V kontextu komerčního vyžití informací se stále větší pozornosti těší šifrování. Lze jej charakterizovat jako náhradu obecně srozumitelné informace nesrozumitelnou posloupností znaků. Používá se především na ochranu soukromí, intelektuálního vlastnictví, strategických informací, majetku, apod. V komerční oblasti se šifrováni používá např. pro digitální telefon, pro placenou televizi, pro bezhotovostní finanční transakce, pro obchodní informace, přenos osobních dat a další.

Všechny metody šifrování jsou založené na použití klíče. Jde o informaci, pomocí které lze šifrovat nebo dešifrovat zprávu. V praxi se nejčastěji používají 2 systémy: systém se sdíleným klíčem (symetrický) a systém s veřejným klíčem (asymetrický). V rámci firemního využití se zaměříme na prvně zmiňovaný způsob. Systém šifrování se sdíleným klíčem se označuje jako symetrický právě proto, že se pro zašifrování i dešifrování používá stejný klíč.

Šifrování v rámci firemní struktury
Při úvahách o šifrování v rámci firmy je třeba vzít v úvahu následující fakta:

. data jsou majetkem firmy a jako taková by měla být firmou (reprezentovanou například vlastníkem) kdykoliv dešifrovatelná,

. každý zaměstnanec firmy musí být schopen s daty pracovat způsobem, který odpovídá jeho pozici ve firemní struktuře.

Na základě těchto faktů tedy musí být jednotlivé šifrovací klíče v rámci firmy uspořádány do hierarchie, která kopíruje firemní strukturu. Právě tento požadavek hierarchie znemožňuje použít standardní možnosti šifrování na základě jediného klíče, například s použitím populárního programu PGP.
Nebezpečí hrozí především zevnitř

Závažným hrozivým faktem, který není rozumné přehlížet, je skutečnost že více než čtyři pětiny útoků na informační systémy a data v nich uložená jsou klasifikovány jako vnitřní útoky. Ne všechny jsou vědomě cílené přímo zaměstnanci - jejich část je zapříčiněna nedbalostí či neúmyslnou pomocí. Bez ohledu na úmysl bývají jejich důsledky obvykle stejně hrozivé. Dalším nezanedbatelným problémem je vynášení informací. A to ať již za úplatu konkurenci či spojené s odchodem zaměstnanců. Typický český odcházející obchodník si s sebou neopomene vzít databázi obchodních partnerů firmy.

Vlastní krádež dat může mít i zcela nevinnou podobu - pár vytištěných papírů s citlivými informacemi (majícími charakter obchodního tajemství). Avšak s rostoucím objemem elektronicky uchovávaných dat se jedná především o hrozící problém vynášení dat v elektronické podobě. Například zdrojové kódy www obchodu či portálu lze bez problémů odnést na jednom ZIP médiu. Přitom tato data mají hodnotu v řádech statisíců či milionů korun. Zálohu rozsáhlejší databáze lze bez problémů odnést na pár CD médiích. A v případě rozsáhlých databází se hodnota dat může vyšplhat do řádů desítek milionů.

Samozřejmě výměnná média nejsou jediným způsobem, jak lze data odnést. Skrze elektronickou poštu sice nelze najednou posílat desítky či stovky megabajtů, ale rozhodně nelze tento kanál podceňovat. FTP přenosy lze hlídat ještě snadněji jak elektronickou poštu, ale také je třeba mít se na pozoru. Další potenciální hrozbou jsou různé PDA zařízení a elektronické organizéry s možností připojení k počítači. A to i s ohledem na fakt, kdy se jejich současná kapacita paměťového prostoru pohybuje v rámci jednotek či desítek megabajtů.

AreaGuard
Jedno z možných řešení popisovaných problémů bylo představeno na posledním veletrhu informačních technologií Invex 2000. Jedná se o bezpečnostní systém AreaGuard, který pochází z dílny české společnosti Sodat Software. Je určen pro operační systémy Windows NT a 2000. Systém nabízí možnost použití symetrických šifer 3DES, IDEA nebo RC4 s délkou klíče 128 bitů. Při zohlednění výpočetních možností současných PC jsou tyto šifrovací algoritmy s danou délkou klíče hodnoceny jako výpočetně bezpečné.

S problematikou firemní hierarchie se systém vyrovnává možností existence hlavního klíče MEK (pozn. aut. - Master Encription Key). V rámci ochranného systému je možné nadefinovat chráněné datové oblasti a privilegované aplikace, které mají oprávnění s příslušnými daty pracovat. Data pak nelze z privilegovaných aplikací žádným způsobem v elektronické podobě přenést mimo chráněnou oblast.

Bezpečnostní systém je integrován přímo v jádře operačního systému a je aktivován dříve než ovladače pro souborový systém. V rámci VPN (pozn. aut. - virtuálních privátních sítí) můžete vytvořit bezpečný komunikační kanál. Šifrovací klíče lze v rámci bezpečnosti ukládat na čipových kartách mimo vlastní počítač.

Uživatelské šifrování
V souvislosti s otázkou bezpečnosti firemních dat je třeba rovněž zmínit problém ukradených přenosných počítačů. Za předpokladu aktuálních záloh lze škodu ze ztráty přenosného počítače omezit pouze na cenu vlastního přístroje. Transparentní uživatelské šifrování nabízí bezpečnostní systém AreaGuard Notes. Při použití stejných symetrických šifer ovšem nenabízí možnost existence hlavního klíče. Systém tedy slouží k ochraně dat jednotlivého uživatele. V rámci šifrování lze vytvořit spustitelný soubor, a data tak při znalosti klíče dešifrovat i na stanici, kde není systém instalován. Za necelé čtyři tisíce korun máte možnost chránit data včetně uchování šifrovacích klíčů na čipové kartě.

Pozn.: Autor článku pracuje ve firmě Sodat Software, spol. s r.o.
www.areaguard.cz