Tanči, jako když se nikdo nedívá. Šifruj, jako by tě sledovali všichni

Tanči, jako když se nikdo nedívá. Šifruj, jako by tě sledovali všichni
26 / 01 / 2016, 17:30

Šifrování patří k jednomu z nejdiskutovanější bezpečnostní témat současnosti.

Odpověď na otázku, zda šifrovat firemní komunikaci nebo ne není úplně jednoznačná a především malé firmy přistupují k problematice šifrování nedůvěřivě. Jejich nejčastějším argumentem je, že chránit data nepotřebují, že nejsou pro kyberzločince zajímaví a že šifrování je příliš složité a časově i finančně náročné. Zde je pět nejčastějších otázek, se kterými se v souvislosti s šifrováním setkáváme, včetně odpovědí na ně:

1. Měl bych šifrovat pouze tehdy, když mi to přikazuje zákon?

Bez ohledu na velikost firmy a předmět podnikání obvykle platí, že data patří mezi nejcennější aktiva každé společnosti. Ať již souvisí s informacemi o zákaznících, s interními rozpočty nebo třeba s podklady pro patentovou přihlášku. Naneštěstí jsou ale tato data cenná i pro počítačové zločince a únik dat do nepovolaných rukou může být dílem okamžiku. Šifrovat bychom tedy měli i ta data, u kterých nám to legislativa přímo nenařizuje.

2. Nesníží šifrování výkon počítače?

Před několika lety mohlo být při šifrování celého disku pozorovatelné snížení výkonu. Dnes je ale situace odlišná. Většina moderních zařízení od kancelářských počítačů a notebooků přes telefony a tablety až po servery jen zřídka kdy „běží“ na svůj maximální výkon. Obavy z negativních dopadů šifrování na výkon počítačů jsou tak neopodstatněné.

3. Není šifrování riskantní? Co když zapomenu heslo?

Šifrování je jako zamykání dveří – pro přístup musíme mít klíč. Když klíč ztratíme, máme problém. Ale může být i hůř, například když klíč necháváme pod rohožkou a zloděj to ví. A stejně jako se musíme starat o běžné klíče, měli bychom chránit a spravovat i ty šifrovací. Naštěstí moderní šifrovací nástroje podporují i možnost poslední záchrany, a to v podobě mechanismu pro obnovení klíče. Důležité je, aby přístup k těmto alternativním cestám měly opravdu jen povolané osoby.

4. Mám šifrovat, když používám cloud?

Někteří poskytovatelé cloudových služeb data při ukládání šifrují a při přenosu zpět k uživatelům zase dešifrují. Nehrozí tak kompromitace v případě, kdy někdo získá přístup k pevným diskům na straně cloudu. Samotné cloudové šifrování ale nestačí. Je potřeba si uvědomit, že stejně jako může poskytovatel cloudu data dešifrovat při zasílání ke klientovi, může tak učinit i kdykoli jindy. A nemusí jít pouze o příkaz soudu. Takže ano, měli bychom šifrovat i na naší straně.

5. Jsou vůbec má data pro zloděje zajímavá?

Ano, jsou. Proč by taky neměla být, když je zloděj může získat s úsilím odpovídajícím pár korunám a obratem prodat za tisíce korun? Navíc bychom si měli uvědomit, že většina krádeží probíhá automatizovaně až po nalezení nechráněných zdrojů. Mimochodem, více než 53 procent krádeží dat připadlo v roce 2014 na organizace s méně než tisícovkou uživatelů.
Vůči počítačovým zločincům není imunní žádná firma. Je tedy velmi pravděpodobné, že se s nějakým bezpečnostním incidentem dříve či později setká každá společnost bez ohledu na její velikost nebo způsoby komunikace. Šifrování všem firmám zajistí, že v případě úniku dat nebudou mít kyberzločinci v ruce nic jiného, než bezcennou a nicneříkající změť jedniček a nul.

Chester Wisniewski, Senior Security Advisor společnosti SophosAutor: Chester Wisniewski, Senior Security Advisor společnosti Sophos

Tagy článku

SECURITY magazín je ve své tištěné podobě první a jediný český odborný časopis o komerční bezpečnosti a vychází od roku 1994. SECURITY magazín se orientuje především na profesionály v přímém výkonu služby v soukromých bezpečnostních agenturách a ve firmách, které poskytují technické bezpečnostní služby. Je určen také manažerům, kteří uvedené služby prodávají a řídí a bezpečnostním specialistům, kteří bezpečnostní služby nakupují v soukromém i státním sektoru. Zkušenosti a informace v SECURITY magazínu jsou ale určeny i laické veřejnosti, potenciálním zákazníkům, kteří o bezpečnosti velmi často mluví a ne vždy jí rozumí nebo chápou její specifika. SECURITY magazín chce tradiční spoluprací s akademickým prostředím a experty v oboru dokázat, že komerční bezpečnost je multioborová disciplína, úzce propojená požadavky norem a předpisů a je v mnoha ohledech založena na moderních vyspělých technologiích, které mohou instalovat a provozovat pouze vzdělaní specialisté.

Cookies nám pomáhají k Vaší spokojenosti

Tento web používá soubory cookies k poskytování služeb, personalizaci reklam a analýze návštěvnosti.
Používáním tohoto webu s tím souhlasíte.

Další informace