Jak ochránit kriticky důležitá data před ztrátou či zpronevěrou

V dnešní době je prakticky nemožné vyhnout se přenášení dat mezi zařízeními. Přestože se velká část uživatelských i firemních dat přesouvá na cloudová úložiště, stále existují uživatelé, kteří si citlivá firemní či osobní data jednoduše zkopírují na flashdisk. Nezřídka dokonce v domnění, že tak konají právě v zájmu zvýšení bezpečnosti.

Rizika plynoucí ze ztráty či krádeže nezabezpečeného paměťového média jsou však obrovská – kompromitací strategicky důležitých firemních informací počínaje a porušením povinností ochrany osobních dat plynoucích z nařízení GDPR konče. Na druhou stranu ani data uložená v cloudu, nad jejichž umístěním a ochranou se vzdáváte kontroly, nelze nikdy považovat za 100% zabezpečená.

Kam tedy ukládat data, která nesmí za žádnou cenu padnout do nepovolaných rukou? Nejlépe na šifrované přenosné osobní úložiště. V dnešním článku si představíme principy fungování a používání toho nejlepšího, které lze v současnosti pořídit. Je jím Kryptodisk 2. generace od norské společnosti Hiddn.

Dvoufaktorová autentizace – posílení zabezpečení i možností obnovy

Na první pohled zaujme tento přenosný SSD disk integrovanou alfanumerickou klávesnicí, OLED displejem a čtečkou smart karty. Ty slouží pro správu a ovládání Kryptodisku, především pak pro jeho prvotní nastavení, a také pro odemčení před každým použitím.

Na rozdíl od levných řešení, které vyžadují ke zpřístupnění uživatelských dat pouze zadání hesla, funguje Kryptodisk na principu dvoufaktorové autentizace. K dešifrování dat je třeba dvou věcí: jednu z nich si nosíte v hlavě (PIN kód o délce 7 – 16 znaků), druhou pak v kapse. Tou druhou je smart karta s čipem, obsahujícím jedinečný komunikační klíč. Teprve po načtení této karty je možné přistoupit k zadávání PIN kódu.

Jde tedy o stejný princip zabezpečení, jaký se využívá u bankovních karet. Stejně jako vaše finanční prostředky v bance, i vaše data jsou nepřístupná bez fyzické dispozice smart karty. Stejně tak je bezcenná samotná karta bez znalosti PIN kódu. Po pěti neúspěšných pokusech o jeho zadání dojde k automatickému smazání celého obsahu disku.

Pokud však PIN pouze zapomenete, máte možnost obnovit si jej právě za pomoci smart karty a PUK kódu (který je ovšem nutné uchovávat na bezpečném místě odděleně od obou zařízení). Díky dvoufaktorové autentizaci je navíc od samého počátku šifrována veškerá komunikace mezi Kryptodiskem a počítačem, tudíž není možné zachytit PIN kód keyloggerem (častá slabina levných šifrovaných disků).

Spousta zařízení, které využívají k ochraně dat šifrovací standard AES 256, se často ohání líbivým označením „army-grade security“. Faktem je, že je šifra AES 256 v současnosti hodnocena jako dostačující pro ochranu utajovaných informací, a to na základě důkladného zkoumání americkou NSA. Bohužel ani sebesilnější šifrování nemá šanci obstát, pakliže není precizně implementováno.

A právě za správnost implementace a robustní zabezpečení Kryptodisku ručí méně známé, o to však důležitější certifikace. První z nich (FIPS 140-2 LEVEL 3) se vztahuje k odolnosti samotného šifrovacího mechanismu vůči narušení jeho integrity. Jde o soubor opatření, které zabraňují fyzickému přístupu k šifrovacímu modulu, hlídají pokusy o jeho modifikaci nebo extrakci přenášených dat.

Zjednodušeně lze říci, že takto certifikovaná architektura byla testována na odolnost vůči všem proveditelným (resp. doposud známým a užívaným) způsobům útoku. Konkrétně v případě Kryptodisku pak obstála na úrovni tři ze čtyř možných, přičemž nejvyšší možná úroveň rozšiřuje zabezpečení pouze o odolnost vůči vnějším vlivům.

V tomto kontextu je také dobré zmínit, kde a v jakých podmínkách je zařízení osazováno součástkami a „oživováno“. Zatímco Kryptodisk vyrábí společnost Hiddn na území Norska, kde lze spoléhat na dodržování mezinárodních bezpečnostních standardů, většina konkurence nechává svá zařízení kompletovat v Čínské lidové republice.

Druhým certifikátem, který zásadně ovlivňuje bezpečnost vašich dat, je Common Criteria ALE 5+. Ten se týká bezpečnosti architektury smart karty, která zabezpečuje ověření vás coby skutečného majitele disku, a také se stará o šifrování komunikace mezi diskem a PC.

Šifrovaná data, nebo rovnou celý OS? Obojí je možné

Díky vysokému výkonu použitého šifrovacího čipu a možnostem technologie SSD dokáže Kryptodisk 2 fungovat nejen v režimu přenosného úložiště dat, ale také coby spouštěcí médium pro operační systém. To vám dává do rukou obrovskou variabilitu využití, přičemž každé z řešení má své pro a proti.

V běžném režimu šifrovaného úložiště vám Kryptodisk vyřeší starost se zabezpečením dat. Je však třeba mít na paměti, že při práci s nimi na jinak nezabezpečeném počítači lze zpětně nalézt celou řadu tzv. metadat, uložených právě v tomto PC. Této problematice se podrobněji věnujeme v tomto článku o zabezpečení a anonymizaci PC.

Pokud tedy povaha vaší pracovní činnosti vyžaduje skutečně robustní zabezpečení (typické pro novináře, management, nezávislé analytiky, právníky apod.), doporučujeme využít možnosti spouštět z šifrovaného Kryptodisku rovnou celý operační systém. Poslední věcí, kterou v takovémto režimu zbývá vyřešit, je anonymizace pohybu v síti. S tou vám rádi pomůžeme a sestavíme vám řešení na míru. Neváhejte nás kontaktovat!

Předchozí příspěvek
Hiddn Kryptodisk 2 – ultimátní řešení zabezpečení dat
Následující příspěvek
Hackeři mohli zneužít Antivirus ve výchozím nastavení ke spuštění škodlivého softwaru na telefonech Xiaomi

Podobná témata

Naše služby

Zabýváme se konzultacemi a poradenstvím v oblasti ochrany proti odposlechu, a to jak proti klasickým odposlechovým zařízením, tak i proti odposlechu počítačových sítí a mobilních telefonů.

Vyhledávání odposlechů

Rušička odposlechů od společnosti EO SECURITY

Rušičky odposlechů

IntactPhone

Šifrované volání

Kontrola mobilního telefonu před odposlechem

Kontrola mobilu před odposlechem

Menu