Jak ochránit kriticky důležitá data před ztrátou či zpronevěrou

V dnešní době je prakticky nemožné vyhnout se přenášení dat mezi zařízeními. Přestože se velká část uživatelských i firemních dat přesouvá na cloudová úložiště, stále existují uživatelé, kteří si citlivá firemní či osobní data jednoduše zkopírují na flashdisk. Nezřídka dokonce v domnění, že tak konají právě v zájmu zvýšení bezpečnosti.

Rizika plynoucí ze ztráty či krádeže nezabezpečeného paměťového média jsou však obrovská – kompromitací strategicky důležitých firemních informací počínaje a porušením povinností ochrany osobních dat plynoucích z nařízení GDPR konče. Na druhou stranu ani data uložená v cloudu, nad jejichž umístěním a ochranou se vzdáváte kontroly, nelze nikdy považovat za 100% zabezpečená.

Kam tedy ukládat data, která nesmí za žádnou cenu padnout do nepovolaných rukou? Nejlépe na šifrované přenosné osobní úložiště. V dnešním článku si představíme principy fungování a používání toho nejlepšího, které lze v současnosti pořídit. Je jím Kryptodisk 2. generace od norské společnosti Hiddn.

Dvoufaktorová autentizace – posílení zabezpečení i možností obnovy

Na první pohled zaujme tento přenosný SSD disk integrovanou alfanumerickou klávesnicí, OLED displejem a čtečkou smart karty. Ty slouží pro správu a ovládání Kryptodisku, především pak pro jeho prvotní nastavení, a také pro odemčení před každým použitím.

Na rozdíl od levných řešení, které vyžadují ke zpřístupnění uživatelských dat pouze zadání hesla, funguje Kryptodisk na principu dvoufaktorové autentizace. K dešifrování dat je třeba dvou věcí: jednu z nich si nosíte v hlavě (PIN kód o délce 7 – 16 znaků), druhou pak v kapse. Tou druhou je smart karta s čipem, obsahujícím jedinečný komunikační klíč. Teprve po načtení této karty je možné přistoupit k zadávání PIN kódu.

Jde tedy o stejný princip zabezpečení, jaký se využívá u bankovních karet. Stejně jako vaše finanční prostředky v bance, i vaše data jsou nepřístupná bez fyzické dispozice smart karty. Stejně tak je bezcenná samotná karta bez znalosti PIN kódu. Po pěti neúspěšných pokusech o jeho zadání dojde k automatickému smazání celého obsahu disku.

Pokud však PIN pouze zapomenete, máte možnost obnovit si jej právě za pomoci smart karty a PUK kódu (který je ovšem nutné uchovávat na bezpečném místě odděleně od obou zařízení). Díky dvoufaktorové autentizaci je navíc od samého počátku šifrována veškerá komunikace mezi Kryptodiskem a počítačem, tudíž není možné zachytit PIN kód keyloggerem (častá slabina levných šifrovaných disků).

Spousta zařízení, které využívají k ochraně dat šifrovací standard AES 256, se často ohání líbivým označením „army-grade security“. Faktem je, že je šifra AES 256 v současnosti hodnocena jako dostačující pro ochranu utajovaných informací, a to na základě důkladného zkoumání americkou NSA. Bohužel ani sebesilnější šifrování nemá šanci obstát, pakliže není precizně implementováno.

A právě za správnost implementace a robustní zabezpečení Kryptodisku ručí méně známé, o to však důležitější certifikace. První z nich (FIPS 140-2 LEVEL 3) se vztahuje k odolnosti samotného šifrovacího mechanismu vůči narušení jeho integrity. Jde o soubor opatření, které zabraňují fyzickému přístupu k šifrovacímu modulu, hlídají pokusy o jeho modifikaci nebo extrakci přenášených dat.

Zjednodušeně lze říci, že takto certifikovaná architektura byla testována na odolnost vůči všem proveditelným (resp. doposud známým a užívaným) způsobům útoku. Konkrétně v případě Kryptodisku pak obstála na úrovni tři ze čtyř možných, přičemž nejvyšší možná úroveň rozšiřuje zabezpečení pouze o odolnost vůči vnějším vlivům.

V tomto kontextu je také dobré zmínit, kde a v jakých podmínkách je zařízení osazováno součástkami a „oživováno“. Zatímco Kryptodisk vyrábí společnost Hiddn na území Norska, kde lze spoléhat na dodržování mezinárodních bezpečnostních standardů, většina konkurence nechává svá zařízení kompletovat v Čínské lidové republice.

Druhým certifikátem, který zásadně ovlivňuje bezpečnost vašich dat, je Common Criteria ALE 5+. Ten se týká bezpečnosti architektury smart karty, která zabezpečuje ověření vás coby skutečného majitele disku, a také se stará o šifrování komunikace mezi diskem a PC.

Šifrovaná data, nebo rovnou celý OS? Obojí je možné

Díky vysokému výkonu použitého šifrovacího čipu a možnostem technologie SSD dokáže Kryptodisk 2 fungovat nejen v režimu přenosného úložiště dat, ale také coby spouštěcí médium pro operační systém. To vám dává do rukou obrovskou variabilitu využití, přičemž každé z řešení má své pro a proti.

V běžném režimu šifrovaného úložiště vám Kryptodisk vyřeší starost se zabezpečením dat. Je však třeba mít na paměti, že při práci s nimi na jinak nezabezpečeném počítači lze zpětně nalézt celou řadu tzv. metadat, uložených právě v tomto PC. Této problematice se podrobněji věnujeme v tomto článku o zabezpečení a anonymizaci PC.

Pokud tedy povaha vaší pracovní činnosti vyžaduje skutečně robustní zabezpečení (typické pro novináře, management, nezávislé analytiky, právníky apod.), doporučujeme využít možnosti spouštět z šifrovaného Kryptodisku rovnou celý operační systém. Poslední věcí, kterou v takovémto režimu zbývá vyřešit, je anonymizace pohybu v síti. S tou vám rádi pomůžeme a sestavíme vám řešení na míru. Neváhejte nás kontaktovat!

Naše služby

Penetrační testování od EO SECURITY

Penetrační testování

Vyhledávání odposlechů od EO SECURITY

Vyhledávání odposlechů

Školení od EO SECURITY

Školení

Rušičky odposlechů

Šifrované volání

Následující příspěvek
Jak čelit 6 nejběžnějším typům kybernetických útoků proti firmám
Předchozí příspěvek
Šifrovaný kryptodisk

Podobná témata

Menu