Az informatikai infrastruktúrák egyre komplexebbé válásával, a felhők felé történő terjeszkedéssel és a mobil munkavégzés térhódításával a védelmi feladatok is megszaporodtak, és mind összetettebbé, erőforrás-igényesebbé váltak. A helyzetet nehezíti, hogy a fenyegetettségek egyre szofisztikáltabbak, és számuk folyamatosan nő, ami mind több adatbiztonsági incidenst idéz elő, melyek során pénzügyi, személyes, üzleti és egyéb bizalmas adatok kerülnek tömegesen illetéktelen kezekbe. Ennek ellenére nagyon sok szervezet nem fektet elég nagy hangsúlyt az átfogó, az érzékeny adatok teljes körét lefedő, több szinten jelenlévő titkosítási mechanizmusok bevezetésére.

A nehézségek leküzdhetők

Az, hogy a titkosítást elhanyagolják, több tényezőre vezethető vissza. A vállalatok, intézmények nyűgnek érzik az implementálást és az üzemeltetést, illetve bizonytalanok a rendszerek teljesítményére és a munkavégzés hatékonyságára gyakorolt hatásokat illetően. Gyakorta előfordul az is, hogy nincsenek meg a szükséges anyagi és emberi erőforrásokkal a titkosítási rendszerek felállításához és működtetéséhez.

A biztonsági cégek által kínált korszerű titkosítási technológiák e problémákat a gyökereknél igyekeznek kezelni: egyre inkább a nagyobb fokú integráltságra helyezik a hangsúlyt, és ezáltal az egységes felügyelet megteremtését is igyekeznek biztosítani. Kétségtelen ugyanakkor, hogy a titkosítás egységes biztonságmenedzsmentbe való bevonása legtöbbször akkor valósítható meg igazán hatékonyan, ha homogén, egy gyártótól származó eszközök felügyeletét kell összehangolni.

A kezdő lépések

Amikor a titkosítás megerősítésére kerül a sor, akkor korántsem célszerű szigetrendszerekben, elkülönített, független megoldásokban gondolkodni. Hosszú távon sokkal célravezetőbb lehet az, ha a teljes informatikai infrastruktúra védelmét tartjuk szem előtt. Vagyis ha felmerül az igény, hogy az elektronikus levelezést titkosítani kellene, akkor ne csak arra koncentráljunk, hanem egyúttal vizsgáljuk meg azt is, hogy milyen egyéb területek igénylik a nagyobb fokú adatbiztonságot. Így elejét vehetjük annak, hogy az évek során inhomogén titkosítási rendszer épüljön ki, amelynek a felügyelete, karbantartása és fejlesztése már korántsem egyszerű feladat.

Ha egy szervezet teljesen új alapokra kívánja helyezni az adattitkosítást, akkor célszerű a végpontoktól indulni (például teljes lemeztitkosítással), áttanulmányozni a kiszolgálókra telepíthető titkosítási alkalmazások választékát, majd áttérni a hálózatalapú megoldásokra, amelyek adott esetben a felhőszolgáltatásokkal való kommunikációt, illetve adattárolást is biztonságosabbá tehetik.

Mindezeken túl célszerű felmérni, hogy aktuálisan éppen milyen titkosítást támogató készülékek, rendszerek üzemelnek az adott infrastruktúrában, hiszen számtalanszor előfordul, hogy például egy hálózati adattároló (NAS) integráltan tartalmaz adatbiztonsági lehetőségeket, csak éppen azok konfigurálása elmarad.

Néhány fontos döntési szempont

A titkosítási megoldások kiválasztásánál számos szempontot kell figyelembe venni. A legfontosabb, hogy az adott eszköz vagy alkalmazás milyen titkosítási eljárásokat, algoritmusokat támogat, azaz milyen szintű védelem várható el tőle.

Emellett figyelni kell arra, hogy a felhasználók egyszerűen tudják használni, sőt a titkosítás folyamata lehetőleg transzparensen, pontosan definiálható szabályok (házirendek) szerint működjön. A biztonság és a felügyelet szempontjából is lényeges, hogy minél jobban lehessen integrálni a meglévő rendszerekhez, címtárakhoz, védelmi eszközökhöz. Például komoly előnyt jelenthet, ha a titkosító berendezések együttműködnek az adatszivárgás-megelőző (DLP – Data Loss Prevention) eszközökkel, hiszen ezáltal az adatszivárgások megakadályozásáért felelős technológiák jobban beleláthatnak az adatforgalomba, és szükség esetén akár a titkosítást is kikényszeríthetik, ha érzékeny, de védtelen adatokat ismernek fel.

A titkosítást végző vagy titkosítással ellátott eszközök esetében akkor is érdemes kiválasztási szempontként kezelni a különféle minősítéseket (például FIPS 140-2), ha erre amúgy az adott szervezetet nem kötelezi jogszabályi vagy iparági előírás. A szabványos megoldások ugyanis azért is előnyösek, mert a partnerekkel, ügyfelekkel való kommunikáció során könnyebben foghatók hadra.

Még egy kritikus pont

Végül, de korántsem utolsósorban különös figyelmet kell fordítani a kulcsmenedzsmentre. Ez a terület már régebben is vetett fel nehézségeket, de a felhőalapú szolgáltatások terjedésével még inkább előtérbe került.

A titkosításhoz használt kulcsok jelentik a védelem lelkét, ezért azok tárolása, kezelése, kiosztása odafigyelést igényel. A vállalati titkosítások esetében célszerű helyi (vagy hibrid) kulcsmenedzsmentet választani, amihez pontosan definiált szerepkörök tartoznak. A megvalósításkor pedig szem előtt kell tartani, hogy a kulcsok kiosztása, módosítása – a hozzáférés-kezelési rendszerekkel összhangban – minél automatizáltabb legyen. Célravezető olyan megoldást választani, amely „önkiszolgáló” felületet is biztosít a felhasználók számára, csökkentve ezzel az IT help desk leterheltségét.

Mint látható napjainkban a titkosítás már nem arról szól, hogy telepítünk egy alkalmazást, és aztán annak kezelését a felhasználókra bízzuk. A hatékony védelemhez ez esetben is elengedhetetlen, hogy a biztonsági házirendekbe foglalt szabályok betartatását kellő mértékű technológiai támogatás révén lehessen megvalósítani, lehetőleg egységes felügyeleti kontroll mellett.