Popularność pracy zdalnej i modelu BYOD sprawiły, że firmy muszą się liczyć z coraz większym ryzykiem wycieku poufnych danych oraz zagrożeniami w rodzaju szpiegostwa przemysłowego i cyberataków. Najlepsze praktyki ochrony zakładają wykorzystanie szyfrowania, które zapewnia prywatność i uzyskanie zgodności z regulacjami branżowymi, np. PCI i HIPPA, oraz ogólnymi, takimi jak RODO.

Na rynku funkcjonuje bardzo wiele rozwiązań do szyfrowania danych na poziomie aplikacji, urządzeń końcowych, baz danych, serwerów, pamięci masowych, a także całych centrów danych i zasobów w chmurze. Są też produkty zapobiegające wyciekom danych, czyli platformy DLP. Jednak wybór właściwych narzędzi dla klienta, dostosowanych do jego konkretnych potrzeb i możliwości budżetowych, wcale nie jest prosty. Niełatwym zadaniem jest także wdrożenie, bo nawet najlepszy system ochronny niewłaściwie zaimplementowany, zamiast chronić zmniejsza bezpieczeństwo informatyczne albo dezorganizuje pracę.

Z szyfrowania jako pierwsze oczywiście korzystało wojsko, a następnie ten sposób ochrony danych przejęły firmy z branży finansowej. Kryptografii używają placówki administracji publicznej a także ochrony zdrowia. Coraz częściej sięgają po nią większe przedsiębiorstwa, na co wpływ w ostatnich latach ma znaczny wzrost wiedzy o zagrożeniach związanych wyciekiem danych. Przyczyniły się do tego m.in. działania WikiLeaks i afera zapoczątkowana przez Edwarda Snowdena.

W większych firmach zdano sobie sprawę, że uwierzytelnianie to niewystarczające zabezpieczenie. Firmy z sektora MŚP wciąż jednak stosują ochronę, na przekład przez szyfrowanie, w zbyt małym zakresie, licząc, że ryzyko wycieku danych nie jest w ich wypadku duże – mówi Dzianis Kashko, Key Account Manager w firmie Comtegra.

Podczas wdrożeń integrator ma do czynienia z dwoma rodzajami danych. Część z nich pozostaje w spoczynku (data at rest) i znajduje się na wewnętrznych i zewnętrznych nośnikach. Są też dane, które przesyła się w sieci (data in motion), np. w formie wiadomości pocztowych. Ponieważ informacje w ruchu łatwiej przechwycić, w tym wypadku częściej stosuje się szyfrowanie asymetryczne. Do zabezpieczania danych w spoczynku wykorzystywana jest prostsza kryptografia symetryczna.

Można się spodziewać, że szyfrowanie będzie coraz powszechniej stosowane w komunikacji zewnętrznej – między stronami biznesowymi, oddziałami jednej firmy itp. Przedsiębiorstwom decydującym się na tego rodzaju ochronę poczty elektronicznej można zaproponować jedno z dwóch rozwiązań. Pierwszym są agenty programowe instalowane na urządzeniach końcowych. Gdy użytkownik napisze wiadomość i kliknie „wyślij”, zostanie ona poddana szyfrowaniu przez agenta w jego komputerze. W zabezpieczonej postaci e-mail jest przekazywany do serwera pocztowego i dalej do odbiorcy.

 Drugim rozwiązaniem jest zainstalowanie w infrastrukturze bramy pocztowej, która będzie odpowiadać za szyfrowanie. Gdy użytkownik wyśle e-mail, to po przejściu przez lokalny serwer pocztowy wiadomość zostanie zaszyfrowana przez bramę i wyekspediowana w świat – tłumaczy Damian Przygodzki, Senior Systems Engineer w ABC Data.

 

Razem z systemem operacyjnym

Przedsiębiorstwa nie muszą dziś kupować do szyfrowania oddzielnego rozwiązania. Mogą wdrożyć tego rodzaju ochronę danych na dyskach swoich komputerów, wykorzystując natywne narzędzia wbudowane w systemy operacyjne. Microsoft oferuje BitLockera na platformie Windows, a Apple – rozwiązanie FileVault dla swoich urządzeń z systemem Mac OS.

BitLocker jest na tyle dobrym narzędziem, że klienci chcący stosować szyfrowanie na komputerach z Windows 8 i 10 (w wersjach Professional i Enterprise) oraz Windows 7 (Enterprise i Ultimate) często decydują się na jego użycie, oszczędzając na zakupie dodatkowego rozwiązania.

 Gdy jednak potrzebne jest bardziej zaawansowane zabezpieczenie, które zapewnia większe możliwości konfiguracji i korelacji z innymi narzędziami, warto zaproponować klientowi produkty niezależne od systemu operacyjnego – twierdzi Damian Przygodzki.

Specjalistyczne rozwiązanie może także zapewniać wygodne i wydajne zarządzanie urządzeniami, na których będą wykorzystywane funkcje szyfrowania wbudowane w systemy operacyjne.

Producenci rozwiązań przeznaczonych do szyfrowania dysków zauważyli, że dostępność takich narzędzi jak BitLocker wpływa na wyniki sprzedaży ich własnych produktów. Dlatego starają się oferować coś więcej – do zabezpieczania dysków dodają szyfrowanie poczty elektronicznej, czyli umożliwiają wykorzystanie jednocześnie kluczy asymetrycznych i symetrycznych. W ich rozwiązaniach często jest stosowany bardzo efektywny protokół Pretty Good Privacy (PGP).

 

Metoda organizacji dostępu

Narzędzia do szyfrowania klasy enterprise są wdrażane nie tylko po to, by umożliwić skuteczną ochronę informacji, ale również w celu efektywnego zarządzania procesami biznesowymi w przedsiębiorstwach. Ogromnym problemem może być chociażby utrata urządzenia końcowego, takiego jak laptop, w wyniku kradzieży bądź zaniedbania pracownika. Kłopot sprawia też pracownik, który zapomina hasła albo rozstaje się z pracą i zwraca komputer, ale nie zostawia haseł dostępu do zaszyfrowanych na urządzeniu informacji.

Administrator dysponujący konsolą do zarządzania kluczami kryptograficznymi uniknie konsekwencji opisanych sytuacji – w pierwszym przypadku dzięki możliwości wymuszania szyfrowania, w drugim – ponieważ ma dostęp do haseł. Konsola posłuży mu także do narzucenia użytkownikom okresowej zmiany haseł zabezpieczających, by nie dochodziło do przechwycenia uniwersalnego klucza do szyfrowania dysku i poczty e-mail, który nie był zmieniany przez długi czas.

Zdaniem integratora

• Dzianis Kashko, Key Account Manager, Comtegra

Obserwujemy, że większość przedsiębiorstw w segmencie enterprise w mniejszym lub większym stopniu już wykorzystuje szyfrowanie służące zachowaniu poufności danych. Wszyscy klienci przetwarzający i przechowujący dane osobowe oraz używający ich w komunikacji zewnętrznej muszą stosować metody kryptograficzne. I nie jest to sprawa ich wyboru, tylko obiektywna konieczność. Nie poniosą bowiem odpowiedzialności za wyciek informacji, jeśli była solidnie zabezpieczona. Klienci wykorzystują także szyfrowanie do tworzenia zaufanych stron internetowych, do bezpiecznej komunikacji pocztowej, zarówno wewnętrznej jak i zewnętrznej, oraz do zabezpieczania dysków w komputerach. Korzystają często z kluczy asymetrycznych, ale do dyspozycji mają dziesiątki różnych metod kryptograficznych, stosowanych w zależności od rodzaju medium i chronionej informacji.

 

Przy szyfrowaniu ważne jest zarządzanie dostępem do danych klasyfikowanych według różnych poziomów poufności. Wykorzystując platformy do zarządzania, można realizować zasadę ograniczania uprawnień dostępu do informacji (least privilege) i przydzielać go tylko tyle, ile potrzeba pracownikowi do wykonywania obowiązków określonych przez stanowisko i wykonywane w firmie zadania. Może to dotyczyć także zewnętrznych administratorów i usługodawców.

 

W pakiecie z antywirusem

Narzędzia do szyfrowania mogą być wdrażane oddzielnie, bądź jako element całościowej ochrony typu Endpoint Security. W ostatnich latach pakiety do zabezpieczania punktów końcowych obrastały kolejnymi funkcjami. Kiedyś zapewniały przede wszystkim opartą na sygnaturach ochronę przed wirusami i innym złośliwym oprogramowaniem. Dziś są to „kombajny” z wieloma modułami, z których każdy odpowiada za inny aspekt zabezpieczeń i zarządzania ochroną informacji w przedsiębiorstwach.

Ważnym elementem tych platform są narzędzia do szyfrowania danych oraz zarządzania komputerami, nośnikami i aplikacjami chronionymi metodami kryptograficznymi. W rezultacie można dystrybuować reguły szyfrowania w sieci i zdalnie kontrolować ich przestrzeganie w punktach końcowych.

Szyfrowaniu mogą być poddawane wszystkie dane zapisane na dyskach wewnętrznych oraz w folderach określonych przez administratora albo użytkownika. Funkcje kryptograficzne zapewniają też ochronę wymiennych urządzeń pamięci masowej. Przeprowadzają wtedy szyfrowanie danych kopiowanych na wymienne nośniki, mogą również zabezpieczać całą zawartość zewnętrznego urządzenia zaraz po jego podłączeniu do komputera. Pakiet do zabezpieczania punktów końcowych może także zawierać funkcje szyfrowania wiadomości wysyłanych pocztą elektroniczną i przekazywanych przez inne kanały komunikacji.

 

Żeby nic nie wyciekło

Wraz z szyfrowaniem stosuje się coraz częściej konsolidację danych i rozwiązania zapobiegające wyciekowi danych (Data Loss Prevention). Przykładowo, uniemożliwia się kopiowanie krytycznych danych na urządzenia wynoszone poza firmę.

Wdrożenie systemów DLP nie jest jednak łatwe, ponieważ kwestia wycieku danych dotyka newralgicznych obszarów funkcjonowania przedsiębiorstw. Jest także procesem długotrwałym, bo ustanowiona polityka bezpieczeństwa wymaga modyfikowania, by lepiej przystawała do sposobu zarządzania danymi w danej firmie. Dostosowywanie polityki ma wpływ nie tylko na skuteczniejszą ochronę, ale także na optymalizację wykorzystania zasobów sprzętowych komputerów, bo egzekwowanie reguł DLP może być dla nich sporym obciążeniem.

Szyfrowanie to nic nowego

Na długo przed ostatecznym kształtem regulacji RODO i ustaleniem daty ich wprowadzenia w życie, Generalny  Inspektor Ochrony Danych Osobowych zwracał uwagę, że szyfrowanie jest podstawowym sposobem zapewnienia poufności danych osobowych. Stanowi bowiem ochronę przy przesyłaniu danych metodą teletransmisji siecią publiczną, w której istnieje niebezpieczeństwo przejęcia informacji przez osobę nieupoważnioną, a także ich nieuprawnionej zmiany, uszkodzenia lub zniszczenia. W celu utrzymania wysokiego poziomu bezpieczeństwa systemów informatycznych, wykorzystywanych do przetwarzania danych osobowych, sprzętu i nośników przenośnych od dawna zalecane jest także stosowanie środków ochrony kryptograficznej.

 

Dlatego dopiero po okresie od sześciu miesięcy do roku, zależnie od złożoności przypadku i zaawansowania użytego rozwiązania, można mówić o sprawnie działającym systemie w środowisku firmowym klienta – ocenia Damian Przygodzki.

Ponieważ rozwiązania DLP nie są tanie, a od wdrażających wymagana jest spora wiedza, na rynku pojawiają się narzędzia mniej kosztowne, które oferują tylko niektóre, wybrane funkcje ochrony przed wyciekiem danych. Może to być kontrola użycia przenośnych nośników danych podłączanych przez porty USB w komputerach, zabezpieczanie dokumentów w urządzeniach mobilnych itp. Do wyboru „lżejszych” rozwiązań DLP ma przekonać klientów daleko posunięta intuicyjność i automatyzacja ochrony.

– DLP jest jednak tak skomplikowanym procesem, że nie można tego typu ochrony za bardzo uprościć i zautomatyzować. Dane są na tyle cennym zasobem, że wymagają zaawansowanej kontroli – uważa przedstawiciel ABC Data.

 

Ciągle brakuje procedur

Wprowadzenie szyfrowania w przedsiębiorstwie jest relatywnie proste, bo opiera się na ilościowej ocenie ryzyka i kosztów jego ograniczania. Upraszczając, da się obliczyć, ile może kosztować firmę utrata laptopa, bo składa się na to cena sprzętu oraz wartość znajdujących się na nim informacji (liczona np. na podstawie wysokości kary za wyciek danych osobowych).

– Inaczej sprawa ma się z oceną jakościową ryzyka w przypadku systemów DLP. Trudno oszacować, jaki wpływ na reputację i wartość firmy będzie miał wyciek informacji – wyjaśnia Dzianis Kashko z Comtegry.

Przedstawiciel warszawskiego integratora uważa, że największym problemem z DLP nie jest konfiguracja platformy, bo każde narzędzie prędzej czy później da się skonfigurować. Chodzi raczej o brak w firmach procedur biznesowych i szeroko pojętej polityki bezpieczeństwa, w wyniku czego tego typu wdrożenia mogą się ciągnąć w nieskończoność. A zatem projekt powinien zaczynać się od określenia, czym dokładnie dane przedsiębiorstwo się zajmuje, jakie dane są dla niego najważniejsze oraz jaki poziom ryzyka może zaakceptować. Częsty błąd polega na tym, że aby wprowadzić jak najlepszą ochronę, zaczyna się blokować praktycznie wszystko, a wtedy firma może zostać wręcz sparaliżowana.

Dlatego w projektach dotyczących dużych i skomplikowanych przedsiębiorstw pojawia się potrzeba skorzystania z usług profesjonalnych firm konsultingowych i audytorów, którzy potrafią przełożyć uwarunkowania biznesowe na język techniczny, zrozumiały dla integratorów i administratorów. Ma to znaczenie ponieważ przedstawiciele biznesu posługują się specyficznym językiem i często mają oczekiwania zupełnie oderwane od rzeczywistych możliwości i potrzeb. Wtedy lepiej, gdy z zarządem firmy komunikuje się ktoś jeszcze, kto dobrze rozumie zarówno uwarunkowanie biznesowe, jak i techniczne.