Klienci często uważają, że szyfrowanie i DLP nie przyniosą im wymiernych korzyści. Twierdzą, że implementacja tych rozwiązań będzie uciążliwa zarówno dla pracowników, jak i dla kierownictwa. Trzeba więc przekonująco przedstawić konsekwencje braku zabezpieczeń. Pokazać, że skuteczna ochrona z pewnością nie sparaliżuje firmy, za to umożliwi jej działanie w sposób bardziej uporządkowany i zgodny z polityką bezpieczeństwa.

O ile kiedyś szyfrowanie danych dotyczyło głównie kluczowych instytucji państwowych, o tyle dziś muszą o nie zadbać praktycznie wszyscy. Wraz z wprowadzeniem RODO przedsiębiorstwa zobowiązane są zgłaszać wszelkie naruszenia bezpieczeństwa danych osobowych. Jeśli informacje były przechowywane i przesyłane w postaci zaszyfrowanej, prawdopodobieństwo ich niewłaściwego wykorzystania radykalnie maleje, a z nim ryzyko ukarania firmy bardzo wysoką grzywną. Oczywiste jest bowiem, że naruszenie bezpieczeństwa danych nie polega tylko na tym, że w niekontrolowany sposób opuszczają one przedsiębiorstwo. Muszą mieć jeszcze formę umożliwiającą ich użycie.

Argumentem za stosowaniem szyfrowania są nie tylko nowe przepisy (a właściwie przewidziane w nich kary), ale także konsekwencje utraty tak cennego zasobu, jakim są dane. Przetwarzane i przenoszone przez pracowników informacje stanowią często know-how firmy, bo są to m.in. projekty, bazy klientów, nawet zestawienia finansowe. Do klientów integratorów docierają doniesienia medialne o głośnych naruszeniach bezpieczeństwa informacji i wynikających z nich stratach finansowych oraz reputacyjnych. I w mniejszym lub większym stopniu muszą robić na nich wrażenie. A przecież zabezpieczenie zasobów za pomocą kryptografii to nie jest – jakby powiedzieli Amerykanie – rocket science. Zaszyfrować da się dziś niemal wszystko (choć oczywiście nie w każdym przypadku mamy do czynienia z taką potrzebą).

Niemniej ochrona metodą szyfrowania powinna być częścią strategii bezpieczeństwa każdej firmy. Żeby się tak stało resellerzy i integratorzy muszą podjąć zadanie edukacji klientów oraz pokazać im wynikające z tego korzyści. To tym łatwiejsze, że na rynku jest dostępnych bardzo wiele rozwiązań, a szyfrowania można dokonywać zarówno sprzętowo, jak i programowo. Często jest oferowane w ramach pakietów ochrony punktów końcowych, ale dostępne są też bardziej wyspecjalizowane i zaawansowane narzędzia.

 

Przede wszystkim urządzenia mobilne

Za bardzo bezpieczne rozwiązanie można uznać pełne szyfrowanie dysków na komputerach mobilnych. W przypadku zagubienia lub kradzieży zaszyfrowanego laptopa bez loginu i hasła nikt nie będzie miał dostępu do znajdujących się na nim informacji. Nie da się go uruchomić, a dane będą bezpieczne nawet po wyjęciu dysku z komputera i próbie uruchomienia go w innym systemie.

Przedsiębiorstwa potrzebują też bezpiecznych smartfonów i tabletów. Nie powinno być z tym większego problemu w przypadku urządzeń firmowych, którymi można zarządzać zgodnie z określoną polityką bezpieczeństwa, m.in. instalować tylko dozwolone aplikacje. W przypadku BYOD trzeba włożyć więcej wysiłku w edukację wyposażonych pracowników. Kwestia ochrony poufnych danych na urządzeniach prywatnych to jednak spore wyzwanie. Z pomocą przychodzi funkcja szyfrowania wbudowana w smartfony, którą należy aktywować za zgodą pracownika.

Jakiś czas temu producenci oprogramowania do zarządzania urządzeniami mobilnymi (Mobile Device Management) oraz niektórzy dostawcy smartfonów wprowadzili w nich opcję umieszczania oraz szyfrowania danych i aplikacji biznesowych w zabezpieczonych kontenerach. Jednak efektywność tej metody zależy od sposobu korzystania z kontenerów. Chociaż zapewniają bezpieczeństwo, często dzieje się to kosztem wygody obsługi. Z tego powodu nie są odpowiednie dla wszystkich użytkowników, urządzeń i zastosowań. Lansowany jest więc kompromis między stosowaniem firmowych, w pełni kontrolowanych urządzeń a modelem BYOD. W optymalnym pod tym względem modelu COPE (Corporate Owned, Personally Enabled), zakładającym użycie urządzeń pracodawcy dostosowanych do prywatnych celów, w praktyce ochrona sprowadza się do wymuszenia pewnych ustawień zabezpieczeń, wstępnego skonfigurowania kont użytkowników oraz stworzenia kontrolowanego sklepu z aplikacjami.

Do ochrony przed wyciekiem informacji konieczne staje się szyfrowanie przenośnych pamięci. Są one najbardziej narażone są na zgubienie i kradzież. Dlatego producenci odnotowują rosnącą popularność szyfrowanych pamięci USB.

– Klienci coraz częściej zastanawiają się nie nad tym, czy kupować pamięci szyfrowane, tylko jakie wybrać – mówi Robert Sepeta, Business Development Manager w Kingston Technology.

Na rynku jest duży wybór pamięci USB, dostosowanych do potrzeb każdego klienta, od osób prywatnych, przez małe i średnie firmy po największe korporacje, banki i instytucje administracji publicznej. Klienci o ograniczonych budżetach znajdą pamięci za kilkadziesiąt złotych, które w zupełności spełnią podstawową funkcję ochrony. Posiadający bardziej wrażliwe dane i chcący znacząco podnieść poziom bezpieczeństwa, mogą zdecydować się na certyfikowane rozwiązania dla przedsiębiorstw.

Choć szyfrowania wymagają przede wszystkim urządzenia mobilne, to także komputery stacjonarne i serwery mogą być przedmiotem kradzieży, a na pewno znajdujące się na nich dane. Warto je więc objąć tego rodzaju ochroną. Tym bardziej, że w przyszłości ułatwi ona proces wycofywania starego sprzętu z użycia. Jeśli zostanie zastosowane szyfrowanie, podczas recyklingu komputerów łatwiejsze jest czyszczenie dysków i ma się pewność, że firmowe informacje nie wpadną w niepowołane ręce.

Zdaniem integratora

Adam Kuligowski, wiceprezes zarządu, SIDIO

Szyfrowanie zapewnia poufność i integralność danych, co jest szczególnie ważne w sytuacji, gdy coraz częściej struktura przedsiębiorstw, w tym utrzymywanych przez nie aplikacji, jest rozproszona. Oferujemy klientom rozwiązanie do szyfrowania plików, np. tych, które zgodnie z polityką bezpieczeństwa mogą być używane na zewnątrz firmy. Dzięki niemu można je zaszyfrować w dowolnym miejscu i czasie. Proponujemy też szyfrowanie komunikacji SMTP, czyli e-maili wychodzących z przedsiębiorstwa. Nie mogę jednak powiedzieć, że takie rozwiązania wdrażamy masowo. Choć klienci pytają nas o szyfrowanie, nie idzie za tym wyraźny wzrost sprzedaży tego rodzaju narzędzi ochronnych.

 

Kluczem jest klasyfikacja danych

Najbardziej skuteczne będzie takie wdrożenie szyfrowania i całościowej ochrony przed wyciekiem danych, aby te procesy wymagały minimalnej interakcji administratora i użytkownika. Jednak żadna implementacja rozwiązań zabezpieczających informacje nie zakończy się sukcesem bez skutecznej polityki klasyfikowania danych i ustalenia reguł dostępu do nich. To niezbędne w ochronie informacji, w której najsłabszym ogniwem zawsze jest autoryzowany użytkownik końcowy.

Aby firmy i instytucje mogły skutecznie zabezpieczać swoje dane, należy przede wszystkim ograniczyć dostęp do danych osobowych i innych wrażliwych informacji pracownikom, którzy takiego dostępu nie potrzebują – twierdzi Robert Sepeta.

Jeśli klient zastanawia się, które dane powinny być szyfrowane, można zadać mu kilka prostych pytań. Czy gdyby te informacje były na papierze, do pozbycia dokumentacji użyłby niszczarki? Czy gdyby dane przypadkowo wyciekły do internetu, spowodowałyby szkody dla jego pracowników lub klientów? Jeśliby na któreś z tych lub podobne pytanie odpowiedział twierdząco, powinien pomyśleć o stosowaniu szyfrowania.

Często klienci obawiają się, że na skutek wprowadzenia szyfrowania komputery będą działać wolniej i zużywać więcej energii. Tymczasem korzystanie z tego zabezpieczenia nie wiąże się z wyraźnym spadkiem wydajności urządzeń, a tym samym produktywności pracowników. Do szyfrowania nie trzeba też kupować sprzętu najnowszej generacji. Od dawna procesory dysponują zestawem instrukcji służących do sprzętowej akceleracji szyfrowania. Z kolei urządzenia pamięci masowej są wyposażane w specjalne procesory, które zajmują się szyfrowaniem i deszyfrowaniem danych na poziomie kontrolera lub dysku. W rezultacie system operacyjny nie jest nawet „świadomy”, że dane są szyfrowane, a tego rodzaju ochrona działa w tle jak antywirus.

W przypadku wdrażania szyfrowania w przedsiębiorstwie ważna jest dostępność dodatkowych kluczy odszyfrowujących. Nie można bowiem stworzyć systemu, w którym nie da się odzyskać danych szyfrowanych przez pracowników. Klucz główny (master key) zapewni działowi IT dostęp do zawartości komputerów, w razie gdy ich użytkownicy zapomną hasła lub opuszczą firmę.

Szyfrowania, a zwłaszcza całościowej ochrony przed wyciekiem danych (DLP), nie wprowadza się z marszu, lecz w sposób przemyślany, by nie paraliżować firmy, ale też by nie pozostawiać luk, przez które dane nadal będą wyciekać. Skuteczna implementacja wymaga wewnętrznej polityki ochrony danych, w stworzeniu której pomóc powinien integrator. Do zapewniania skutecznej ochrony nie jest konieczne szyfrowanie wszystkich danych, lecz tylko tych najwrażliwszych. Do zabezpieczenia pozostałych wystarczą odpowiednie metody uwierzytelniania i kontrola dostępu.

 

Zdaniem specjalisty

Maciej Kotowicz, Channel Account Executive Poland, Sophos

Oczywiste jest, że jeśli w nowych regulacjach prawnych szyfrowanie wymieniane jest wśród narzędzi ochrony, klienci zaczynają szukać rozwiązań, które do tego służą. Oprócz własnych mechanizmów bezpieczeństwa mogą one zapewniać zarządzanie narzędziami dostarczanymi wraz z systemami operacyjnymi, takimi jak BitLocker Microsoftu i FileVault firmy Apple. Ponieważ użytkownicy mają już je w swoich komputerach, życie administratora jest ułatwione, bo może zwiększyć ochronę bez instalowania kolejnego oprogramowania.

Robert Sepeta, Business Development Manager, Kingston Technology

W ostatnich latach, dzięki wielu kampaniom na rzecz zwiększania bezpieczeństwa informacji, znacząco wzrosła wiedza użytkowników pamięci USB o konieczności ich ochrony. Nasza sprzedaż szyfrowanych pamięci wzrosła w 2018 r. prawie dwukrotnie w stosunku do notowanej w zeszłym roku,  Oczywiście wpływ na to miało wejście w życie RODO w krajach Unii Europejskiej, ale trend jest światowy, bo również w innych regionach dużo większa liczba klientów decyduje się na zakup takich pamięci.

Krzysztof Rachwalski, Country Manager, Citrix

Środowisko biznesowe jest coraz bardziej złożone. Mamy nie tylko dużą różnorodność urządzeń, ale i miejsc przechowywania danych oraz metod pracy. Zabezpieczenie infrastruktury przedsiębiorstwa wymaga zastosowania kombinacji wielu rozwiązań, począwszy od wirtualizacji, by scentralizować zasoby w centrum danych, przez technologie do szyfrowania danych w firmowej sieci i analizy przepływu informacji (np. systemy DLP) po rozwiązania EMM, wspomagające elastyczne formy pracy. Te ostatnie mają funkcje zarządzania nie tylko urządzeniami mobilnymi i aplikacjami (MDM, MAM), ale również dostępem do danych oraz zasobów firmy (MCM i MicroVPN). W konsekwencji można stworzyć bezpieczne cyfrowe środowisko pracy i w pełni chronić przedsiębiorstwo.

 

Szyfrowane ataki

Coraz więcej przedsiębiorstw korzysta z mechanizmów szyfrowania w celu ochrony najważniejszych informacji, ale muszą również sobie zdawać sprawę z zagrożeń, które mogą ukrywać się w zaszyfrowanych plikach. Szacuje się, że aż 75 proc. ruchu w internecie jest szyfrowane za pomocą protokołu SSL, a w przypadku branż, w których prawo tego wymaga, wskaźnik ten może być jeszcze wyższy. Dlatego eksperci zajmujący się bezpieczeństwem oceniają, że nawet w połowie ataków mogą być wykorzystywane zaszyfrowane pakiety.

Mimo to, jak pokazują badania, zdecydowana większość przedsiębiorstw używa firewalli, rozwiązań IPS lub UTM, które nie odszyfrowują ruchu SSL, zostawiając otwartą drogę dla ukrytych zagrożeń. Wirusy miewają formę niebezpiecznych załączników do wiadomości e-mail, plików pobieranych z witryny HTTPS oraz złośliwych plików w komunikatorach internetowych i na serwisach społecznościowych.

Trzeba jednak wiedzieć, że odszyfrowywanie ruchu SSL w celu wykrycia zagrożenia to poważne wyzwanie dla systemów informatycznych. Po pierwsze, może powodować duże problemy z wydajnością sieci. Bywa, że włączenie głębokiej inspekcji pakietów (DPI) wraz z innymi funkcjami ochronnymi zmniejsza przepustowość firewalla nawet o 80 proc. Po drugie, narzędzia deszyfrujące i sprawdzające zaszyfrowany ruch kosztują więcej od produktów bez tych funkcji.

Rozwiązaniem pierwszego problemu będzie odpowiednio wydajne rozwiązanie, a także inteligentne zarządzanie ruchem w celu poprawy skuteczności inspekcji, polegające na ograniczaniu przepływu poddawanego kontroli (przez wykluczanie z tego procesu pakietów z zaufanych źródeł itp.). W drugim przypadku trzeba przekonać klienta, że w związku z działalnością, jaką prowadzi, tego typu ochrona przyniesie mu wymierne korzyści.