Szyfrowanie jest od dawna uważane za jedną z najskuteczniejszych i łatwo dostępnych technik ochrony danych. I choć jest dość powszechnie wykorzystywane w przedsiębiorstwach, sektorze publicznym, jak również do ochrony płatności na stronach internetowych sprzedawców z segmentu e-commerce, to wciąż nie tak często, jak powinno być. Wprawdzie klienci na ogół zdają sobie sprawę, że właściwie wdrożone rozwiązanie może zabezpieczyć ich informacje przed niemal każdym atakiem. Jednak wielu, nawet tacy, którzy mają do czynienia z bardzo wrażliwymi lub poufnymi danymi, wciąż nie korzysta z możliwości szyfrowania. Często wynika to po prostu z bezmyślności – nie przychodzi im do głowy, jak łatwo mogą stać się ofiarą ataku.

Przykładem niefrasobliwości jest niedawno opisywany przez media przypadek sędziego łódzkiego sądu okręgowego, który zgubił służbowego pendrive’a z projektami postanowień, wyroków i uzasadnień do nich. Z wyjaśnień sądu wynika, że nośnik może zawierać wiele danych różnych osób, a rzecznik instytucji przyznał, iż „możliwe, że ktoś będzie próbował je wykorzystać”. Zastrzegł jednak przy tym, że sędzia miał prawo wynieść nośnik z dokumentami poza miejsce pracy. Nie odniósł się jednak do – wydawałoby się – oczywistego problemu, że tak wrażliwe dane były przechowywane na nośniku USB bez ich uprzedniego zaszyfrowania.

Powodem zaniechań w tego rodzaju przypadkach bywają obawy przed złożonością poszczególnych rozwiązań do szyfrowania. W tym kontekście sporym wyzwaniem dla branży zabezpieczeń jest zachowanie prostoty obsługi narzędzi ochronnych, pomimo coraz bardziej wyrafinowanych ataków, jakim muszą sprostać. W naturze ludzkiej leży poszukiwanie najłatwiejszego sposobu wykonania jakiegokolwiek zadania, ale często powinien on być przy tym także najbezpieczniejszy. W kontekście RODO mówi się sporo o „security by design” oraz „security by default”. Takie podejście jest najlepszym sposobem na częściowe zwolnienie użytkowników końcowych z myślenia o bezpieczeństwie (całkowicie nigdy się do tego nie da doprowadzić, poza tym nie jest to wskazane). Integrator, który wdraża rozwiązania ochronne, musi więc starać się o równowagę pomiędzy akceptowalnym poziomem bezpieczeństwa, a złożonością zapewniających je narzędzi.