Zaszyfrować, a na koniec zniszczyć
W kontekście RODO bardzo wzrosło znaczenie szyfrowania danych, ich ochrony przed wyciekiem oraz skutecznego kasowania i niszczenia. Jednak wciąż firmy popełniają rażące błędy, których konsekwencją mogą być nie tylko dotkliwe kary finansowe.
Szyfrowanie jest od dawna uważane za jedną z najskuteczniejszych i łatwo dostępnych technik ochrony danych. I choć jest dość powszechnie wykorzystywane w przedsiębiorstwach, sektorze publicznym, jak również do ochrony płatności na stronach internetowych sprzedawców z segmentu e-commerce, to wciąż nie tak często, jak powinno być. Wprawdzie klienci na ogół zdają sobie sprawę, że właściwie wdrożone rozwiązanie może zabezpieczyć ich informacje przed niemal każdym atakiem. Jednak wielu, nawet tacy, którzy mają do czynienia z bardzo wrażliwymi lub poufnymi danymi, wciąż nie korzysta z możliwości szyfrowania. Często wynika to po prostu z bezmyślności – nie przychodzi im do głowy, jak łatwo mogą stać się ofiarą ataku.
Przykładem niefrasobliwości jest niedawno opisywany przez media przypadek sędziego łódzkiego sądu okręgowego, który zgubił służbowego pendrive’a z projektami postanowień, wyroków i uzasadnień do nich. Z wyjaśnień sądu wynika, że nośnik może zawierać wiele danych różnych osób, a rzecznik instytucji przyznał, iż „możliwe, że ktoś będzie próbował je wykorzystać”. Zastrzegł jednak przy tym, że sędzia miał prawo wynieść nośnik z dokumentami poza miejsce pracy. Nie odniósł się jednak do – wydawałoby się – oczywistego problemu, że tak wrażliwe dane były przechowywane na nośniku USB bez ich uprzedniego zaszyfrowania.
Powodem zaniechań w tego rodzaju przypadkach bywają obawy przed złożonością poszczególnych rozwiązań do szyfrowania. W tym kontekście sporym wyzwaniem dla branży zabezpieczeń jest zachowanie prostoty obsługi narzędzi ochronnych, pomimo coraz bardziej wyrafinowanych ataków, jakim muszą sprostać. W naturze ludzkiej leży poszukiwanie najłatwiejszego sposobu wykonania jakiegokolwiek zadania, ale często powinien on być przy tym także najbezpieczniejszy. W kontekście RODO mówi się sporo o „security by design” oraz „security by default”. Takie podejście jest najlepszym sposobem na częściowe zwolnienie użytkowników końcowych z myślenia o bezpieczeństwie (całkowicie nigdy się do tego nie da doprowadzić, poza tym nie jest to wskazane). Integrator, który wdraża rozwiązania ochronne, musi więc starać się o równowagę pomiędzy akceptowalnym poziomem bezpieczeństwa, a złożonością zapewniających je narzędzi.
Zaniedbania mimo RODO
Oceniając stan bezpieczeństwa, trzeba wziąć pod uwagę wielkość przedsiębiorstwa. Duże firmy, posiadające odpowiednie zasoby zarówno ludzkie, jak i finansowe, są doskonale przygotowane do ochrony przed utratą danych za pomocą szyfrowania komputerów, stacji roboczych, serwerów aplikacyjnych, nośników oraz przesyłanych danych. Korzystają z rozwiązań zabezpieczających przed wyciekami danych (DLP), mają procedury kasowania danych i niszczenia nośników.
– W ich przypadku RODO niewiele wniosło, ponieważ poprzednia ustawa o ochronie danych osobowych oraz standardy branżowe już wcześniej wymagały odpowiednich zabezpieczeń. Oczywiście, także w tym segmencie zdarzają się firmy, które nie potrafią zabezpieczyć swoich danych i nadal mają dziury w systemach, z których korzystają – zauważa Robert Sepeta, Business Development Manager w Kingstonie.
Największy problem dotyczy małych i średnich przedsiębiorstw. Wiele tzw. „misiów” cierpi na brak zarówno specjalistów, jak i środków na wdrożenie właściwych systemów. Oczywiście nierzadko zagadnienie bezpieczeństwa bywa przez nie ignorowane. W tym przypadku ważną rolę może odegrać integrator, który wie, o co klient powinien zadbać i podejmie próbę, aby go do tego przekonać.
Najlepsze praktyki szyfrowania
Właściwe użycie szyfrowania tworzy barierę niemal nie do pokonania, zabezpieczając dane przed nieautoryzowanym dostępem i gwarantując, że tylko uprawnione osoby będą mogły je odczytać. Czym jednak jest „właściwe użycie”? Według najkrótszej definicji to działanie na podstawie najlepszych możliwych praktyk, które należy uwzględnić, aby zapewnić najwyższy poziom bezpieczeństwa.
Aby zdecydować, gdzie metoda szyfrowania zostanie zastosowana, należy bardzo dokładnie ustalić, co wymaga ochrony.Z jednej strony wrażliwe dane mogą być w firmie wszędzie i trzeba je zidentyfikować oraz zlokalizować, z drugiej strony te, które znajdują się w systemach z własnymi zabezpieczeniami, nie zawsze wymagają szyfrowania.
Trzeba określić, gdzie znajdują się najbardziej wrażliwe zasoby danych w spoczynku (at rest) – zarówno lokalnie, jak i w chmurze. W poszukiwaniu cennych danych należy przejrzeć pliki, foldery, pamięć sieciową, aplikacje, serwery webowe, a także bazy danych. Szyfrowania mogą wymagać i dane strukturalne, i nieustrukturyzowane.
Nie należy pomijać danych przepływających przez wewnętrzną sieć i ją opuszczających. Gdy ruch jest niezabezpieczony, cyberprzestępcy nie tylko mogą wykradać dane, ale także używać różnych technik przejęcia kontroli nad firmowymi zasobami IT. Szyfrowanie zabezpieczy nie tylko przed złośliwymi działaniami, ale także ludzkimi błędami, w wyniku których może dojść do przesłania danych pod niewłaściwe adresy, szczególnie w środowiskach typu multi-tenant.
Szyfrowanie zawsze będzie w takim stopniu skuteczne, w jakim zapewniona będzie kontrola nad używanymi kluczami. Mogą zostać zgubione, skradzione, zniszczone lub wygasnąć po upływie określonego czasu, a w efekcie powstaną luki w zabezpieczeniach. Dlatego po wdrożeniu rozwiązań szyfrujących trzeba zadbać o właściwy system zarządzania nimi. Przede wszystkim wybrać bezpieczne miejsce przechowywania kluczy, upewniwszy się, że dostęp do nich mają tylko osoby do tego upoważnione.
W prostocie siła
Wdrożenie systemu obejmującego wszystkie drogi wycieku danych to proces długotrwały. Ustanowiona polityka bezpieczeństwa musi być bowiem stale modyfikowana tak, aby lepiej przystawała do sposobu zarządzania danymi w przedsiębiorstwie. Dostrajanie ma wpływ nie tylko na skuteczniejszą ochronę, ale także na optymalizację wykorzystania zasobów sprzętowych komputerów, bo wypełnianie reguł DLP może stanowić dla nich spore obciążenie. Trzeba przy tym przyznać, że na stosowanie mechanizmów DLP decydują się głównie firmy, które są do tego zobowiązane przepisami.
Kierujący wszystkimi przedsiębiorstwami i instytucjami powinni natomiast zwrócić uwagę na fakt, że do utraty danych bardzo często dochodzi w wyniku niekontrolowanego użycia przez pracowników pamięci USB. Pendrive’y mają obecnie bardzo dużą pojemność, a ze względu na małe wymiary łatwo je zgubić czy ukraść. Aby tego uniknąć, można oczywiście całkowicie zablokować możliwość używania portów USB w firmowych komputerach, co jest rozwiązaniem skutecznym, ale dość radykalnym. Jak podkreśla Robert Sepeta, choć to najtańsza i najprostsza opcja, bardzo ogranicza mobilność pracowników. W czasach, gdy są oni coraz mniej przywiązani do biurka, takie zabezpieczenie staje się poważnym utrudnieniem.
Przedstawiciel Kingstona dodaje, że mobilność jest dość mocno ograniczana także w wyniku stosowania firmowych procedur użytkowania pamięci USB obejmujących wewnętrzne szyfrowanie danych. Odpowiedni poziom bezpieczeństwa bez ograniczania mobilności pracowników ma według niego zapewniać użycie pamięci USB z pełnym sprzętowym szyfrowaniem.
– Po zastosowaniu, dodatkowo, platformy typu endpoint management, można stworzyć bardzo bezpieczne rozwiązanie – uważa Robert Sepeta.
Warto wspomnieć, że wymogi unijnego rozporządzenia o ochronie danych osobowych nakładają na administratora danych osobowych konieczność zgłoszenia ich utraty w czasie maksymalnie 72 godzin od zdarzenia, a także powiadomienia o problemie wszystkich poszkodowanych. W przypadku utraty szyfrowanej pamięci USB firma nadal ma obowiązek zgłoszenia incydentu, ale nie musi powiadamiać osób, których dane zostały zgubione czy ukradzione, bowiem ryzyko, że zostaną odczytane przez znalazcę lub złodzieja jest niewielkie.
Robert Sepeta
Business Development Manager, Kingston
Największym grzechem popełnianym przez małe i średnie firmy jest ignorowanie zagrożeń. Używanie nieszyfrowanych pamięci USB jest szerokim otwarciem furtki nie tylko dla wycieku danych, który może nastąpić przypadkowo, ale i do takiego, do którego można doprowadzić celowo. W ten sposób naraża się zasoby firmy na zagrożenia wynikające z pobierania przez pracowników plików z internetu i przynoszenia ich do pracy. Takie pliki nierzadko są zainfekowane złośliwym oprogramowaniem.
Kontrolowany koniec cyklu życia danych
Ze względu na możliwość wycieku danych, ich skuteczne zniszczenie staje się sprawą newralgiczną. Tymczasem z badania Comparitech oraz University of Hertfordshire wynika, że niemal 60 proc. dysków twardych, których przedsiębiorstwa się pozbywają, wciąż zawiera szereg poufnych informacji. W dwustu takich urządzeniach, kupionych do testów w internecie, znaleziono skany paszportów i praw jazdy, wyciągi bankowe, dokumenty podatkowe, wnioski wizowe, a nawet zdjęcia o charakterze intymnym. Badanie wykazało, że tylko 26 proc. dysków zostało poprawnie wyczyszczonych i nie można było z nich odzyskać danych, a kolejne 16 proc. miało cechy uszkodzenia i nie można było odczytać żadnych informacji. Z pozostałych nośników dane można było, w taki czy inny sposób, odzyskać. Co ciekawe, jeden na sześciu użytkowników nawet nie próbuje usunąć swoich plików.
Popularność usług bezpowrotnego usuwania danych rośnie przede wszystkim w związku z RODO. Zwłaszcza że są branże, w których obowiązują szczególne wymagania odnośnie do bezpieczeństwa danych i ich zupełnego zniszczenia (tak, żeby nie można było ich odtworzyć nawet za pomocą specjalistycznego sprzętu). Zwłaszcza trwałe czyszczenie lub niszczenie SSD i innych pamięci flash, to obiecujący biznes, z uwagi na coraz większe rozpowszechnienie tych nośników.
– Obecnie pracujemy nad technologią niszczenia pamięci flash, bo nie istnieje w pełni skuteczna metoda, gwarantująca całkowite usunięcie danych z telefonów, pamięci USB czy dysków SSD. Są firmy, które oferują programowe kasowanie danych z tego typu nośników, ale naszym zdaniem metody te nie są wystarczające, ze względu na złożoność budowy struktury tych pamięci. Pozostają oczywiście fizyczne niszczarki, których użycie również w 100 proc nie gwarantuje całkowitego usunięcia danych – mówi Tomasz Filipów, dyrektor zarządzający w Diskusie.
Fizyczną niszczarkę trudno jest jednak zastosować w przypadku telefonów komórkowych. Tym bardziej, że przeważają urządzenia bez wyjmowanej baterii. A ten rynek może być największym i najbardziej lukratywnym, jeśli chodzi o niszczenie zapisanych nośników flash. Dlatego tak istotną sprawą staje się opracowanie technologii, która szybko i skutecznie uniemożliwiałaby dostęp do danych z wycofywanego z użytku nośnika SSD.
W przypadku tradycyjnych nośników magnetycznych klient ma do wyboru ich zniszczenie lub skasowanie danych. Programowe kasowanie wybiorą ci, którzy chcą przekazać czy sprzedać sprzęt komputerowy innym użytkownikom albo zdecydują się ponownie użyć wyczyszczony nośnik. Proces ten polega na wielokrotnym (bywa, że kilkudziesięciokrotnym) nadpisywaniu utrwalonych na nośniku danych losowo generowanymi ciągami liczb. Z kolei niszczenie nośników to taka zmiana ich fizycznej struktury, by odczyt wcześniej zapisanych na nich danych stał się niemożliwy. Można w tym celu zastosować pole magnetyczne – wówczas wygląd nośnika się nie zmieni, ale jego wewnętrzna struktura zostanie trwale zniszczona i nie będzie się on nadawał do ponownego wykorzystania.
– Skasowanie danych po to, by można było ponownie wykorzystać dany nośnik, polega na wykorzystaniu specjalistycznego oprogramowania. Skuteczne i bezpieczne (na tę chwilę) kasowanie programowe trwa od kilku do kilkunastu godzin – w zależności od pojemności nośnika – i tylko pod warunkiem, że jest on sprawny. W połączeniu z zakupem stosownych licencji, to nie zawsze jest to opłacalne, pomijając fakt, że metoda programowa wykorzystuje algorytmy zapisu, które mogą zostać prędzej czy później złamane – ocenia Tomasz Filipów.
Oczywiście, klient może próbować oszczędności, decydując się na samodzielne zniszczenie nośnika, chociażby wiertarką i młotkiem. Jednak obecnie użytkownicy zdają sobie coraz lepiej sprawę z tego, jak wrażliwe mogą być dane i jakie konsekwencje może mieć dostanie się ich w niepowołane ręce.
Zdaniem integratora
Bartosz Dzirba, CTO i członek zarządu, Passus
Szyfrowanie ruchu sieciowego to skuteczna metoda ochrony transmitowanych danych przed przechwyceniem i kompromitacją firmy. I to zarówno w sieci lokalnej, gdzie dochodzi do wielu ataków, jak i – tym bardziej – w sieci publicznej, jaką jest internet. Szyfrowanie ruchu stało się więc niemal standardem i często bywa stosowane „z automatu” (powszechnie wykorzystywane są do tego takie protokoły jak SSL i TLS). Ma to swoje drugie oblicze: spotykamy się z rosnącym zainteresowaniem klientów rozwiązaniami do deszyfrowania. To dlatego, że ruch zaszyfrowany trudno analizować pod jakimkolwiek kątem – bezpieczeństwa, wydajności sieci, problemów z aplikacjami itp. Wszelkie posiadane przez klientów systemy do analizy ruchu, nawet firewalle nowej generacji (NGFW), niewiele są w stanie zrobić, a działy IT tracą widoczność w sieci. W rezultacie sprzedajemy i wdrażamy coraz więcej rozwiązań, które ruch sieciowy rozszyfrowują.
Podobne artykuły
Szkolenia G DATA dla partnerów i klientów
G DATA ma w ofercie platformę szkoleniową, z której mogą korzystać użytkownicy końcowi, ale też partnerzy do rozbudowy portfolio swoich usług związanych z bezpieczeństwem.
Trwałość niejedno ma imię
Użytkownicy dysków SSD powinni zapoznać się z nowymi parametrami związanymi z trwałością komórek pamięci flash, aby uniknąć nieporozumień podczas wybierania odpowiedniego nośnika do różnych zastosowań.
Obecnie wszystko i wszyscy są podejrzani
Następuje zmiana paradygmatu, w wyniku której zaufanie do kogokolwiek czy czegokolwiek w kontekście cyberbezpieczeństwa powinno stać się… zerowe. Także w odniesieniu do sztucznej inteligencji.