Nešifrované údaje na datových úložištích jsou bezpečnostní hazard

Martin Hanzal , 22. březen 2013 11:05 7 komentářů

Na internet unikl seznam 350 tisíc hasičů včetně jejich osobních údajů. Nejedná se o první zprávu tohoto druhu. V minulosti jsme se již setkali s uniklým seznamem členů ODS, seznamem pojištěnců zdravotní pojišťovny, seznamem uživatelských účtů pracovníků letišť a s mnoha dalšími. Ve všech případech se jednalo o zveřejnění velkého množství osobních údajů. Ty byly zpracovávány v rámci určité organizace, která nedokázala přijmout vhodná a potřebná opatření k dostatečnému zabezpečení a ochraně takto citlivých informací. Možností, jak se osobní údaje mohly dostat na internet, je spousta. Od úmyslu pracovníků, přes nešťastnou náhodu až po záměrný útok na takovýto seznam.

Rád bych proto poskytl několik základních bezpečnostních doporučení organizacím, které zpracovávají osobní údaje či jakákoliv jiná citlivá data.

Je nutné použít šifrování souborů obsahujících osobní údaje Šifrování je jedinou spolehlivou ochranou jakýchkoli citlivých dat. Ať už se jedná o zmiňované osobní údaje nebo o jakékoli citlivé údaje o organizaci. Ty často obsahují informace o strategiích či například know-how.

Princip šifrování je v zásadě jednoduchý. Uložená data jsou díky tomu nečitelná pro kohokoli, kdo nemá k dispozici příslušný šifrovací klíč, jímž jsou citlivá data zabezpečena. Tento šifrovací klíč může mít pouze osoba, která daná data zpracovává a pracuje s nimi. Případně se může jednat také o skupinu spolupracujících osob, které přistupují a zpracovávají stejnou skupinu dat. Pokud jsou citlivé osobní údaje takto zabezpečeny, pak může být daný soubor uložen naprosto kdekoli. Všechny informace jsou v bezpečí.

Ani záměrné zcizení či náhodná ztráta notebooku nebo externího paměťového média se zašifrovanými údaji nebude pro citlivá data žádnou hrozbou. Informace jsou v bezpečí i v případě, že notebook nebo USB disk jejich majitel půjčí na práci někomu jinému, například doma dětem.

Nešifrované informace nejsou na vzdálených úložištích v bezpečí Údaje jsou v zašifrované podobě v bezpečí i v případě, že jsou uložena v datových úložištích a podobných službách na internetu či v informačním systému organizace. Pokud však data ve vzdálených úložištích zašifrovaná nejsou, není možné 100% zajistit přístup pouze oprávněné osobě. Informace jsou tak vystaveny možnostem zneužití ze strany správců a jiných uživatelů úložišť, případně záměrného hackerského útoku na získání těchto dat.

Kromě nutnosti šifrovat citlivá data v místě jejich uložení je potřeba také velmi zodpovědně přistupovat k jejich výměně mezi uživateli. Obyčejné odeslání souboru s nešifrovanými citlivými daty pomocí emailu může znamenat opravdu vysokou hrozbu pro posílaný obsah. Všechna citlivá data by proto měly organizace řádně zabezpečit pomocí šifrování, které je zatím jediným opravdu spolehlivým způsobem jejich ochrany.

Na trhu existuje velké množství šifrovacích technologií. Některé z nich jsou pouze jednoúčelové. Jedná se například o šifrování celého disku notebooku nebo jiného mobilního zařízení. Takováto ochrana citlivých údajů je vhodná pouze pro případ ztráty či zcizení tohoto zařízení. Pokud se však zpracovávaná citlivá data mohou nacházet i jinde, je velmi vhodné uvažovat o komplexnějším šifrovacím produktu.

Tím je možnost šifrování po jednotlivých souborech, které se mohou nacházet nejen na lokálních discích notebooků či jiných mobilních zařízeních, ale také na výměnných discích a externích paměťových médiích. Zároveň se může jednat o nejrůznější moderní síťová úložiště uvnitř i mimo organizaci. Proto by měly společnosti při výběru vhodné šifrovací technologie vždy posuzovat reálná rizika a pracovat s informací, kde všude mají citlivá data uložena.

Martin Hanzal

Martin Hanzal

Autor je výkonným ředitelem společnosti SODATSW spol. s r. o. a člen pracovní skupiny NATO Industrial Advisory Group pro ochranu kybernetického prostoru.


Komentáře

Petr #1
Petr 23. březen 2013 13:20

Všechno co chtěl článek sdělit je obsaženo již v nadpisu. Autor mohl v článku alespoň rozebrat pár konkrétních možností vhodných pro firmy a nebo pro soukromé osoby, když už ne přímo říct, tak alespoň naznačit, nebo že by kopíroval Cimrmanovský model "nesmíme ani naznačovat". Zlaté staré Ábíčko z dob kdy tam byl Yeti. Tenkrát byly v článcích a v diskuzích informace. :-(

Luboš Doležel 05. duben 2013 21:43

Tady nejste na Ábíčku...

nonym #6
nonym 06. květen 2013 03:44

Jo, na Yetiho si taky pamatuju, ten vedel naprosto, ale naprosto vsechno :) Zajimalo by me kde je mu konec.

Roman Masaryk #2
Roman Masaryk 28. březen 2013 16:49

Odcizení. Ne zcizení - to je jen jiný výraz pro prodej nebo převod. Měl autor na mysli krádež, tedy odcizení dat že? :-)

pupik #3
pupik 02. duben 2013 00:20

Protože z článku je jasné jen, že nešifrovat je problém, tak prosím o doplnění příkladu s vysvětlením:

Mám 100GB databázi v odděleném oddíle na diskovém poli, kde je dalších 40TB dat v asi 30-ti dalších oddílech.

Mám šifrovat celé diskové pole jako celek, nebo jen každý oddíl zvlášť, nebo jen databázi?

A jak to bude s rozdáním a administrativou šifrovacích klíčů cca. 400 uživatelům, kteří s DB pracují?

Prosím o příklady, návrhy a doporučení.

Matas #5
Matas 09. duben 2013 13:51

Hm, kazdy oddil sifrovat jinym certifikatem. Zavest v ramci firmy certifikacni autoritu, tou pak podepsat uvedene certifikaty. Pro pristupy k jednotlivym oddilum vydavat osobni certifikaty s moznosti revokace (CRL).

Sten #7
Sten 11. květen 2013 15:10

To záleží na některých dalších věcech:

Jsou ty oddíly používané rovnou na serveru a klienti dostávají jenom výsledky (např. databázová aplikace běží na daném serveru a klienti do ní posílají SQL dotazy?) Pak stačí jeden klíč pro celé pole, složitější řešení je overkill, protože stejně všechna data musí být po celou dobu běhu serveru odemčena (samozřejmě takové databázové spojení by mělo být šifrované a autentizace by měla probíhat pomocí klíčů nebo certifikátů).

Pokud jsou oddíly s databázemi mapovány přes síť ke klientům (nebo jiným serverům, třeba přes Fibre Optics) a až tam běží databázová aplikace, je vhodnější celé mapování mít šifrované a rozšifrovávat je až u klienta (stejně by mělo probíhat ukládání dat do cloudu, prostě cloud by neměl vidět dešifrovaná data a samozřejmě nesmí dostat klíče).

Pokud tam jsou sdílené složky se soubory, ty může být vhodnější šifrovat samostatně či po složkách, ale zase dost záleží, o jaká data jde a odkud a jak se k nim bude přistupovat (např. při sdílení pomocí CIFS/Windows Share to jinak než šifrovat jednotlivé soubory nepůjde).

Základní poučka: data by se měla dešifrovat až u klienta a jednomu klientovi stačí jeden klíč pro všechno, co používá ve stejnou dobu, s výjimkou úložišť, která on používá najednou a ostatní klienti používají v různou dobu nebo vůbec (pokud někdo ukradne klientovi klíč, tak zpravidla nemá problém ukrást i ostatní klíče používané ve stejnou dobu, a pokud někdo získá přístup ke klientovi, tak přečte všechna data ze všech úložišť v tu dobu otevřených)


RSS 

Komentujeme

Zákaznické karty čekají změny

Pavel Houser , 17. leden 2017 13:00
Pavel Houser

Jedna z technologií, která se už po léta prakticky nezměnila, i když by mohla? Prý karty zákazníků d...

Více





Kalendář

06. 02.

07. 02.
konference G2B TechEd
15. 02. IDC Predictions 2017
22. 02. IT mezi paragrafy
RSS 

Zprávičky

ÚOOÚ za nevyžádaná obchodní sdělení uložil i půlmilionovou pokutu

ČTK , 18. leden 2017 14:00

Úřad pro ochranu osobních údajů (ÚOOÚ) v souvislosti s nevyžádanými obchodními sděleními udělil loni...

Více 0 komentářů

O2 spustila volání přes rychlé mobilní sítě LTE

ČTK , 18. leden 2017 12:00

Operátor O2 spustil službu volání v rychlé mobilní síti LTE. Největšími výhodami VoLTE jsou velmi kr...

Více 1 komentářů

Průměrná rychlost mobilního internetu loni stoupla na 23,8 Mbit/s

ČTK , 18. leden 2017 07:00

Průměrná rychlost mobilního internetu v Česku se v loňském roce zvýšila o 39 procent na 23,8 Mbit/s....

Více 0 komentářů

Starší zprávičky

Telefónica má zaplatit 1,7 miliardy Kč Tykačovým firmám

ČTK , 17. leden 2017 15:00

Španělská telekomunikační společnost Telefónica má zaplatit firmám podnikatele Pavla Tykače 1,7 mili...

Více 0 komentářů

Embarcadero oznamuje podporu Desktop Bridge v produktu RAD Studio

ITBiz.cz , 17. leden 2017 12:00

Společnost Embarcadero Technologies (divize společnosti Idera), vedoucí dodavatel softwarových řešen...

Více 0 komentářů

Pokrytí LTE loni stouplo na 98 procent populace

ČTK , 17. leden 2017 07:00

Pokrytí Česka rychlými mobilními sítěmi LTE se loni zvýšilo na 98 procent populace, což je o čtyři p...

Více 0 komentářů

Reuters: Hlavní příčinou potíží telefonů Galaxy Note 7 je baterie

ČTK , 16. leden 2017 14:00

Hlavní příčinou samovzněcování některých chytrých telefonů Galaxy Note 7 byla baterie. Podle zdroje ...

Více 0 komentářů