RSS
| ASKON - Samozřejmě se náklady zdají být zbytečné, než dojde ke ztrátě a zneužití dat |
|
Všude tam, kde se musí omezit přístup k datům, je vhodné šifrování. Pro bezpečný přenos dat se používají linkové šifrátory, k ochraně uložených dat je k dispozici šifrovací software, který se dá kombinovat s hardwarovými úložišti, a pro práci s citlivými údaji můžeme využít silnou autentizaci. Šifrovací software umí šifrovat celé pevné disky nebo vybrané soubory a složky. Nabízíme také zařízení pro šifrování databází. Každý produkt se dá použít v kombinaci s hardwarovým tokenem nebo čipovou kartou, na kterých se ukládají privátní data jako klíče nebo hesla. Neměli bychom zapomenout rozumně nakládat především s osobními a přístupovými údaji, v rámci firmy bych doporučil šifrovat pevné disky všech počítačů, které obsahují obchodní a další strategické údaje. Pro veřejně dostupné dokumenty, marketingové materiály apod. je samozřejmě šifrování zbytečné. 2) Na jaké předsudky narážíme nejčastěji v oblasti bezpečnosti šifrováním? Často se setkáváme s názorem, že náročnost implementace a výše vynaložených investic do bezpečnosti neodpovídají získaným benefitům. V případě některých produktů to může platit. Proto zastávám názor, že bezpečnostní řešení by se mělo zpracovat vždy pro danou společnost na míru podle toho, jaká data je třeba chránit a jak je s nimi nakládáno. Samozřejmě se náklady zdají zbytečné jen do té doby, než dojde ke ztrátě a zneužití dat. 3) S jakými typickými chybami se v oblasti šifrování (jak nasazení, tak používání) lze setkat? Základem je, stanovit jasná pravidla, jak se chovat k důvěrným datům a povolit co nejméně výjimek. Když jsou někteří privilegovaní uživatelé z bezpečnostních procesů vyjmuti, efektivnost nasazení šifrování se rychle snižuje. Zákazník by se měl aktivně zajímat o kompatibilitu daného řešení s používanými produkty a prozkoumat nabízený produkt z hlediska technické podpory a vývoje do dalších let. Nejhorší je, když najednou zjistí, že se slávou zakoupený produkt nepodporuje novou verzi operačního systému, která má být za měsíc nasazena v celé firmě. 4) Jak ošetřit v oblasti šifrování zastupitelnost jednotlivých uživatelů? Pokud ve firmě není více osob, které se vzájemně zastupují, mohou se přístupová práva spravovat pružně prostřednictvím nasazení systémů IAM (Identity and Access Management). Pro případy „nedobytných dat“ se může např. vytvořit duplicitní administrátorský hardwarový token, který obsahuje příslušné přístupové údaje (certifikáty, hesla) a který se uloží do trezoru. Tento token bude vydán vedením společnosti jen určené důvěryhodné osobě. Osoby, které mají vyšší přístupová práva (např. k firemní certifikační autoritě), mohou vydat certifikát za osobu, která je dočasně mimo kancelář. 5) Jak vybrat nejlepší šifrovací mechanismus (aby výsledek nebyl příliš slabý ani neadekvátně silný)? Jak zajistit, aby se šifrování neobrátilo proti uživateli? Doporučil bych používat certifikované, běžně dostupné šifrovací algoritmy, které ještě nebyly prolomeny. Pro symetrické šifrování např. AES 128bitů a výše či 3DES a pro asymetrické šifrování RSA 1024bit a výše popř. kryptografii eliptických křivek (ECC). Tyto algoritmy jsou v aplikacích běžně dostupné a většinou jde vybrat i sílu klíče s ohledem na požadovanou bezpečnost a rychlost. Největší nepřítel bezpečnosti je právě to, že se obrátí proti uživateli a výsledkem je buď bojkot uživatelů, nebo porušování bezpečnostních pravidel. Např. vynucování příliš silného hesla může znamenat to, že se každému druhému uživateli objeví na papírku u klávesnice. |
1) Pro jaké typy dat a jaké typy ochrany šifrování vhodné je – a pro jaké nikoliv? Na jaké oblasti dat bychom při úvaze o nasazení šifrování neměli zapomenout?
