Gubitak podataka (data loss) predstavlja sve češći izvor sigurnosnih incidenata. Kako Safenet rješenja za kriptiranje podataka u mirovanju mogu pomoći organizacijama?

Autentifikacija i autorizacija u pravilu su standardne mjere za zaštitu podataka u svakoj organizaciji. Ugrađene su u svaki operativni sustav, bazu podataka ili aplikaciju. Tako npr. Active Directory infrastruktura osigurava autentifikaciju svih korisnika u Windows okruženju, a prava nad datotekama i folderima osiguravaju samo autoriziranim osobama i grupama adekvatan pristup podacima.

Podaci su zaštićeni ali i dalje čitljivi!

Ipak, organizacije sve više uviđaju potrebu za kriptiranjem podataka kao neophodnom mjerom zaštite podatka u mirovanju (tj. kada isti ne putuju mrežom). Razlog tome jest što tvrtke, državne i financijske institucije pohranjuju i čuvaju sve veću količinu osjetljivih podataka – od brojeva kreditnih kartica preko podataka o zaposlenicima, pa sve do specifičnih i za organizaciju bitnih datoteka.

Istovremeno, svi ti podaci su spremljeni u datotekama na disku ili u poljima baza podataka gdje su potpuno čitljivi (clear text), uz uvjet da je autentificiranoj osobi dopušten pristup. No što ako neautorizirana osoba dođe do podataka na disku ili bazi odnosno uspije zaobići kontrole ugrađene u operativni sustav ili aplikaciju? Otvoren je prostor za niz mogućnosti gubitka ili curenja podataka (data loss), na primjer:

• izgubljen je laptop ili drugi uređaj sa osjetljivim podacima, a na disku su važne i osjetljive datoteke (ukoliko disk nije kriptiran, svaki srednjoškolac je u stanju pročitati datoteke i foldere).
• na softveru za baze podataka (npr. MS SQL) je otkriven sigurnosni propust kojim je moguće zaobići standardne mjere autorizacije i pročitati osjetljiva polja (npr. OIB ili broj kreditne kartice)
• Windows server kompromitiran je napadom malware-a koji dopušta neautoriziranoj osobi pristup datotekama na disku.

Rješenje: kriptiranje podataka u mirovanju (data at rest)

Ukoliko su gore navedeni podaci adekvatno kriptirani, problem je riješen – naime, krađa ili gubitak dobro kriptiranih podataka u praktičnom smislu ne predstavlja problem.

Incidenti gubitaka podataka postali su vrlo česti, a medijski naslovi potvrđuju rastući trend. Web site koji prikuplja informacije o incidentima, http://datalossdb.org/, dobro je startno mjesto za dobivanje uvida u raširenost pojave. Ostaje pitanje koliko je ovakvih incidenata neotkriveno odnosno neobjavljeno.
U svakom slučaju, posljedice gubitka podataka odnosno narušavanja povjerljivosti, integriteta i raspoloživosti informacija mogu višestruko premašiti troškove ulaganja u tehnologiju zaštite kriptiranjem.
Regulatori (državne institucije ili češće stručna tijela) su odavno prepoznali potrebu za zaštitom podataka kriptiranjem. Ovo se posebno odnosi na financijske institucije koje moraju zadovoljiti niz standarda, posebno u sferi kartičarskog poslovanja (PCI DSS).
Stoga regulatorni zahtjevi sve više naglašavaju kriptiranje podataka kao ključnu strategiju zaštite podataka u mirovanju – bilo na klijentu, serveru, bazi podataka ili aplikaciji.

Čuvanje ključa: osnova svakog sustava kriptiranja

Iako je kriptiranjem podataka problem u osnovi riješen, ostaje pitanje što sa ključem koji se koristi za kriptiranje. Naime, apsolutna tajnost ključa za kriptiranje, implicitna je pretpostavka svakog kriptografskog sustava. Pa ipak, u softveru je po definiciji nemoguće na posve siguran način pohraniti tajnu informaciju kao što je privatni ključ (npr. vidi što Microsoft o tome kaže ovdje). Stoga se javlja potreba za specijaliziranim hardverom koji je u stanju na siguran način spremiti ključ i odraditi kriptografske operacije bez da ključ ikada napusti sigurno okruženje: Hardware Security Module (HSM).

Safenet upravo nudi rješenja koja koristeći HSM uređaje nude adekvatno kriptiranje i zaštitu podataka u mirovanju.

Evo nekih točaka integracije na raspolaganju organizacijama:

• transparentno kriptiranje visokih performansi na razini SQL baze podataka, bez izmjene aplikacijskog koda, opširnije ovdje 
• kriptiranje visokih performansi za datoteke u Windows 2003 serveru
• integracija HSM-a preko Microsoft CSP-a odnosno PKCS#11 sučelja na razini aplikacije, opširnije ovdje  
• kriptiranje SQL podataka koristeći Microsoft EKM tehnologiju ili TDE (Microsoft i Oracle), opširnije ovdje
• kriptiranje diskova klijentskih računala uz centralizirani nadzor i integraciju sa Active Directory-em, opširnije ovdje 
• uz integraciju sa PKI infrastrukturom, Safenet HSM rješenja nude snažnu autentifikaciju (tokeni i smart kartice), što zajedno sa kriptiranjem čini zaokruženu cjelinu u zaštiti podataka unutar organizacija.