GDPR: Šifrování vás před únikem citlivých informací a pokutou neochrání
Také vám váš DPO doporučuje šifrovat citlivé informace při přenosu přes internet a v úložišti?
Tak doporučení je to jistě chvályhodné, jenže problém je, že šifrování dat v úložišti vás v zásadě ochrání jen v jednom jediném případě, a to když vám někdo ukradne celý počítač anebo se ho zbavíte a nesmažete bezpečně data na něm uložená.
Krádež dat zaměstnancem
Problém je, že k únikům informací zpravidla dochází pod účtem uživatele, který má k oněm datům naprosto legitimní přístup, a pak je obvykle jedno, zda jsou data šifrovaná anebo ne.
Určitým řešením, jak úniku informací zabránit, by mohlo být DLP. Ovšem příliš bych na něj nespoléhal, protože mnohá tato řešení lze poměrně snadno obejít. Pokud se však pro nějaké DLP řešení přesto rozhodnete, doporučuji vám jej nejprve otestovat. A je jedno, zda si onen test provedete sami anebo si ho necháte otestovat někým jiným.
Napadení malwarem
V okamžiku, kdy dojde k napadení koncové stanice uživatele malwarem, a máme zde hned několik vektorů útoku, tak útočník získává stejná práva, jako má daný uživatel. Jestliže tedy uživatel může přistupovat k datům v čitelné podobě, může k nim stejně tak přistupovat i malware.
Určitým řešením, jak malwaru zabránit v průniku do vašeho počítače a zajištění persistence, by mohlo být nasazení nějakého kvalitního antimalware a dále pak NBA řešení, které by vás mělo ochránit v případě, kdy vaše antimalware ochrana selže. Mimochodem, kdy jste naposledy své antimalware řešení testovali anebo si ho nechali otestovat? Abyste pak nezjistili, že provozujete jen nějaké placebo.
Útok na web
V neposlední řadě na vás může být útok veden přes internet, a útočník může zneužít zranitelnosti např. ve vašem e-shopu a přes aplikační účet pak přistoupit k datům zákazníků uloženým v DB a všechny je stáhnout k sobě.
Obrana před těmito útoky není snadná, obzvlášť když k chybám mohlo dojít již při vývoji dané aplikace, kdy nebylo postupováno v souladu s SSDLC. V takovém případě je nutné chyby co nejrychleji identifikovat a odstranit. Za tímto účelem je vhodné provést penetrační test.
Kdy má šifrování dat smysl?
Když se zamyslíte nad výše uvedenými způsoby, jak může k úniku informací dojít, tak zjistíte, že je celkem jedno, jaký algoritmus použijete, a jak dlouhý bude použitý šifrovací klíč. Tím nechci říci, že šifrování nemá smysl. Má, jen je třeba si uvědomit, kdy ho použít, a před čím vás může skutečně ochránit.
Mobilní zařízení
Šifrovat byste rozhodně měli svá mobilní zařízení, jako jsou notebooky, tablety a telefony, protože ty se ztrácí a kradou. Většina zařízení, která jsou na trhu, už funkci šifrování mají v základu, takže ji stačí jen aktivovat. Ve Windows se pak můžete rozhodnout, zda použijete BitLocker nebo VeraCrypt, který musíte nainstalovat, ale není to nic složitého.
Posílání dat přes internet
Pak byste si měli dát pozor na posílání citlivých dat přes internet. Zde doporučuji použít šifrované spojení anebo daný soubor zašifrovat a heslo k němu sdělit příjemci jiným kanálem, např. telefonicky nebo přes SMS. Pokud se jedná soubor MS Office anebo PDF dokument, můžete soubor chránit heslem, případně můžete použít volně šiřitelný 7zip, který rovněž umožňuje ochranu pomocí AES 256 bitového šifrování.
Data na serveru
Šifrování dat na serveru zpravidla jen zvyšuje náklady. Spíš byste se měli zaměřit na a otestování vašich systémů dostupných z internetu. Tyto systémy dost často obsahují zranitelnosti, kterých bývá zneužíváno. Za tímto účelem je vhodné provést penetrační test.
Závěr: Nejslabším článkem jsou zpravidla vaši zaměstnanci, a proto je třeba věnovat odpovídající úsilí zvyšování jejich bezpečnostního povědomí, aby pochopili, jaké útoky na ně mohou být vedeny a jak se mohou bránit.
ČERMÁK, Miroslav, 2018. GDPR: Šifrování vás před únikem citlivých informací a pokutou neochrání. Online. Clever and Smart. ISSN 2694-9830. Dostupné z: https://www.cleverandsmart.cz/gdpr-sifrovani-vas-pred-unikem-citlivych-informaci-a-pokutou-neochrani/. [citováno 07.12.2024].
Štítky: GDPR
K článku “GDPR: Šifrování vás před únikem citlivých informací a pokutou neochrání” se zde nenachází žádný komentář - buďte první.
Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.