Na redakční otázky odpovídá Ing. Karel Klumpner, Obchodní ředitel, COMGUARD a.s.

1) Pro jaké typy dat a jaké typy ochrany šifrování vhodné je – a pro jaké nikoliv? Na jaké oblasti dat bychom při úvaze o nasazení šifrování neměli zapomenout?

Odpověď na otázku pro jaké typy dat je šifrování vhodné či nikoliv – není technického, ale spíše strategického rázu.

Dnešní nástroje typu standardu PGP umožňují šifrovat veškerá data, na která si vzpomenete a dokonce umožňují i šifrovat přenosná média bez nutnosti cokoli instalovat na stanice + kompatibilita s jinými systémy. Jiné nástroje typu McAfee mají užší zaměření, ale zase jsou plně integrované s jinými bezpečnostními prvky jako je antivir nebo desktop firewall.

Na co bychom neměli zapomenout? Asi na obyčejný selský rozum :-) Asi nemá smysl šifrovat data publikovaná na internetu a na druhou stranu nemusí být každý z nás vyznavač adrenalinového napětí – například tím, že používá zcela nechráněný notebook. Zrovna tak se hodí bezpečná záloha šifrovacího klíče, protože stát s otazníky v očích před vlastním nedobytným počítačem…

2) Na jaké předsudky narážíme nejčastěji v oblasti bezpečnosti šifrováním?

Předsudky? Je to moc složité, nespolehlivé. Jsou tam zadní vrátka. Neumí to funkci XYZ.

Je pravda, že se setkávám s různou úrovní kvality od jednotlivých výrobců -  někteří šikovně šifrují jen část dat a tváří se jak je vše v pořádku, jiní Vám zabezpečí počítač tak, že můžete zajít na kávu a nebo si přečíst ranní zprávy než se Váš přístroj začne zabývat potřebnou činností pro Vás. Proto si vždy říkám – bezpečnost ano, ale je neúměrně zpomalený počítač ještě „bezpečný“ = tedy vhodný pro výdělečnou práci? Abych neukazoval na jiné, uvedu příklad naší společnosti, kdy jsme se po mnohaletém hledání rozhodli pro PGP Wholedisk. Důvod? Bleskový start, pohodlné a bezpečné přihlášení + vysoká úroveň ochrany dat.

Z pohledu zadních vrátek se stále objevují různé fantastické články, kdy se nakonec bohužel ukáže, že šlo o chybu obsluhy, procesu a nikoliv samotného produktu. Nicméně síla šifry je jedním z vypovídajících faktorů o úrovni zabezpečení Vašich dat.

Chybí funkce XYZ – vývoj jde stále dopředu a i noví výrobci se snaží kopírovat již prověřené funkce a dohánět tak náskok leaderů.

3) S jakými typickými chybami se v oblasti šifrování (jak nasazení, tak používání) lze setkat?

Extrém – buď přílišné přecenění potřeb ochrany, nebo naopak podcenění situace. Vše vychází z lidské povahy – snaha ušetřit, bohužel často na nesprávném místě „typický evergreen“. Narážím na analýzu situace a vyhodnocení rizik – nikde snad není takový zmatek, jako v této oblasti! Vyzdvihnu pro stručnost jen dva protipóly:

• Nemáme analýzu rizik = nic nepotřebujeme šifrovat = nic netajíme. Ano jen do té doby, než s údivem zjistíme, kolik stojí únik citlivých dat např. osobních a kontaktních údajů. Malou firmu to může zničit, velkou to „zabolí“ – a ztráta důvěry klientů může být fatální i pro nadnárodní gigant.

• Máme analýzu rizik = ale formální (nemáme čas/peníze) = budeme pro jistotu šifrovat všechno a všude. Výsledkem může být zajímavý obchodní případ, ale nikoliv zdravý a dlouhodobý partnerský vztah

4) Jak ošetřit v oblasti šifrování zastupitelnost jednotlivých uživatelů?

Moderní produkty nabízejí díky svým centrálním systémům celou řadu možností zastupitelnosti a přidělení práv jednotlivým kompetentním osobám – od call centra, bezpečnostního manažera až po administrátora.

Výbornou vlastností např. u produktu PGP NetShare je přenesení zodpovědnosti za šifrovaná data ze správce na uživatele. Uživatel (vlastník dat) sám určí, kdo má přístup ke sdíleným souborům a nemusí mít obavy z automatického zálohování či (možná) zvědavých administrátorů.

5) Jak vybrat nejlepší šifrovací mechanismus (aby výsledek nebyl příliš slabý ani neadekvátně silný)? Jak zajistit, aby se šifrování neobrátilo proti uživateli?

Otázka na mechanismus je trochu zavádějící. Finálně prakticky všechny produkty používají stejný. Výběr pak není o samotné šifře, ale spíš řekněme o obslužném programu a o procesech. Od procesů a tedy požadavků musíme vyjít a částečně je řešení uvedeno výše, pomocí analýzy rizik. Nemusí to být nutně analýza rizik ve formě velkého projektu, potřebou ochrany (co, kdy, pro koho apod.) je však nutné se nad tím zamyslet. Ze sumarizace požadavků pak můžeme pokračovat samotným výběrem produktu.