Ochraňte svá mobilní data

Šifrování dat na mobilních systémech není úplně jednoduchým úkolem. IT administrátoři už zjistili, že jakkoliv j...


Šifrování dat na mobilních systémech není úplně jednoduchým úkolem. IT
administrátoři už zjistili, že jakkoliv je technologie šifrování pevných disků
notebooků poměrně jednoduchá a snadná, existuje několik aspektů mobilní
bezpečnosti, pro které ještě není tato technologie dostačující zejména co se
týče ochrany dat na vyjímatelných médiích nebo v handheldech. To je důvod, proč
zodpovědní manažeři, kteří pro ochranu mobilních dat zavedli technologii
šifrování, tento typ doplňují ještě o další obranné prvky jak technologické,
tak i manažerské.
Zavedení šifrování
Prvním rozhodnutím, když do své firmy hodláte zavést strategii šifrování, je
to, zda použít šifrování celého disku, anebo šifrování souborů. Protože Windows
XP nativně podporují šifrování souborů (což dělá i Linux či Mac OS X), nutně to
k používání této technologie svádí. Jakýkoliv soubor uložený v konkrétních
adresářích PC, jako Moje dokumenty, je automaticky zašifrován. Ale tento
přístup má podstatný bezpečnostní nedostatek: Je na uživatelích, aby soubory do
šifrovaných adresářů vložili. Kromě toho šifrování Microsoftu není nijak silné
a pro podnik to nepředstavuje příliš dobrou volbu," říká Tim McKnight,
viceprezident firmy Northrop Grumman. "Tento systém šifrování se špatně
spravuje a obtížná je i práce se zálohovacím softwarem," varuje Paul Kocher,
odborník na šifrovací technologie ve firmě Cryptography Research. Ačkoliv
Microsoft hodlá v nových Windows Vista nabídnout lepší podporu šifrování,
Kocher navrhuje soustředit se i na jiné možnosti. Druhou zmiňovanou možností je
šifrování celého disku, které chrání všechno, co je na pevném disku. S tímto
přístupem pak nepanuje žádná nejistota ohledně toho, která data jsou vlastně
opravdu zašifrována. "Ze hry se tím vylučuje lidský faktor, takže auditorům lze
oznámit, že všechny údaje jsou automaticky zašifrovány," říká Kim Jones z firmy
eFunds.
Uživatelé se při tomto postupu ale často obávají, že šifrování celého disku
zpomalí výkon jejich notebooku. Naštěstí nová zařízení už mají výkon, který jim
umožňuje provádět šifrování celého disku z pohledu uživatele zcela
transparentně," říká Jones. McKnight si myslí, že zpomalení je sice
zaznamenatelné, avšak práci by ovlivnit nemělo. "Nejvíce to poznáte při
startování systému a když notebook přechází do režimu hibernace," říká. Řada
společností jako třeba PGP, Pointsec nebo GuardianEdge Technologies na trh
dodává podnikově orientovaný software určený pro šifrování celého disku. Tyto
programy mohou být nainstalovány a spravovány pomocí standardních nástrojů a
mohou i úzce spolupracovat se zálohovacím softwarem a se systémy pro management
hesel. Přesto by podniky měly veškerý šifrovací software otestovat tak, aby se
ujistily, že je s jejich správními nástroji kompatibilní, jak radí Eric Maiwald
z firmy Burton Group. Měly by také používat nástroj, jenž dokáže synchronizovat
uživatelská hesla se zabezpečeným úložištěm pro případ, že IT potřebuje k
notebooku přistupovat (třeba když zaměstnanec zapomene systémová hesla, je
nemocný či dá výpověď). McKnight navrhuje ještě další opatření: před zavedením
šifrování otestovat i samotné pevné disky, protože iniciační šifrování může
problematické pevné disky zatížit tak, že zkolabují.
Pospěšte si...
Jestli má šifrování celého disku Achillovu patu, pak je jí heslo používané pro
přístup k pevnému disku. Když uživatel pracuje se soubory, software pro
šifrování celého disku dešifruje soubory tak, jak jsou otevírány, a potom je
znovu zašifruje, když jsou ukládány. Pokud je ale heslo uhádnutelné nebo je
dokonce někde na notebooku poznamenáno zloděj má úplný přístup ke všem datům na
disku. "Když dovolíte používat slabé heslo, pak zřejmě tak úplně nezáleží na
tom, zda šifrování používáte," říká Maiwald.
"Jestliže se jedná o velmi citlivá data, může být požadavek na heslo navíc
spárován s hardwarovým prvkem pro dvoufaktorovou autentizaci," dodává Jerry
Johnson z organizace Pacific Northwest National Laboratory. "Notebooky by
rovněž měly být nastaveny tak, aby se po určité době nečinnosti vypnuly, a aby
tak data nebyla bez opětného zadání hesla přístupná," říká Kocher z
Cryptography Research. Trik, jak poznamenává, spočívá v nastavení času vypnutí
čím častěji se musí heslo znovu zadávat, tím snadnější pro hackera je, aby jej
na veřejném místě "okoukal přes rameno", zatímco čím řidčeji musí být vloženo,
tím delší čas má takový zlosyn pro přístup k datům, pokud je notebook ponechán
bez dozoru. "Ideální dobou je interval několika minut," říká Johnson.
Diabolická zařízení Ačkoliv je šifrování dat uložených na noteboocích poměrně
snadné, tři běžně dostupné prostředky mohou i to nejlepší šifrování zmařit: USB
zařízení (včetně iPodů a flash pamětí), nahrávatelná CD či DVD a konečně
e-mail.
Ve všech těchto případech jsou data, když jsou na tato média přesouvána,
dešifrována, protože obvyklým účelem kopírování dat na externí zařízení je dát
je k dispozici systémům, které nemusejí stejnými dešifrovacími nástroji
disponovat. O bezpečnost e-mailu se může postarat nasazení šifrování v rámci
celé sítě, přičemž příslušné nástroje mohou sledovat na základě určitých
pravidel obsah e-mailů. Ale vyjímatelná média se střeží mnohem složitěji.
"Nejjednodušším řešením je odstranit z podnikových notebooků vypalovačky
optických disků," říká Jacob Mays, viceprezident firmy Stillwater National
Bank. Co se týče USB zařízení, existují dva základní přístupy pro zajištění
jejich bezpečnosti: neumožnit uživatelům je používat, nebo nasadit software,
který na těchto produktech aplikuje šifrování podobně, jako by šlo o interní
pevné disky. "Mohli bychom také zaslepit porty. Začínáme o tom uvažovat," říká
napůl vážně Johnson. Ačkoliv někteří dodavatelé nabízejí pro paměťová zařízení
šifrování, to funguje pouze s jejich hardwarem, takže uživatelé, aby si
poradili s bezpečností, musejí kupovat pouze jejich flash disky. "Windows XP
poskytují IT manažerům sadu pravidel, díky kterým je možné blokovat určité typy
produktů včetně paměťových zařízení, ale neexistuje žádný způsob, jak konkrétní
schválené nebo neschválené prvky rozlišit," říká Nate Lawson, technický ředitel
firmy Cryptography Research. IT manažeři budou muset uvažovat o produktech
třetích stran, jako jsou třeba Safend, SecureWave či Trigeo.
Nemocnice Baptist Memorial Health Care používá software od firmy Safend, aby s
jeho pomocí zabránila používat neautorizovaná externí zařízení. Tato společnost
také spolupracuje s dodavatelem USB flash disků, firmou Kingston Technology, na
vytvoření softwaru k šifrování obsahu těchto zařízení. Tato nemocniční skupina
rovněž zaznamenává všechny soubory přenášené na tato zařízení, aby určila, kdo
kopíruje data ze zabezpečených notebooků, jak popisuje Lenny Goodmanová, šéfka
správy PC.
"Jednodušším řešením je rozšířit šifrování celých disků i na externí zařízení,"
poznamenává Maiwald, analytik firmy Burton Group. Očekává, že tato možnost se
rozšíří, až dodavatelé flash disků své produkty zdokonalí.
Horor spojený s PDA
Zařízeními, které je velmi složité zabezpečit pomocí šifrování, jsou bezesporu
handheldy. Většina z nich nemá dostatečný výkon k tomu, aby na nich mohlo běžet
šifrování celého úložného systému. Kocher zmiňuje, že pokud je pro tato
zařízení k dispozici šifrovací software, obvykle není schopen nabídnout
dostatečně velký stupeň zabezpečení, a produkty navíc poskytují i další
komunikační rozhraní, třeba telefonní. "Existuje příliš mnoho různých
implementací PDA a také proto v podstatě neexistuje jednotný způsob zabezpečení
všech PDA," říká Kocher. A tak IT manažeři, pokud chtějí podporovat různá
zařízení, musejí instalovat a spravovat mnoho typů softwaru. To je také důvod,
proč firmy eFunds, Pacific Northwest National Laboratory či Stillwater Bank
zakazují používání handheldů pro služby e-mailu a pro ukládání podnikových dat.
Pro všechny tyto organizace existuje jedna výjimka: handheld BlackBerry, který
přichází s dostatečně silným šifrováním celého disku stejně jako se šifrováním
e-mailů, nemluvě o možnostech správy na dálku třeba zničení obsahu odcizeného
nebo ztraceného zařízení. Datové středisko
Nejlepším způsobem ochrany dat na mobilních zařízeních je na ně data vůbec
neukládat. "Lidé by měli skutečně věnovat pozornost tomu, kde jsou jejich data
uchovávána a kdo k nim má přístup," radí Kocher. "Proč vůbec dávají lidé tyto
informace v první řadě na svůj notebook?" ptá se. Maiwald z firmy Burton Group
navrhuje, aby podniky používaly nástroje vzdáleného přístupu tam, kde je to
možné, tak, aby informace vlastně nikdy neopouštěly hranice interního datového
střediska. To padá na úrodnou půdu u mnoha IT manažerů. Ačkoliv se přenosné
počítače zlevnily a v mnoha společnostech se staly standardně používanou
platformou PC, McKnight z Northropu si myslí, že je to chyba. A není sám. U
společnosti eFunds pouze 10 procent uživatelů obvykle vedoucí pracovníci,
prodejci a lidé z IT dostávají notebooky, což redukuje počet toho, co je nutné
spravovat, jak říká tamější ředitel pro bezpečnost. Ke snížení rizika
společnost Baptist Memorial vlastní jen několik stovek notebooků (oproti více
než 6 000 stolních PC), jak poznamenává Goodmanová. "Dramaticky jsme snížili
počet notebooků a jiných přenosných zařízení," dodává Rob Israel, CIO
organizace John C. Lincoln Health System. "Pro ty uživatele, kteří notebooky
skutečně potřebují, je efektivním způsobem zajištění dat šifrovat celý disk a
spravovat vyjímatelná média," říká Israel. "Tato technologie je už běžně k
dispozici a není tak drahá. Jen ji musíte opravdu používat."
(pal) 6 1600









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.