Tanči, jako když se nikdo nedívá. Šifruj, jako by tě sledovali všichni
Šifrování patří k jednomu z nejdiskutovanějších bezpečnostních témat současnosti. Odpověď na otázku, zda šifrovat firemní komunikaci, nebo ne, není úplně jednoznačná a především malé firmy přistupují k problematice šifrování nedůvěřivě. Jejich nejčastějším argumentem je, že chránit data nepotřebují, že nejsou pro kyberzločince zajímavé a že šifrování je příliš složité a časově i finančně náročné.
- 15. 2. 2016
- 2 min
Bez ohledu na velikost firmy a předmět podnikání obvykle platí, že data patří mezi nejcennější aktiva každé společnosti. Ať již souvisí s informacemi o zákaznících, s interními rozpočty, nebo třeba s podklady pro patentovou přihlášku. Naneštěstí jsou ale tato data cenná i pro počítačové zločince a únik dat do nepovolaných rukou může být dílem okamžiku. Šifrovat bychom tedy měli i ta data, u kterých nám to legislativa přímo nenařizuje.
Před několika lety mohlo šifrování znamenat pozorovatelné snížení výkonu počítače. Dnes je ale situace odlišná. Většina moderních zařízení od kancelářských počítačů a notebooků přes telefony a tablety až po servery jen zřídka kdy „běží“ na svůj maximální výkon. Obavy z negativních dopadů šifrování na výkon počítačů jsou tak neopodstatněné.
Šifrování je jako zamykání dveří – pro přístup musíme mít klíč. Když klíč ztratíme, máme problém. Ale může být i hůř, například když klíč necháváme pod rohožkou a zloděj to ví. A stejně jako se musíme starat o běžné klíče, měli bychom chránit a spravovat i ty šifrovací. Naštěstí moderní šifrovací nástroje podporují i možnost poslední záchrany, a to v podobě mechanismu pro obnovení klíče. Důležité je, aby přístup k těmto alternativním cestám měly opravdu jen povolané osoby.
Někteří poskytovatelé cloudových služeb data při ukládání šifrují a při přenosu zpět k uživatelům zase dešifrují. Nehrozí tak kompromitace v případě, kdy někdo získá přístup k pevným diskům na straně cloudu. Samotné cloudové šifrování ale nestačí. Je potřeba si uvědomit, že stejně jako může poskytovatel cloudu data dešifrovat při zasílání ke klientovi, může tak učinit i kdykoli jindy. A nemusí jít pouze o příkaz soudu. Takže ano, měli bychom šifrovat i na naší straně.
Uživatelská data jsou pro zloděje zajímavá. Proč by taky neměla být, když je zloděj může získat s úsilím odpovídajícím pár korunám a obratem prodat za tisíce korun? Navíc bychom si měli uvědomit, že většina krádeží probíhá automatizovaně až po nalezení nechráněných zdrojů. Mimochodem, více než 53 procent krádeží dat připadlo v roce 2014 na organizace s méně než tisícovkou uživatelů.
Vůči počítačovým zločincům není imunní žádná firma. Je tedy velmi pravděpodobné, že se s nějakým bezpečnostním incidentem dříve či později setká každá společnost bez ohledu na její velikost nebo způsoby komunikace. Šifrování všem firmám zajistí, že v případě úniku dat nebudou mít kyberzločinci v ruce nic jiného, než bezcennou a nicneříkající změť jedniček a nul.
Autor: Chester Wisniewski, Senior Security Advisor společnosti Sophos
