Ako prenášať dáta od mája 2018? Rozhodne nie bez zabezpečenia!

25. mája vchádza v platnosť smernica GDPR. Mnoho inštitúcií ponúka komplexné riešenia pre firmy a pýta si za ne horibilné sumy, dokonca aj za časti, kde sa dá pomerne veľa ušetriť. Nasledujúci článok nebude o komplexných riešeniach, ale len o malom zlomku z problematiky GDPR. Ako ušetriť potrebné za drahé licencie pre softvérové ​​zašifrovanie pri prenášaní dát?

Flash pamäte sú pre nás úplne bežné médium, ale málokto si uvedomuje, ako zraniteľné toto médium je. Nosíme na nich fotky, dokumenty, zálohy, aj databázy a nedochádza nám, že aj tieto dáta budú musieť byť zabezpečené. Stačí niekde zabudnúť položený flash disk, alebo si nevšimnúť, že nám vypadol pri vyberaní kľúčov z vrecka a problém je na svete. Viac ako 99% predaných USB flash diskov značky Kingston nie je zabezpečených (viď. obchodné výsledky Kingston v ČR/SR za rok 2017). V západnej Európe je pomer mnohonásobne vyšší v prospech zabezpečených diskov. Firma Kingston v roku 2017 spoločne s firmou ESET uskutočnila prieskum týkajúci sa flash pamätí a spoločne došli k šokujúcim záverom. Až tretina Čechov sa stretla so stratou alebo krádežou svojej „flashky“. Každá táto strata môže znamenať horibilné pokuty, ak boli na pamäťovom čipe v zariadení akákoľvek citlivé alebo dôverné dáta.

Ako zabezpečiť dáta na cestách?

Každý občas nejaké dáta potrebujeme preniesť. Iste, ak sa jedná o osobné fotky z dovolenky, asi nemusíme riešiť šifrovanie. Ak sa ale na pamäti nachádza napríklad zoznam kontaktov na dodávateľa alebo obchodné kontakty, faktúry a v podstate čokoľvek pracovného, ​​riešiť by sme to mali. Každá pracovná flash pamäť by mala byť zabezpečená. Softvérovo, alebo hardwarovo. Podľa uoou.cz pamäte nemusia byť povinne zašifrované, ale silno sa to odporúča, pretože zašifrovaná stratená pamäť sa nepovažuje za tak veľké bezpečnostné riziko a podľa úrovne zabezpečenia pamäte sa taký incident ani nemusí hlásiť.

Softvérové ​​a hardvérové ​​šifrovanie

To je asi kľúčová otázka pre každú firmu alebo podnikateľa. Obe riešenia majú svoje pre i proti a skúsime si je teraz vysvetliť. Softvérové ​​šifrovanie v podstate po zadaní hesla umožní zašifrovať dáta alebo celú pamäť zariadenia. Jednoznačnou výhodou je možnosť použiť existujúce flash pamäte. Takéto softvéry sú väčšinou platené a potrebujú licenciu, ktorá sa zvyčajne obnovuje na ročnej báze. Sú rozličné a niektoré môžu byť problematické, pokiaľ ide o integráciu do existujúcich firemných programov. V prípade cielenej krádeže dát potom je potom situácia pre útočníka ľahšie, pretože môže skopírovať dáta medzi viacerými pamäťou a snažiť sa prelomiť šifru naraz na niekoľkých strojoch. Najslabším článkom ale nie je samotná šifra, ale užívateľ. Laxnosť, lenivosť a nutnosť pravidelného šifrovanie môže u mnohých zamestnancov viesť k ignorovanie tohto postupu alebo jeho obchádzanie. Rolu hrá aj prosté opomenutia. Hardvérová šifra nezabúda. Všetky dáta idú skrz šifrovací čip priamo vo vnútri pamäte a pred uložením na samotnej médium sa zašifrujú automaticky. Užívateľ iba po pripojení zadá svoje heslo a nemusí sa o viac starať. Všetko sa deje automaticky. Nevýhodou je obstarávacia cena, ktorá je o niečo vyššia ako u nezašifrovaných pamätí. Avšak pri dlhodobejšom používaní užívateľ ušetrí, pretože nemusia každý mesiac / rok platiť za licenciu. Pri cielenom útoku je potom útočník v probléme, že nemá ako dáta skopírovať a musia používať len jedno zariadenie. Jeho obsah sa navyše pri niekoľkých zle zadaných heslách vymaže.

Riešenia pre podnikanie všetkých veľkostí

V portfóliu firmy Kingston si vyberie každý, kto chce svoje dáta chrániť. Nemá zmysel, aby malí podnikatelia, živnostníci alebo firmy s niekoľkými zamestnancami investovali do dedikovaného servera za tisíce dolárov. Veľmi dobre im postačí napríklad DataTraveler2000. Táto pamäť je vhodná najmä pre advokátov, lekárov, majiteľov obchodíkov a rad ďalších profesií. Jednoduchá fyzická klávesnica na povrchu odolného tela z kovovej zliatiny slúži na odomknutie flash pamäte a po vložení do počítača alebo akéhokoľvek iného zariadenia umožní nahrať akékoľvek dáta. Po vysunutí sa automaticky sama ihneď zamkne a do nového zadania pinu zostanú dáta zašifrované. Po desiatich zlých pokusoch sa sama vymaže.

Stredné firmy a rozsiahlejšie riešenie

Väčším firmám viac ako s desiatimi zamestnancami potom Kingston ponúka hlavne DataTraveler4000G2 alebo VaultPrivacy 3.0. Nutnosť vybaviť viac zamestnancov zabezpečeným médiom so sebou totiž nesie aj potrebu viesť evidenciu týchto zariadení. Vďaka tomu, že má každá flash pamäť unikátne sériové číslo, je ľahko použiteľná do firemného systému. Od päťdesiatich kusov potom Kingston ponúka i riešenie na mieru pre firmu. Hlavnými argumentmi pre tieto riešenia sú vlastné logo, nastavenie dialógových okien po pripojení pamäti, zložitosť vyžadovaného heslá aj ďalších faktorov, ako po sebe idúce sériové čísla, ktorá uľahčí prácu v device managementu. DataTraveler4000G2 je iba v managovateľný variante, VaultPrivacy 3.0 má variant samostatnú aj s manažmentom. Management prebieha cez portál a prostredie SafeConsole.

Veľké firmy

Práve management zariadenia na diaľku je tým hlavným, prečo veľké firmy využívajú túto možnosť. SafeConsole dáva možnosť správcovi vynútiť mnohé pravidlá a prípadne flash pamäť vzdialene znehodnotiť alebo uzamknúť. Umožňuje napríklad zadať pravidlo, že sa flash pamäť musí pred každým odomknutím skryto pripojiť k serveru a skontrolovať svoj stav. A ten vie administrátor na diaľku nastaviť. Napríklad vie na flash pamäť poslať odkaz, že je pamäť stratená a uzamknuté, a ak ju niekto nájde, pripojí do počítača, potom sa mu zobrazí správa, kam ju má vrátiť. Umožňuje tiež napríklad vynútiť používanie len v určenej sieti alebo lokalite. Ak používateľ zabudne heslo, umožní to administrátorovi poslať príkaz k obnove a používateľ si zadá heslo nové.

Extrémne zabezpečenie

Pre vládny sektor, armádne zložky a inštitúcie s nutnosťou extrémneho zabezpečenia, ako banky, má Kingston svoju najvyššiu rad, IronKey. Flash pamäť má najvyššiu certifikácie a pevná schránka bezpečne chráni elektroniku vnútri. Keby snáď niekto chcel schránku otvoriť a čip odpájet, ten sa pri prvom pokuse o otvorenie roztrhne. IronKey má svoju vlastnú formu manažmentu, ktorá je ešte ďaleko detailnejšie než štandardné SafeConsole. Naviac umožňuje aj inštaláciu vlastného rackového servera priamo ku klientovi, ku ktorému sa bude každá flash pamäť hlásiť. V extrémnom prípade má manažment IronKey aj funkciu zvanú „silver bullet“, teda strieborná guľka. V situácii, kedy firma zistí, že jej zamestnanec skopíroval zo siete citlivé dáta a odnáša ich konkurenciu, môže pamäť na diaľku zmazať. Pamäť sa bez kontroly cez internet neotvorí a s prvou kontrolou zlikviduje celý čip vnútri (tzv. „Brickne“ zariadenia). Niet teda divu, že tieto pamäte majú certifikáciu NATO a radí sa medzi najlepšie svojho druhu vôbec. U rady IronKey300 je aj model bez vzdialenej správy a ten môžu používať jednotlivci ako bankový poradcovia, IT experti aj tí, čo požadujú maximum.

Flash pamäte sa strácajú a budú sa strácať aj naďalej. A tiež sa budú aj naďalej sa používať … Ale! Budeme musieť premýšľať nad ich používaním a zabezpečením.