Článek
V květnu 2018 vejde v platnost nové evropské nařízení o ochraně a regulaci dat neboli General Data Protection Regulation (GDPR). Pokud zpracováváte osobní data (např. zákazníků), je velmi pravděpodobné, že se vás nové nařízení bude týkat. Jde o poměrně přísnou podmínku, která má zajistit, aby osobní data shromažďovaná firmami a různými organizacemi nemohla uniknout ke třetím stranám a nebylo možné je zneužít. Porušení nařízení GDPR bude přísně postihováno, nadnárodní společnosti musí počítat s pokutami vypočítanými z podílu obratu jejich mateřské společnosti.
Předejděte problémům
Pokud by nová pravidla platila již přede dvěma lety, způsobila by v Česku vážné problémy mobilnímu operátorovi T-Mobile. Společnost tehdy řešila případ bývalého zaměstnance, který ukradl a poté prodal osobní data 1,5 miliónu zákazníků. Český telekomunikační úřad tehdy T-Mobilu za tento obří únik dat uložil mimořádnou pokutu 3,6 miliónu korun. Po letošním květnu by se ale sankce za stejný prohřešek počítala v miliardách korun. Příslušný úřad by ji totiž odvodil z obratu mateřského německého koncernu Deutsche Telekom. Na prohřešek české pobočky by tedy doplatila celá firma.
Nařízení GDPR počítá s tím, že subjekty, kterých se nová pravidla týkají, detailně zmapují cestu osobních dat uvnitř organizace, zanalyzují firemní procesy a zajistí si právní pomoc pro případ potíží. To jsou záležitosti, které nelze zajistit nějakým jednoduchým technickým řešením. Co naopak technicky řešit lze, je zabezpečení citlivých dat šifrováním. „Nové nařízení GDPR doporučuje šifrování jako jednu z vhodných metod pro ochranu osobních dat,“ konstatuje Václav Zubr, bezpečnostní expert společnosti ESET. Šifrování v podstatě kóduje informace a brání tak neautorizovaným stranám si je přečíst.
Není šifrování jako šifrování
Ne každý způsob šifrování je ale tak kvalitní, aby zabránil průniku nežádoucích osob. Síla šifrování je zpravidla dána délkou šifrovacího klíče a použitým šifrovacím algoritmem. Pokud je klíč kratší, může jej hacker odhalit. Nejjednodušším způsobem, jak prolomit šifrování, je vyzkoušení všech možných klíčů. „Toto jednání označujeme jako ,brute force‘ útok, nicméně delší šifrovací klíče dělají z takového útoku velmi neefektivní způsob,“ vysvětluje Zubr. Útočníci většinou hledají zranitelnosti v použitém šifrovacím softwaru nebo se pokusí infikovat přímo cílový počítač škodlivým kódem, který může klíč nebo heslo zachytit a odeslat útočníkovi.
„Minimalizovat rizika můžete použitím ověřeného šifrovacího produktu a instalací vždy aktualizovaného antivirového řešení na koncových stanicích,“ radí Václav Zubr. Šifrování se obvykle aplikuje dvěma způsoby. Nejčastější je šifrování úložiště dat, kdy dojde k zašifrování celého disku nebo zařízení. Pokud je k dispozici klíč, pak je šifrované úložiště čitelné pro všechny uživatele a aplikace. Šifrování dat probíhá automaticky při přesunutí souborů do složky. Druhým způsobem je šifrování konkrétního obsahu, které probíhá zpravidla na úrovni aplikací.
Kvalitní klíč útočník neprolomí
„Nejčastěji je šifrování obsahu používáno pro šifrování e-mailů, kde formát zprávy zůstává neporušen, ale obsah i s přílohami je zašifrován,“ popisuje Václav Zubr. „Stejným způsobem mohou být šifrovány i individuální soubory a přenášeny bezpečně jak elektronickou poštou, tak například na externích datových zařízeních, jako jsou USB flash disky a podobně,“ dodává. Kvalitní šifrování, jakým je například ESET Endpoint Encryption, je prakticky neprolomitelné. Například odhalit 128bitový AES klíč by zabralo zhruba sedmi miliardám lidí, kteří žijí na Zemi, při zkontrolování jedné miliardy klíčů za sekundu dohromady 1,5 triliónu let.
ESET Endpoint Encryption nabízí transparentní zabezpečení s použitím 256-bitového AES klíče a certifikací dle FIPS 140-2. Správcům firemních sítí umožňuje jednoduchou správu koncových zařízení na dálku včetně sdílení klíčů mezi klienty v reálném čase. Šifruje pevné disky, výměnná média, soubory a e-maily. Nastavení probíhá snadno a rychle, jde o uživatelsky nejjednodušší a nejpříznivější řešení na trhu. Vzdálená správa šifrovacích klíčů, funkcí a bezpečnostních politik minimalizuje interakci běžného uživatele, který je většinou největším bezpečnostním rizikem, na minimum.