Nechci se v tomto článku zabývat selháním lidského faktoru, který bývá hlavní příčinou odcizení dat. Spíše se zaměřím na možnosti maximálního zmenšení pravděpodobnosti ztráty dat.
Pojetí bezpečnosti (v tomto případě ochrany dat) se postupem času mění. Dříve, kdy nebyly informační technologie příliš rozšířené (někde dodnes), převažoval názor, že by důležitá data měla být uchovávána uvnitř jakéhosi kruhu. Tento kruh má na obvodu hlídací psy (v praxi zámky, bariéry, firewally, antiviry apod.), přes které se útočník nesmí dostat. Uvnitř kruhu se nacházejí citlivá data, která mohou tento prostor opouštět jen v nejnutnějších případech. Nakládat s daty je oprávněna pouze důvěryhodná a proškolená obsluha… Tato filozofie naráží na řadu problémů: nedostatečná flexibilita a použitelnost dat pro business, problémy, pokud data opustí vymezený prostor, data nelze dokonale „oplotit“, otázka důvěryhodnosti pověřených osob, ochrana systémů místo ochrany dat.
V dnešní době je aktuální jiná bezpečnostní filozofie, která má s trochou nadsázky původ v punkové kultuře: nevěřte nikomu (komu je přes deset). Předpokládejte, že potenciální útočníci jsou i uvnitř. Řešení bezpečnosti podle je tohoto názoru založeno na ochraně informace na úrovni její hodnoty a přístupu k ní. Tj. zapojením kvalitního systému IAM (identity and access management) a šifrování. Výhody tohoto přístupu jsou následující: jednodušší a bezpečnější výměna kritických dat, zajištění integrity dat, bezpečnost i v nedůvěryhodných kanálech, autentizace k datům podle daného oprávnění, možnost záchrany v případě selhání lidského faktoru. Z tohoto principu budeme vycházet při budování obranného systému.

Nasazení určitých bezpečnostních technologií v rámci podniku není univerzální. Vždy je zapotřebí se zaměřit na převažující typ dat a hrozby zneužití. Hrozeb, jak mohou být data z podnikových systémů vysávána, lze vymyslet celou řadu. Nejčastěji se tak děje na rozhraních mezi pobočkami, při používání přenosných počítačů a médií, působením vlastních zaměstnanců a partnerů, při ukládání nebo backupu.
Data si můžeme pro naše potřeby rozdělit do tří skupin:

• data in motion,
• data at rest,
• data in use.

První skupina obsahuje data „v pohybu“, tj. informace, které se přenáší z pobočky na pobočku, mezi důvěryhodnými partnery, při zálohování či vzdálené pomoci. Zde je potřeba ochránit především data proudící vysokorychlostními sítěmi. Šifrování mezi vzdálenými místy se dá zajistit šifrátory, které pracují s různou přenosovou rychlostí (dnes běžně do 10 Gbps) na různých vrstvách modelu OSI (fyzická, linková a síťová). Tato zařízení používají symetrické šifrovací algoritmy, dnes standardně AES 256bit. Jedná se o zařízení párová (šifrování/dešifrování). Jejich dosah (vzdálenost mezi sebou) závisí na typu zařízení a technologii přenosu a pohybuje se v desítkách kilometrů.
„Data at rest“ se týkají nejen korporací, ale i malých firem a domácností. Do této skupiny patří všechna data, která „leží“ na firemních serverech, pracovních stanicích a úložištích. Jedná se o osobní data, informace o zákaznících, obsah databází, finanční údaje, duševní vlastnictví apod. Existuje řada prostředků pro šifrování data-at-rest. Databázové šifrátory jsou zařízení, která šifrují vybrané části databází (sloupce, bloky, tabulky), přičemž klíče jsou bezpečně uloženy v hardwarovém zařízení. Pro šifrování uložených dat existuje řada softwarových produktů, které umí šifrovat pevné disky (pracují na úrovni sektorů disku) nebo soubory a adresáře. U těchto programů berte v úvahu nejen výkon a cenu, ale i jednoduchost implementace a používání (přijde s nimi do styku téměř každý!). Výhodou je také integrace do stávajících systémů IAM, popřípadě Active Directory. Šifrovací software by měl disponovat i funkcemi pro šifrování dat na mobilních zařízeních (notebooky, PDA) a výměnných médiích. Pokud je šifrován disk na notebooku, který obsahuje citlivá data, útočníkovi bez patřičné autentizace (čipová karta, token, hesla) nezbude než disk zformátovat a s daty se rozloučit.
Poslední skupina má název „data in use“ a obsahuje citlivá data, která jsou právě používána. U těchto dat je potřeba zajistit především vymezení přístupových práv a důsledně kontrolovat oprávnění přístupu k datům. Zde přicházejí na scénu nástroje identity and access managementu a šifrování na aplikační úrovni. Pro řízení přístupu k datům nebo aplikacím se používají různé způsoby autentizace: od kliknutí na ikonku programu přes heslo až po vícefaktorovou autentizaci.
Přestože zatím nikdo nevymyslel dokonale bezpečný, rychlý, univerzální, jednoduchý a nezneužitelný systém autentizace, dá se ze současné nabídky na trhu vybrat vyhovující kompromis. Pro nasazení toho či onoho způsobu autentizace se rozhodujeme podle charakteru dat ve firmě (resp. požadavků na bezpečnost), nákladů, náročnosti implementace a ochotě uživatelů ke změně. Ze zkušenosti vyplývá, že běžný uživatel-zaměstnanec je velmi málo ochotný měnit své návyky. Výjimkou nejsou ani návyky týkající se autentizace k počítači, programům a datům.

Představíme si modelovou situaci, kdy zaměstnanec dorazí do práce (1), přihlásí se do OS svého notebooku (2), spustí mailového klienta a jiné oblíbené programy (Word, Excel, …) (3), připojí se do VPN (4), nahlédne do firemní databáze (5), stáhne důležitý dokument z file serveru (6), spustí účetní software (7), spustí Skype či ICQ (8) atd. Při každé z těchto operací by měla proběhnout nějaká autentizace. Z pohledu uživatele jsou na výběr tyto možnosti: automatická autentizace (zpravidla spuštění programu pod akceptovatelným uživatelským kontem) (3, 6), autentizace heslem (5, 7, 8), čipovou kartou (USB tokenem) (2, 4), biometrickými prostředky (1). Za každým typem autentizace jsou uvedena čísla operací z výše uvedené modelové situace. Toto přiřazení se liší podnik od podniku.
Každý administrátor má představu, jak se uživatel bude autentizovat vůči jednotlivým entitám. Někdy mu to stanovuje i bezpečnostní politika podniku. Musí však dělat kompromisy mezi požadavky na bezpečnost a požadavky na uživatelskou přívětivost, pohodlí a návyky. Čím méně změn, tím lépe. Druhá možnost, jak získat zaměstnance na svou stranu a zaujmout, je předvedení elegantního způsobu přihlašování například pomocí karty s biometrikou nebo USB tokenu. S využitím single sign-on se dá sjednotit i přihlašování do více aplikací, zároveň lze na token nebo kartu ukládat symetrické klíče pro šifrování souborů či disků nebo certifikáty pro firemní PKI. Uživatel se tak autentizuje jedním hardwarovým prostředkem a PINem k většině podnikových systémů.
V nejvíce exponovaných odvětvích je bezpečnost privátních klíčů nanejvýš důležitá. Proto se pro bezpečné uložení klíčů a urychlení kryptografických operací používají zařízení HSM (high security module). Bez těchto zařízení si dnes nelze představit například bankovní systém pro vydávání čipových karet, symetrické šifrování na webových stránkách, ověřování PINů či úložiště pro privátní klíče kořenových certifikačních autorit.

Shrnutí

Dokonalé zabezpečení dat je utopie. Použití šifrovacích prostředků a IAM pro jednotlivé skupiny dat však znamená podstatné snížení šancí pro potenciální útočníky. Pro zabezpečení dat v pohybu lze použít například linkové šifrátory, pro data uložená na discích kdekoli ve firmě jsou vhodné šifrovací prostředky pro šifrování databází, souborů a disků. Pro právě používaná data je potřeba zajistit řízení přístupu silnou autentizací. V případě většího bezpečnostního rizika je účelné mít všechny privátní informace (hesla, klíče) uloženy v hardwarových zařízeních typu čipová karta, USB token nebo HSM.

Autor pracuje jako technický konzultant ve společnosti Askon International.