Nariadenie GDPR, ktoré vstúpilo do platnosti v máji 2018, prideľuje vlastníkom a prevádzkovateľom právnu zodpovednosť za to, aby zabezpečili všetky osobné údaje, ktoré spracovávajú. Teda napríklad osobné údaje svojich zákazníkov a zamestnancov.
Táto požiadavka, ktorá navrhuje šifrovanie, anonymizovanie alebo zničenie údajov (po ich použití), ženie spolu s rastúcim počtom únikov údajov malé a stredné firmy k implementovaniu technológií na ochranu údajov.
Práve úniky údajov a s nimi súvisiace potenciálne poškodenia dobrého mena donútili malé a stredné firmy začať so zavádzaním šifrovania už predtým, ako do platnosti vstúpilo nariadenie GDPR. V snahe o čo najrýchlejšie zabezpečenie firemných údajov sa však pri implementácii riešení často opomínalo riadne preverenie šifrovacích riešení a osvedčených postupov.
S obmedzeným časom na prieskum trhu so šifrovacími riešeniami, ktorý ponúka širokú škálu produktov, ostáva pre majiteľov a zamestnancov na rozhodujúcich pozíciách náročnou úlohou nájsť to správne šifrovacie riešenie, ktoré zodpovedá potrebám ich firmy. Veľa spoločností zlyhalo pri pokuse o úspešné nasadenie šifrovacieho riešenia. V niektorých prípadoch sa im to nepodarilo ani pri druhom pokuse.
Ak čelíte tejto dileme, čítajte ďalej, aby ste sa vyhli možným nástrahám. Na začiatok sa zamyslite nad nasledujúcimi bodmi.
Ktoré zariadenia predstavujú väčšie riziko: tie v priestoroch firmy alebo mimo nej?
Ako príklad uvádzame prenosné počítače, keďže tie môžeme považovať za jadro infraštruktúry vo väčšine malých a stredných firiem. Môže sa zdať, že ide o zjavnú vec, ale pri týchto systémoch hrozí vyššie riziko krádeže v prípade, že sú mimo kancelárie. Ak máte toto na pamäti, môžete začať s prieskumom dostupných možností a výberom finálneho šifrovacieho riešenia.
Nezabudnite otestovať efektívnosť riešenia pri zdolávaní problémových scenárov v prípade zamestnancov, ktorí sa pripájajú na diaľku. Ak ste spokojný s výkonom riešenia pri jeho používaní takýmito zamestnancami, dokážete si na základe toho vytvoriť aspoň užší zoznam vhodných produktov.
Úplná vzdialená kontrola šifrovania koncových zariadení nachádzajúcich sa mimo firmy: vyhovuje systém šifrovania potrebám vášho IT oddelenia?
Tie najvýznamnejšie riešenia pre šifrovanie koncových zariadení ponúkajú aj možnosť vzdialenej správy. Musíte sa však bližšie pozrieť na ich požiadavky. Väčšina týchto riešení si vyžaduje buď otvorené prichádzajúce pripojenie k tzv. demilitarizovanej zóne (DMZ) na vašom serveri, alebo pripojenie prostredníctvom VPN. Všetky si však vyžadujú vyššiu úroveň IT zručností, čo môže zvýšiť vaše náklady na ľudské zdroje, prípadne pre svoje fungovanie môžu od používateľa požadovať, aby inicioval pripojenie. V prípade nečestného zamestnanca alebo ukradnutého prenosného počítača však takéto produkty veľa nezmôžu.
Dobre navrhnuté riešenie vám nezvýši personálne náklady a zároveň vám poskytne požadovanú vzdialenú správu bez vytvárania dodatočných bezpečnostných problémov, ktorých riešenie si vyžaduje odborné vedomosti.
Prečo je návrh riešenia dôležitý?
Návrh riešenia a jeho funkcia sú vzájomne prepojené. Schopnosť rýchlo meniť bezpečnostnú politiku, šifrovacie kľúče, funkcie a vzdialené ovládanie šifrovania koncových zariadení umožní, aby bola vaša predvolená politika silná a pevná. Výnimky je možné zaviesť len vtedy a tam, kde sú potrebné.
Rovnako ľahko môžu byť zmeny aj vrátené do predošlého stavu. Ak takéto možnosti nemáte, budete nútený ponechať „kľúč pod rohožkou“ pre prípad núdze, čo pred dokončením nasadenia vytvorí diery vo vašej bezpečnostnej politike.
A čo vzdialené uzamknutie a vymazanie kľúčov z prenosných počítačov?
Tento problém by mohol byť kritický, ak by firemný prenosný počítač so šifrovaním celého disku bol ukradnutý v režime spánku alebo so spusteným operačným systémom. Situácia je však ešte horšia, ak heslo vyžadované pred spustením systému je uvedené na papieriku, ktorý je nalepený priamo na prenosnom počítači alebo je schovaný v taške prenosného počítača. Ak nie je k dispozícii funkcia vzdialeného uzamknutia alebo zmazania, systém ostane buď nechránený, alebo chránený iba heslom operačného systému. V každom prípade tak bude ochrana šifrovaním obídená.
Je tiež dôležité vedieť, či dané riešenie bolo navrhnuté tak, aby vyhovovalo typickým prípadom použitia, ktoré by inak narušili aj dobre navrhnutú bezpečnostnú politiku.
Vie bezpečnostné riešenie zabezpečiť vymeniteľné médiá bez potreby zadávať každú položku do whitelistu?
Pre širokú škálu zapisovateľných zariadení (napríklad USB kľúčov) používaných pre každodennú prácu je pre správcov takmer nemožné všetky ich pridať do whitelistu, prípadne rozhodnúť, či je povolené zo zariadenia čítať, zapisovať naň alebo k nemu nepovoliť prístup.
Oveľa jednoduchšie je nastavenie politiky na úrovni súborov, aby sa rozlišovalo medzi súbormi, ktoré vyžadujú šifrovanie a tými, ktoré nie. Vybrané súbory sú chránené zakaždým, keď sa presúvajú z pracovnej stanice alebo podnikovej siete na akékoľvek prenosné zariadenie.
Takže ak pripojíte váš osobný USB kľúč, riešenie vás neprinúti zašifrovať si vaše súkromné údaje. Na druhej strane akákoľvek položka prichádzajúca z firemného systému bude šifrovaná bez toho, aby sa kľúče uložili na vašom zariadení. Ide o jednoduchý koncept, ktorý však zabezpečí všetky zariadenia, a to bez potreby dopĺňania whitelistu.
Pre úspešné nasadenie tejto technológie je rozhodujúca flexibilita a jednoduchosť používania
Potrebujete teda zistiť, či riešenie, ktoré chcete použiť, je skutočne jednoduché nasadiť. Ak počiatočné spustenie a nastavenie trvá hodiny až dni a pre svoje fungovanie vyžaduje dodatočné nástroje, znamená to jednoducho viac starostí pre systémových správcov, čo môže viesť k novým bezpečnostným rizikám.
Zvoľte si preto riešenie, ktoré sa dá ľahko nasadiť a ktoré si nevyžaduje pokročilú IT odbornosť, čím šetrí vaše financie aj kapacitu ľudských zdrojov. Ak po jednoduchom nasadení nasleduje aj pozitívna skúsenosť z používania, zamestnanci IT oddelenia nebudú zaťažovaní požiadavkami používateľov o pomoc pri vymknutí zo systémov, pri strate údajov a iných frustrujúcich situáciách.
Uznávané komerčné riešenia určené na šifrovanie sa už nejakú dobu ukazujú ako dostatočne silné. Aj
v organizáciách, ktoré si zakúpili a nasadili šifrovacie riešenie, však došlo k značnému počtu zaznamenaných únikov údajov, ktoré súviseli so stratenými alebo ukradnutými prenosnými počítačmi a USB kľúčmi.
Poznatky z týchto bezpečnostných incidentov odhaľujú, že kľúčovými výzvami sú schopnosť prispôsobiť šifrovacie riešenie vášmu prostrediu a pracovným postupom, ako aj docieliť jednoduchosť použitia pre bežných používateľov.