanizmów ochrony – kojarzone były z długim procesem implementacji. Obecnie potrzebę posiadania rozwiązań DLP wykazują także mniejsze i średnie firmy. Zdają sobie one sprawę jak cenne są dane, które przetwarzają. Nie mam tu na myśli tylko danych osobowych, w przypadku których wiele projektów zostało wymuszonych przez RODO, ale także informacje finansowe, wartość intelektualną, know-how, kody aplikacji itp. Poza tym na rynku można obserwować unifikację warstw ochrony. W tym kontekście pojawiają się produkty, które oprócz „klasycznego” Data Leak Prevention posiadają również zaawansowane funkcje Endpoint Detection & Response.

  

Zabezpieczenia w zasięgu ręki

Trudno uwierzyć pytanym przez Netology ekspertom bezpieczeństwa, którzy przyznali, że w ich firmie nie ma żadnych narzędzi chroniących dane na urządzeniach. A taką deklarację złożyło 13 proc. respondentów… Trudno dlatego, że takie rozwiązania są łatwo dostępne, wręcz dostarczane wraz systemem operacyjnym.

Takie narzędzia, jak BitLocker (Windows) czy FileVault (macOS), umożliwiają pełne szyfrowanie dysków na komputerach mobilnych, co stanowi całkiem bezpieczne rozwiązanie. W przypadku zagubienia lub kradzieży zaszyfrowanego laptopa bez loginu i hasła nikt nie będzie miał dostępu do znajdujących się na nim informacji. Nie będzie go można uruchomić, a dane będą chronione nawet po wyjęciu dysku z komputera i próbie uruchomienia go w innym systemie. Po wprowadzeniu szyfrowania przestępca musi się bardzo napocić, aby rozbroić zabezpieczenia w celu zdobycia cennych dla niego informacji. Z kolei, gdy dane są niezaszyfrowane, w jego ręce mogą wpaść nawet hasła, które będzie mógł wykorzystać do innych ataków.

Nie tylko lekceważenie zagrożenia jest przyczyną rezygnacji z szyfrowania. Tak jak w przypadku jakiegokolwiek innego zaawansowanego zabezpieczenia, stanowi ono znaczne obciążenie dla administratorów. Muszą oni bowiem nabyć wymagane kwalifikacje i sprawić, by stało się ono łatwo zarządzalne i niezawodne. Nie mogą dopuścić do sytuacji, w której nie będzie można odzyskać danych szyfrowanych na urządzeniach pracowników.

Aby tego uniknąć trzeba zapewnić zarządzanie kluczami kryptograficznymi, by z jednej strony wymuszać użycie szyfrowania, z drugiej – posiadać dostęp do haseł. Dlatego administratorzy, którzy nie mają czasu lub niezbędnej wiedzy, będą unikać wdrożenia szyfrowania urządzeń końcowych, nawet mając odpowiednie rozwiązania w zasięgu ręki.

W ostatnim czasie zdarzają się jednak sytuacje, że może takich rozwiązań brakować. Wtedy, gdy – jak to się mówiło w słusznie minionej epoce – na rynku wystąpią „przejściowe problemy z zaopatrzeniem”. Jak zauważa Robert Sepeta, Business Development Manager w Kingston Technology, zmiana trybu pracy na zdalny wymusiła na przedsiębiorstwach, a właściwie na ich działach IT i bezpieczeństwa, wprowadzenie nowych, dodatkowych zabezpieczeń. Firmy zmuszone były też zaopatrzyć swoich pracowników w więcej laptopów.

– Ogromne zapotrzebowanie na komputery przenośne spowodowało, że zakup odpowiedniego sprzętu, spełniającego wymogi bezpieczeństwa, graniczył wręcz z cudem. Firmy posiłkowały się sprzętem przeznaczonym do użytku domowego, który nie posiadał wbudowanego modułu szyfrowania TPM. Rozwiązaniem problemu mogą być dyski SSD, które mają wbudowane sprzętowe szyfrowanie AES-256. Wówczas wystarczy wymiana nośnika, aby takie urządzenie odpowiednio zabezpieczyć – mówi Robert Sepeta.

Trzy pytania do…  

Pawła Sobóla, inżyniera IT w ITPunkt

 

 

 

  1. Nie wszystkie sposoby ochrony infrastruktury IT są traktowane równie serio. Dlaczego? O cyberatakach jest głośno, więc przedsiębiorcy bardzo dobrze zdają sobie sprawę, że trzeba zabezpieczyć przed nimi firmową infrastrukturę. A zatem wdrożyć firewalle, zainstalować oprogramowanie chroniące urządzenia końcowe przed złośliwym oprogramowaniem, ostrzegać pracowników przed phishingiem itp. Natomiast o ochronie urządzeń mobilnych przed wyciekiem danych przy użyciu szyfrowania dysków najczęściej się zapomina lub odsuwa się takie wdrożenie na później. Tymczasem powinna być to sprawa priorytetowa, ponieważ dotyczy jednego z kluczowych narzędzi do zabezpieczania naszych danych.
  2. Jak zróżnicować sposób zabezpieczania w zależności od wielkości firmy? W przypadku małego podmiotu, posiadającego kilka komputerów, można ręcznie uruchomić szyfrowanie na każdej maszynie wymagającej zabezpieczenia. W przedsiębiorstwach, w których urządzeń mobilnych z dyskami do zaszyfrowania może być setka albo więcej, konieczne będzie systemowe podejście, uwzględniające kontrolę działania tej warstwy ochronnej, zarządzanie nią, zapewnienie możliwości odzyskiwania danych w razie awarii systemu itp. Warto skorzystać przy tym z komputerów przenośnych wyposażonych w moduł TPM, dzięki czemu zastosowanie szyfrowania stanie się transparentne dla ich użytkowników.
  3. Na co szczególnie zwracać uwagę w projektowaniu odpowiedniego systemu ochrony? Wdrożenie szyfrowania, zwłaszcza na większą skalę, musi być zaplanowane w najdrobniejszych szczegółach. Pozwoli to uniknąć błędów, które mogą nawet sparaliżować działalność firmy. Przecież skutki nieumiejętnego użycia szyfrowania dysków mogą być podobne do ataku ransomware. Dlatego klient może skorzystać ze wsparcia doświadczonego partnera, który pomoże wdrożyć narzędzie ochrony tak, by zapewniało najwyższy możliwy poziom bezpieczeństwa bez zbędnego ryzyka.
  

Szyfrowanie dysków to wciąż za mało

Rzecz jasna samo szyfrowanie dysków nie jest wystarczające, bo użytkownicy mogą na przykład kopiować odkodowane pliki ze swojego laptopa na pamięci USB. Niekontrolowane użycie tych nośników jest częstym powodem utraty danych. Pendrive, mimo swoich rozmiarów, może mieć dzisiaj dużą pojemność, a właśnie ze względu na wymiary łatwo go zgubić czy ukraść. A jednak nie wydaje się sensowna całkowita blokada portów USB w komputerach, która wprawdzie uniemożliwi zgrywanie danych na pendrive’y, ale jest to rozwiązanie radykalne, utrudniające pracę. Lepsze wydaje się systemowe wymuszenie szyfrowania wszystkich danych przenoszonych i kopiowanych na nośniki USB albo użycie sprzętowo szyfrowanych pamięci przenośnych. Pracownicy mogą też wysłać odszyfrowane pliki pocztą e-mail jako załączniki. A ponieważ dane mogą wyciekać na wiele innych sposobów, konieczne jest zastosowanie dodatkowych środków i rozwiązań, składających się na ochronę DLP (Data Leak Prevention).

– Szyfrowanie nie jest w 100 procentach bezpieczne bez rozwiązania DLP, ale i DLP nie jest kompletne bez dodatkowej warstwy szyfrującej oraz odpowiedniego sklasyfikowania danych. Każdy, kto rozważa pozostawienie ochrony danych tylko szyfrowaniu, powinien wpisać w wyszukiwarkę hasło „wyciek danych”. Lista informacji medialnych tylko z jednego tygodnia pokazuje, jak bardzo potrzebujemy DLP – mówi Łukasz Niedośpiał, Business Development Manager w Bakotechu.

Trzeba jednak pamiętać, że żadna implementacja ochrony informacji nie zakończy się sukcesem bez skutecznej polityki klasyfikowania danych i ustalenia ścisłych reguł dostępu do nich. To ważne, ponieważ najsłabszym ogniwem zawsze jest autoryzowany użytkownik końcowy. Dlatego tak istotne jest dbanie o świadomość zagrożeń. Niestety, nie poświęca się temu należytej uwagi. We wspomnianym raporcie Netology aż 64 proc. ekspertów przyznało, że w ich firmach nie są przeprowadzane testy socjotechniczne, których wyniki mogłyby posłużyć do edukacji pracowników i wskazywania najczęstszych błędów. Dlatego w sytuacji, gdy ludzie stanowią najczęstszy powód wycieku danych, najlepszym podejściem będzie takie wdrożenie szyfrowania i szerzej rozumianej ochrony DLP, które będzie wymagać jak najmniejszej interakcji nie tylko po stronie użytkownika, ale także administratora.

DANE MUSZĄ BYĆ SKUTECZNIE USUNIĘTE  

 

Nawet firmy nie objęte regulacjami dotyczącymi niszczenia danych muszą wziąć pod uwagę to, że na wycofywanych z użytku nośnikach mogą być zapisane informacje wrażliwe, których nie powinno się nikomu udostępniać. Co więcej, wyłącznie profesjonalne usuwanie danych daje możliwość ponownego, bezpiecznego wykorzystania sprzętu komputerowego, co daje nie tylko oszczędności wynikające z braku konieczności kupowania nowych urządzeń, ale także przyczynia się do ochrony środowiska naturalnego, więc może stanowić mocny argument dla istotnego odsetka klientów. Tak czy inaczej, dla firm inwestycja w skuteczną ochronę i niszczenie danych z reguły jest tańsza od skutków utraty wrażliwych informacji. A koszty wycieku mogą być znacznie większe niż te wynikające z procesów sądowych i kar przewidzianych za ujawnienie danych osobowych. O ile bowiem stare dyski twarde łatwo wymienić, o tyle zepsutej reputacji się nie da.