Na redakční otázky odpovídá Vladimír Čapek, Autocont CZ a.s. Security & Networking

1) Pro jaké typy dat a jaké typy ochrany šifrování vhodné je – a pro jaké nikoliv? Na jaké oblasti dat bychom při úvaze o nasazení šifrování neměli zapomenout?

Šifrovat je možno jakýkoliv datový obsah. V IT se šifrování převážně používá dle typu umístění citlivých či soukromých informací. Je možno šifrovat e-mail komunikaci, je možno šifrovat soubory či adresáře jak na lokálních počítačích, tak na sdílených složkách souborových serverů, a je také možno mít šifrovaný celý pevný disk. Šifrování je z pohledu PC matematicky náročná operace a zatěžující procesor a tak je vhodné zvážit, jaká data potřebuji šifrovat.

2) Na jaké předsudky narážíme nejčastěji v oblasti bezpečnosti šifrováním?

Dle mého názoru je to strach ze ztráty zašifrované informací. A to je zcela přirozené. Pokud chráníme soubory proti jejich neoprávněnému přečtení, je třeba mít na vědomí, že ochrana informace zajišťující dešifrování (pin, certifikát, heslo) je klíčová a nenahraditelná!

Ovšem existuje řešení pro eliminaci nevratné ztráty informací. Některé produkty mají možnost nastavit tzv. „záchrannou brzdu“ v podobě speciálních klíčů (Admin tokenů), uživatelů (Recovery Agenti), kteří v případě, že uživatel ztratí své dešifrovací tajemství, dovedou uživateli klíč nahradit, data dešifrovat apod.

3) S jakými typickými chybami se v oblasti šifrování (jak nasazení, tak používání) lze setkat?

První chybou je neznalost prostředí. Při nasazení je třeba znát a dát si do souvislostí společnosti jak z pohledu produktů které používá, jejich operačních systémů tak i to jaká data jsou pro firmu důležitá. Důležité je zmapovat kdo má kam a jaký přístup a kdo má k čemu mít přístup pro práci s informacemi. V neposlední řadě je třeba vědět, jaký typ uživatelů bude s šifrovacími nástroji pracovat a vynutit šifrování třeba centrální politikou pro eliminování chyby lidského faktoru. Nastavení procesů a scénářů popisující práci se šifrovacím produktem.

4) Jak ošetřit v oblasti šifrování zastupitelnost jednotlivých uživatelů?

Šifrování zajišťuje soukromí. Soukromí a zastupitelnost někým jiným nejdou zcela ruku v ruce. Mimo již zmíněné „záchranné brzdy“ v podobě speciálního postupu či pracovníka mě napadá případ, kdy se šifrovaná data využívají pro ochranu ne soukromých souborů (dat), ale v rámci pracovní skupiny.  I pro takové požadavky existují softwarová řešení.

5) Jak vybrat nejlepší šifrovací mechanismus (aby výsledek nebyl příliš slabý ani neadekvátně silný)? Jak zajistit, aby se šifrování neobrátilo proti uživateli?

Většina produktů nabízí užívání nejnovějších šifrovacích algoritmů. Ty se nastavují dle využití v konkrétním případě. V některých případech stačí využívat jen symetrické šifrování - například u šifrování pevného disku.  Někdy dochází k propojení asymetrické kryptografie se symetrickou například v e-mail komunikaci. Přesto i zabezpečení souborů nejsilnějším šifrovacím algoritmem nezajistí bezpečnost, pokud nejsou dodržovány základní bezpečností metodiky jako například vynucené složitosti hesel.