Jeśli chodzi o środowisko profesjonalne, czyli wszelkiego rodzaju małe i średnie przedsiębiorstwa, niezależnie od rodzaju działalności, kluczowym zagadnieniem jest bezpieczeństwo danych. Nie chodzi już tylko o przetwarzanie danych osobowych i wiążącym się z tym ogólnym rozporządzeniem o ochronie danych (RODO), a o wszystkie kluczowe elementy funkcjonowania biznesu, na który składają się wszelkiego rodzaju wewnętrzne dokumenty. Wszystkie przedsiębiorstwa powinny operować na ogólnie przyjętych zasadach bezpieczeństwa i pomóc może w tym niewątpliwie odpowiedni sprzęt. Tylko jaki i dlaczego?
W dobie wszechobecnej cyfryzacji kwestia bezpieczeństwa w firmie jest bardzo istotna. Z tego też powodu do tematu należy podejść z kilku stron. Nie wystarczy bowiem ograniczyć dostępu do wrażliwych danych osobom zatrudnionym w firmie, którzy takowego mieć nie mogą. Administratorzy przeważnie wdrażają i wykorzystują politykę Zero Trust, wszelkiego rodzaju zabezpieczenia na własnych bądź zewnętrznych serwerach, włącznie z managerami haseł i uwierzytelnianiem dwuskładnikowym, ale to dopiero kropla w morzu, szczególnie jeśli mówimy tutaj o kopiach zapasowych i pracy zdalnej.
Kilka poziomów bezpieczeństwa, pomimo tego, że nie gwarantuje absolutnej ochrony, ponieważ do wycieków danych, świadomych bądź nie dochodzi bardzo często, jest kluczowym elementem funkcjonowania każdego przedsiębiorstwa. Składają się one z ZT, edukacji i szkoleń, oprogramowania i oczywiście fizycznych nośników przystosowanych do magazynowania i przenoszenia danych wrażliwych, wewnętrznej dokumentacji firmy, raportów, sprawozdań, wyników finansowych, list płac oraz wszelkiego rodzaju działań biznesowych, które odgrywają tak istotną rolę przy zarządzaniu w małych, średnich i większych przedsiębiorstwach.
Jak zabezpieczyć dane w firmie?
Istnieje wiele różnych sposobów na zabezpieczenie dostępu do danych w firmie i tak naprawdę każde przedsiębiorstwo powinno we własnym zakresie oszacować, do jakiej grupy ryzyka należy. Ogólnie przyjęte zasady nadal jednak funkcjonują, ponieważ są uniwersalne, jeśli chodzi o podstawowe elementy i zagadnienia. Pierwszym, najbardziej podstawowym jest edukacja i szkolenia w zakresie bezpieczeństwa cyfrowego świata. Należy założyć, że nie wszyscy są profesjonalistami w zakresie cyberbezpieczeństwa i edukacja ma być bardzo istotnym elementem w firmie. Obok edukacji i szkoleń dla pracowników, należy przyjąć postawę Zero Trust, która mówi, że każdy użytkownik może stanowić potencjalne zagrożenie dopóki nie udowodni się, że jest inaczej. Jest to zatem etap weryfikacji, który powinien być wdrożony we właściwie każdym przedsiębiorstwie.
Kolejnym etapem jest wybór odpowiedniego oprogramowania i systemu zabezpieczeń. Tu już z pomocą przychodzą specjaliści w branży, ponieważ powinna być to z góry zaplanowana strategia wdrożenia danego zagadnienia. Nie jest jednak to koniec, ponieważ zwieńczeniem wszystkiego jest oczywiście sprzęt, czyli wszelkiego rodzaju nośniki danych, na których firma przechowuje informacje. Z racji tego, że obowiązkiem wynikającym bezpośrednio z RODO każdego (oprócz tych, nieobjętych zakresem prawa Unii Europejskiej) przedsiębiorcy w Polsce jest zdolność do szybkiego przywrócenia dostępności danych osobowych (szyfrowanych), czyli wykonywanie kopii zapasowych, wszystkie firmy, niezależnie od wielkości, powinny zastanowić się nad wdrożeniem bezpiecznych rozwiązań.
Bezpieczne rozwiązania sprzętowe dla przedsiębiorców
RODO bezpośrednio mówi również o tym, że każdy administrator danych zobowiązany jest do wprowadzenia zabezpieczeń natury technicznej, a więc wszelkiego rodzaju systemów uwierzytelniania, stosowanie środków ochrony przed złośliwym oprogramowaniem, szyfrowania danych oraz przechowywania ich w niedostępnym dla innych miejscu. Ważne jest tutaj to ostatnie, ponieważ fizyczne nośniki umieszczone w zabezpieczonych pomieszczeniach to jedno. Całkiem odrębnym zagadnieniem jest ich przenoszenie. Tutaj do akcji wkraczają fizyczne, cyfrowe nośniki danych.
W zależności od wielkości przedsiębiorstwa i skali w jakiej operuje, każdy administrator danych w firmie powinien wdrożyć rozwiązanie dotyczące nośników danych. Do takowych należą oczywiście szyfrowana sprzętowo pamięć przenośna, dyski zewnętrzne i wszelkiego rodzaju pamięć USB. Nie wystarczy jednak zaopatrzyć się w najbardziej podstawowy sprzęt klasy konsumenckiej, która nie jest szyfrowana sprzętowo lub co gorsza – w ogóle.
Kingston IronKey, czyli szyfrowane sprzętowo nośniki danych
Szyfrowany sprzętowo nośnik ma ogromną zaletę, jeśli chodzi o bezpieczeństwo – szyfruje dane bez udziału systemu operacyjnego. W razie włamania lub przypadkowego zainstalowania złośliwego oprogramowania na komputerze pracownika, który – chcący bądź nie – wpadł w pułapkę phishingową lub inną sztuczkę stosowaną dziś przez cyberprzestępców, programowo szyfrowane nośniki danych nie zdają egzaminu, ponieważ szyfrowanie odbywa się przy użyciu oprogramowania, a nie samego sprzętu. Sprzętowe szyfrowanie odbywa się bez udziału systemu operacyjnego, który w każdej chwili może stać się potencjalnym celem ataku.
Szyfrowany sprzętowo nośnik danych wyposażony jest w dedykowany procesor szyfrujący, który stoi pomiędzy samym magazynem danych, a komputerem, laptopem i innym systemem zarządzającym. Z tego też powodu – w połączeniu z ochroną przed atakami typu BadUSB i funkcją „tylko do odczytu” – niemożliwym jest, by złośliwe oprogramowania przedostało się na taki nośnik. Jest natomiast możliwe (trudne, ale możliwe) w przypadku nośników, które sprzętowo szyfrowane nie są.
W zależności od wielkości przedsiębiorstwa i dziedziny, którą się zajmuje, możemy polecić kilka ciekawych rozwiązań bazujących właśnie na ścisłej ochronie przenoszonych danych. Możemy pokusić się zatem o typową pamięć USB niewielkich rozmiarów lub rozbudowany system przenośnego dysku SSD o dużej pojemności, który zastąpić może wszelkiego rodzaju fizyczne środki.
IronKey Vault Privacy 80 – przenośny dysk SSD o dużej pojemności
Zacznijmy może od najważniejszego, czyli swoistego magazynu danych, który służyć może jako skarbiec lub narzędzie do bezpiecznego przenoszenia wrażliwych danych w przedsiębiorstwie. Mieliśmy już przyjemność przetestować ten model i na szczególną uwagę zasługuje zintegrowany system bezpieczeństwa zapewniany przez dołączony do sprzętu ekran dotykowy. Funkcji jest całe mnóstwo, ale wszystko tak naprawdę rozbija się o bezpieczny magazyn danych, do którego dostępu bez hasła uzyskać się nie da. Otrzymujemy bowiem sprzętowe szyfrowanie XTS-AES 256-bit, randomizowaną klawiaturę z ochroną przed atakami typu Brute Force i BadUSB z certyfikatem FIPS 197 i ochroną CC EAL5+. Dysk komunikuje się z komputerem przy użyciu interfejsu USB-C (USB 3.2 Gen. 1) i liczyć w tym wypadku możemy na przepustowość maksymalną, wynoszącą 250 MB/s (odczyt i zapis). Dysk dostępny jest w wariantach 480 GB, 960 GB lub 1920 GB.
IronKey Vault Privacy 50, czyli nośnik danych dla pracowników
Jeśli chodzi o codzienne wykonywanie obowiązków przez pracownika, który zajmuje się magazynowaniem i tworzeniem wrażliwych danych w przedsiębiorstwie, świetnie nada się niewielka pamięć USB typu Pendrive. Aktualnie opisywany, czyli IronKey Vault Privacy 50 dostępny jest w wariantach 8/16/32/64/128/256 GB, a zatem mówimy o relatywnie niewielkim urządzeniu, które można z łatwością przenosić między stanowiskami lub biurem i domem. Również tutaj liczyć można na szyfrowanie sprzętowe XTS-AES 256-bit, certyfikat FIPS 197, ochronę przed atakami Brute Force i BadUSB oraz prędkość odczytu i zapisu danych na poziomie odpowiednio 230 MB/s i 150 MB/s (w przypadku wersji 256 GB). Urządzenie posiada również certyfikat IPX8 (zanurzenie do ok. 1 metra), wykorzystuje do komunikacji interfejs USB 3.2 Gen. 1 i producent udziela na nie aż pięcioletniej gwarancji.
IronKey Locker+ 50, czyli wsparcie dla chmury i bezpieczeństwo
Osobom zatrudnionym w przedsiębiorstwie, które często wyjeżdżają na spotkania biznesowe i muszą zarządzać wrażliwymi danymi z różnych miejsc na świecie na pewno przyda się IronKey Locker+ 50. Największą zaletą tego pendrive’a jest wsparcie dla technologii USBtoCloud (stworzone przez ClevX), które ma za zadanie tworzyć kopie zapasowe w chmurze. Do dyspozycji otrzymujemy tutaj kompatybilność z Google Drive, OneDrive, Amazon Cloud Drive, Dropbox czy Box i coś takiego może być wręcz niezbędne w wielu przypadkach. Licencja na wykorzystanie rozwiązania ClevX trwa aż pięć lat. Tyle samo zresztą trwa gwarancja na urządzenie.
Tak czy owak, nawet jeśli odrzucimy z równania największą zaletę, nadal otrzymujemy bezpieczny sprzęt, szyfrowany sprzętowo algorytmem XTS-AES 256-bit. Również i tutaj mamy tryb „tylko do odczytu”, mnóstwo opcji konfiguracji wraz z ochroną przed atakami typu Brute Force i BadUSB oraz prędkość zapisu/odczytu na poziomie 115 MB/s i 145 MB/s (w wersji 16 GB przy wykorzystaniu USB 3.2 Gen. 1).
IronKey Keypad 200 – najwyższa ochrona dla najbardziej narażonych
Sektory, w których ochrona danych jest najwyższym priorytetem, na przykład wszelkiego rodzaju instytucje finansowe, muszą tworzyć odpowiednie strategie działań. W tym niewątpliwe pomoże fizyczny nośnik danych IronKey Keypad 200, który jest zgodny z certyfikatem FIPS 140-3. Certyfikat ten jest bezpośrednim następcą dla FIPS 140-2 i został stworzony w roku 2019. W porównaniu do FIPS 197, urządzenie z FIPS 140-3 musi – oprócz oczywiście spełnienia warunków dotyczących szyfrowania – posiadać fizyczne zabezpieczenie, które uniemożliwi dostanie się do kluczowych komponentów w środku. Kingston użył w tym wypadku żywicy epoksydowej do pokrycia newralgicznych punktów, co zapobiega przed usunięciem elementów z płytki drukowanej (tak zwane rozwiązanie Anti-Tamper).
Oprócz tak wysokiego standardu bezpieczeństwa, na co składa się również szyfrowanie sprzętowe XTS-AES 256, urządzenie chronione jest dodatkowo przed atakami typu Brute Force oraz BadUSB. Pendrivem operujemy przy pomocy dołączonej, fizycznej klawiatury i łączy się on z systemem wykorzystując do tego interfejs USB 3.2 Gen. 1. Dostępny jest w wariantach 8, 16, 32, 64 lub 128 GB, a maksymalna przepustowość dla wersji 8-gigabajtowej wynosi w tym wypadku 145 MB/s przy odczycie oraz 115 MB/s przy zapisie danych (dla USB 3.2 Gen. 1). IronKey Keypad 200 posiada również certyfikat IP57, co oznacza, że jest wodoszczelny (zanurzenie do 1 metra) oraz pyłoodporny. Kingston udziela na sprzęt aż trzyletniej gwarancji.
Bezpieczeństwo danych w przedsiębiorstwie jest bardzo ważne
Jak widać systemy bezpieczeństwa w przedsiębiorstwie nie kończą się jedynie na znanych przez wszystkich zasadach. Oprócz edukacji i oprogramowania, kluczowym elementem może być odpowiednio wyposażony nośnik danych i pamięć masowa. Niezależnie więc od tego, czy spełniamy obowiązki dotyczące ogólnego rozporządzenia o ochronie danych, czy operujemy wewnętrznymi dokumentami firmowymi, patentami, finansami i innymi, chronionymi plikami, odpowiednio wyposażony przenośny dysk lub pamięć typu Pendrive będzie nieodłącznym elementem zarządzania tymi rzeczami. Jeśli nasze przedsiębiorstwo stoi właśnie przed zadaniem stworzenia kompletnego systemu, warto zasięgnąć rady ekspertów z Kingston – usługa w tym wypadku jest zupełnie darmowa.
*Artykuł powstał we współpracy z Kingston - czołowym producentem komponentów i peryferiów komputerowych
Pokaż / Dodaj komentarze do: Bezpieczeństwo danych w firmie to podstawa i nie chodzi tu tylko o RODO