Szyfrowanie to kluczowy element codziennego życia większości ludzi, niezależnie od tego, czy wysyłają wiadomości na WhatsApp, robią zakupy online, czytają artykuły przez bezpieczne połączenie HTTPS, czy chronią swoje hasła podczas logowania do aplikacji lub strony internetowej.
W organizacji zapobieganie nieuprawnionemu dostępowi i ochrona prywatności opiera się na szyfrowaniu większości usług, z których korzysta się na co dzień; działający w tle w celu zapewnienia bezpiecznego ruchu i komunikacji, obejmuje połączenia za pośrednictwem sieci VPN i kompleksowe połączenia sieciowe, dostęp do serwerów, komputerów i aplikacji w chmurze oraz usługi ochrony hasłem. Nawet coś tak pozornie prostego jak e-mail wykorzystuje bezpieczną i szyfrowaną transmisję, aby mieć pewność, że tylko nadawca i odbiorca będą mogli odczytać wiadomości.
Podstawy
Szyfrowanie minimalizuje komunikację w postaci zwykłego tekstu pomiędzy systemami i serwerami; Jeśli ugrupowanie zagrażające uzyska dostęp do systemów organizacji, zaszyfrowany ruch znacznie utrudnia odczytanie danych w sieci lub wstrzyknięcie złośliwego oprogramowania, które mogłoby uszkodzić dane organizacji.
Szyfrowanie można przeprowadzić za pomocą oprogramowania szyfrującego, urządzeń pamięci masowej obsługujących szyfrowanie lub sieci obsługujących szyfrowanie w celu zabezpieczenia wrażliwych danych. Można go używać do ochrony danych zarówno podczas przesyłania, jak i przechowywania (przechowywania) i wymaga „kluczy” zarówno do „blokowania” (szyfrowania), jak i „odblokowywania” (odszyfrowywania) chronionych informacji. Szyfrowanie symetryczne oznacza, że zarówno nadawca, jak i odbiorca informacji muszą używać tego samego klucza do szyfrowania i deszyfrowania, natomiast do szyfrowania asymetrycznego potrzebne są dwa różne klucze.
Algorytm kryptograficzny – będący połączeniem pomysłowości matematycznej i odporności cyfrowej – będący sercem wykorzystywanego szyfrowania, określa jego niezawodność w praktyce. Od czcigodnych algorytmów takie jak RSA (Rivest-Shamir-Adleman) i AES (Advanced Encryption Standard) po współczesne innowacje, takie jak szyfrowanie odporne na kwanty, stanowią one podstawę ochrony cyfrowej.
Wyzwania do rozważenia
Jednak szyfrowanie działa w obie strony – złośliwi aktorzy mogą również szyfrować dane. Przechowywane dane przechowywane w postaci zwykłego tekstu można zaszyfrować w celu zainicjowania ataku oprogramowania typu ransomware, w którym klucz niezbędny do odszyfrowania danych zostanie dostarczony tylko po zapłaceniu okupu (a nawet to nie jest pewne). Kopie zapasowe danych mogą być rozwiązaniem, ale działają tylko wtedy, gdy dane są wystarczająco chronione, aby zapobiec ich szyfrowaniu przez złośliwego aktora.
Niższy koszt i łatwość wdrożenia rozwiązań opartych na chmurze, takich jak aplikacje SaaS, również zwiększają złożoność; zarządzane przez zewnętrznych dostawców, wprowadzają niejasność co do tego, gdzie kończy się „sieć” organizacji, podczas gdy dane są tylko tak bezpieczne, jak usługa zewnętrzna; przedsiębiorstwa muszą dopilnować, aby dostawca stosował szyfrowanie danych przechowywanych i przesyłanych.
Pojawienie się obliczeń kwantowych rodzi również poważne pytania, ponieważ sama moc tej technologii potencjalnie skróci czas skutecznego ataku na tradycyjne metody szyfrowania z lat do sekund. Kryptografia postkwantowa to wysoce wyspecjalizowany obszar badań skupiający się na opracowywaniu algorytmów odpornych na ataki kwantowe; czas pokaże, czy jest to wystarczająco solidne, aby szyfrowanie było realną opcją w przyszłości.
Ryzyko dostępu „tylnymi drzwiami”.
Pełne szyfrowanie jest równoznaczne z prowadzeniem tajnych rozmów w superbezpiecznym pokoju, do którego mogą wejść tylko określone osoby. Czasami jednak przepisy dotyczące tego rodzaju zabezpieczeń mogą kolidować z wymogami organów ścigania, a większość z nich ma swoje korzenie w środkach antyterrorystycznych, do których wzywają rządy prawo do przyjmowania wiadomości typu end-to-end.
Problem polega na tym, że rząd i organy ścigania nie mogą mieć dostępu „tylnymi drzwiami” do zaszyfrowanych danych bez wykorzystania tego samego tylnego wejścia przez złośliwe podmioty. Będzie to wymagać od firm korzystania z usług zalecanego przez stan dostawcy szyfrowania, a wszelkie inne elementy zostaną uznane za niezgodne.
Podobnie całkowity zakaz bezpiecznej komunikacji ma znaczące konsekwencje etyczne i praktyczne, zarówno dla jednostki, jak i przedsiębiorstwa; pomijając podstawowe prawo obywateli do prywatności, o którym mowa w pierwszych akapitach, szyfrowanie jest zakulisowym czynnikiem zapewniającym bezpieczeństwo niezliczonych działań w Internecie. Ograniczanie lub poważne naruszenie szyfrowania spowodowałoby, że wiele z nich stałoby się niepewnych – od zakupów online po bezpieczne połączenia z sieciami; uniemożliwiłoby to również przekazywanie danych lub ochronę danych osobowych, co oznaczałoby, że wiele przedsiębiorstw nie byłoby w stanie prowadzić działalności.
Niezgodność bezpiecznej komunikacji i praw tylnych drzwi jest naznaczona zagrożeniami ze strony wielu firm zajmujących się przesyłaniem wiadomości wycofać się z krajów gdzie dostęp do ich systemów żądają osoby sprawujące władzę; w przypadku gdyby ich usługi przestały być dostępne, zdolność wielu organizacji do prowadzenia działalności na tych terytoriach jeszcze bardziej by się pogorszyła.
Dlatego jednym z największych wyzwań związanych z szyfrowaniem jest inteligentne znalezienie delikatnej równowagi między prywatnością a regulacjami prawnymi, którymi wiele rządów stara się zająć.
Zarządzanie kluczami i menedżerowie haseł
Chociaż szyfrowanie jest doskonałym narzędziem do ochrony danych, jest tak silne, jak szyfrowanie organizacji kluczowe procesy zarządcze.
Na przykład spis wszystkich kluczy szyfrujących zapewnia centralny i całościowy wgląd w wszystkie klucze, na których opiera się bezpieczeństwo danych, zmniejszając prawdopodobieństwo utraty klucza i zapewniając zapis zaszyfrowanych informacji. Klucze należy przechowywać w bezpieczny sposób i wdrożyć odpowiedni plan odzyskiwania po awarii, aby zminimalizować skutki w przypadku naruszenia. Ważne jest również monitorowanie użycia i częstotliwości kluczy, a kontrola dostępu określa, kto może używać kluczy i co może z nimi zrobić.
Skuteczne zarządzanie kluczami obejmuje również unieważnianie, podczas którego klucze szyfrujące są usuwane i zastępowane w przypadku utraty (klucza) lub naruszenia bezpieczeństwa.
Istnieją dodatkowe działania, które organizacje mogą podjąć w celu wzmocnienia swoich działań w zakresie szyfrowania. Szkolenie ludzi w zakresie korzystania z zaszyfrowanych menedżerów haseł zmniejsza ryzyko ujawnienia nazw użytkowników i haseł (na przykład zapisanych w notatnikach lub zapisanych na dyskach współdzielonych), przy czym można wprowadzić kontrole, aby upewnić się, że wszyscy stosują tę praktykę. Niezbędne jest łatanie luk w zabezpieczeniach sprzętu i oprogramowania korzystającego z szyfrowania oraz sprawdzanie regularnych aktualizacji.
Szyfrowanie: jedna część układanki ochrony
Chociaż szyfrowanie jest bardzo skuteczne, organizacje powinny przyjąć podejście polegające na dogłębnej ochronie. Utrzymanie wielu poziomów środków bezpieczeństwa, w tym segmentacji sieci, zapór sieciowych i systemów wykrywania włamań, a także szyfrowanie kluczowych zasobów i komunikacji, pomaga chronić najważniejsze zasoby danych przed osobami, które nie powinny mieć do nich dostępu.
