Odborníci na bezpečnost varují, že šifrování ukládaných dat ve skutečnosti data nechrání, ačkoli se uživatelé domnívají, že informace spolehlivě zabezpečili. Používání šifrovaných dat se tak může pro organizace stát bezpečnostním rizikem.
Mnoho organizací používá šifrování ukládaných dat, aby se nemuseli obávat jejich náhodného nebo úmyslného úniku. Nicméně odborníci z IBM Internet Security Systems, Juniper, nCipher a dalších společností zabývajících se bezpečností dat, varují, že šifrování přináší další nová rizika, zejména v podobě úmyslných útoků na klíčové části bezpečnostní infrastruktury.
Změna přichází zejména s přechodem šifrované komunikace k celkovému zabezpečování ukládaných dat, což se často děje v souladu s novými regulačními požadavky, říká Richard Moulds ze společnosti nCipher.
„Pro mnoho organizací je šifrování ukládaných dat něco zcela nového,“ dodává, „jejich jediná dosavadní zkušenost byla jen s komunikací chráněnou SSL protokolem, což je ale pouze dočasné zajištění bezpečnosti po dobu přenosu. Pokud se ale zabezpečení rozšíří také na ukládání dat a zašifruje se celý počítač, ztráta klíče znamená také nevratnou ztrátu ukrytých informací.“
„Organizace, které mají s šifrováním zkušenosti, považují tuto hrozbu za noční můru. V nejhorších případech může dojít k ohrožení fungování celého podniku.“
Anton Grashin, stratég evropské pobočky Juniper, varuje, že šifrování přitahuje zájem nejen odborníků, ale i zločinců. „Než stačíte zareagovat, bezpečnostní technologii zneužijí,“ říká, „například mohou spustit útok proti bezpečnostním klíčům.“
„Jedná se o novou třídu DoS (Denial of Service) útoků,“ souhlasí Moulds. „Útokem můžete zneplatnit šifrovací klíče a poté požadovat výkupné za opětovné zpřístupnění dat. Je to neuvěřitelný způsob útoku na firmu.“
Dalším rizikem je nadměrné používání šifrování. „To může v organizaci způsobit značné ochromení legitimní výměny dat důležitých pro fungování podniku,“ poznamenává Joshua Corman, ředitel oddělení strategie bezpečnosti v IBM ISS.
„Obávám se toho, že všichni budeme ukrývat veškeré naše informace, přitom společnosti jsou na výměně informací závislé. Došlo by tak k potlačení schopnosti vzájemné spolupráce,“ říká Corman.
„V některých případech představuje pro společnost nasazení bezpečnostních technologií zvýšení celkového rizika,“ dodává Richard Reiner, vedoucí bezpečnostního oddělení Telus Security Solutions.