Martin Hanzal: Nezašifrované údaje jsou na datových úložištích v nebezpečí

22.3.2013

Na internet unikl seznam 350 tisíc hasičů včetně jejich osobních údajů. Nejedná se o první zprávu tohoto druhu. V minulosti jsme se již setkali s uniklým seznamem členů ODS, seznamem pojištěnců zdravotní pojišťovny, seznamem uživatelských účtů pracovníků letišť a s mnoha dalšími. Ve všech případech se jednalo o zveřejnění velkého množství osobních údajů. Ty byly zpracovávány v rámci určité organizace, která nedokázala přijmout vhodná a potřebná opatření k dostatečnému zabezpečení a ochraně takto citlivých informací. Možností, jak se osobní údaje mohly dostat na internet, je spousta. Od úmyslu pracovníků, přes nešťastnou náhodu až po záměrný útok na takovýto seznam.

Rád bych proto poskytl několik základních bezpečnostních doporučení organizacím, které zpracovávají osobní údaje či jakákoliv jiná citlivá data.

Je nutné použít šifrování souborů obsahujících osobní údaje

Šifrování je jedinou spolehlivou ochranou jakýchkoli citlivých dat. Ať už se jedná o zmiňované osobní údaje nebo o jakékoli citlivé údaje o organizaci. Ty často obsahují informace o strategiích či například know-how. Princip šifrování je v zásadě jednoduchý. Uložená data jsou díky tomu nečitelná pro kohokoli, kdo nemá k dispozici příslušný šifrovací klíč, jímž jsou citlivá data zabezpečena. Tento šifrovací klíč může mít pouze osoba, která daná data zpracovává a pracuje s nimi. Případně se může jednat také o skupinu spolupracujících osob, které přistupují a zpracovávají stejnou skupinu dat. Pokud jsou citlivé osobní údaje takto zabezpečeny, pak může být daný soubor uložen naprosto kdekoli. Všechny informace jsou v bezpečí. Ani záměrné zcizení či náhodná ztráta notebooku nebo externího paměťového média se zašifrovanými údaji nebude pro citlivá data žádnou hrozbou. Informace jsou v bezpečí i v případě, že notebook nebo USB disk jejich majitel půjčí na práci někomu jinému, například doma dětem.

Nešifrované informace nejsou na vzdálených úložištích v bezpečí

Údaje jsou v zašifrované podobě v bezpečí i v případě, že jsou uložena v datových úložištích a podobných službách na internetu či v informačním systému organizace. Pokud však data ve vzdálených úložištích zašifrovaná nejsou, není možné 100% zajistit přístup pouze oprávněné osobě. Informace jsou tak vystaveny možnostem zneužití ze strany správců a jiných uživatelů úložišť, případně záměrného hackerského útoku na získání těchto dat.

Kromě nutnosti šifrovat citlivá data v místě jejich uložení je potřeba také velmi zodpovědně přistupovat k jejich výměně mezi uživateli. Obyčejné odeslání souboru s nešifrovanými citlivými daty pomocí emailu může znamenat opravdu vysokou hrozbu pro posílaný obsah. Všechna citlivá data by proto měly organizace řádně zabezpečit pomocí šifrování, které je zatím jediným opravdu spolehlivým způsobem jejich ochrany.

Technologie poskytující ochranu pomocí šifrování

Na trhu existuje velké množství šifrovacích technologií. Některé z nich jsou pouze jednoúčelové. Jedná se například o šifrování celého disku notebooku nebo jiného mobilního zařízení. Takováto ochrana citlivých údajů je vhodná pouze pro případ ztráty či zcizení tohoto zařízení. Pokud se však zpracovávaná citlivá data mohou nacházet i jinde, je velmi vhodné uvažovat o komplexnějším šifrovacím produktu. Tím je možnost šifrování po jednotlivých souborech, které se mohou nacházet nejen na lokálních discích notebooků či jiných mobilních zařízeních, ale také na výměnných discích a externích paměťových médiích. Zároveň se může jednat o nejrůznější moderní síťová úložiště uvnitř i mimo organizaci. Proto by měly společnosti při výběru vhodné šifrovací technologie vždy posuzovat reálná rizika a pracovat s informací, kde všude mají citlivá data uložena.

Autor komentáře: Martin Hanzal, výkonný ředitel společnosti SODATSW spol. s r. o. a člen pracovní skupiny NATO Industrial Advisory Group pro ochranu kybernetického prostoru.