A cloud szolgáltatások, a mobilizáció és az egyéb gyakran emlegetett IT-trendek alapvetően befolyásolják a titkosítással összefüggő feladatokat. A vállalati adattitkosítás támakörét áttekintő összeállításunk lezárásaként Pistár Máriával, a PiK-SYS Kft. ügyvezetőjével arról beszélgettünk, hogy mire érdemes figyelni a titkosítási megoldások kiválasztásánál és használatánál. (Az összeállítás korábbi cikkeit egy kattintásnyira találja.)
Bitport: Melyek azok a titkosítási területek, amelyeknek vállalati környezetekben a legnagyobb szerepet kell vagy kellene kapniuk az adatok védelme során?
Pistár Mária: Minden terület egyaránt fontos. Külső munkavégzés során például lényeges szerepe lehet a merevlemez-titkosításnak: ha ellopnak egy laptopot, akkor megfelelő jelszó nélkül nem férhetnek hozzá az adatokhoz. Egy bizalmas projektmunka elképzelhetetlen a megosztott állományok titkosítása nélkül.
Ameddig azonban a vállalaton belül használt fájlok, mappák – az ún. "nyugvó adatok" – tárolása egy remélhetőleg védett infrastruktúrában történik, addig az infrastruktúrán kívül mozgásban levő adatok védelméről is gondoskodni kell. Mind a belső, mind a külső vállalati levelezés és kommunikáció titkosítására kiemelt figyelmet kell fordítani, így a bizalmas információk a csatornától függetlenül védve maradnak.
Bitport: A titkosítási technológiák önmagukban nem mindig képesek hatékonyan működni, különösen nem a felügyelet szempontjából. Amikor sor kerül egy titkosítási rendszer alkalmazására, akkor milyen egyéb informatikai és biztonsági rendszerekkel történő összehangolásról, integrálásról érdemes gondoskodni?
P. M.: A hatékony működtetéshez központi menedzsmentre van szükség. A központi menedzsmentbe a felhasználókat címtár alapján érdemes bevonni, mivel ez a megoldás biztosítja a gördülékeny üzemeltetést. Mindig az adott vállalati biztonsági rendszer, a vállalati élet működése szempontjából érdemes megvizsgálni az integrációval kapcsolatos kérdéseket. A "mit lehet?" kérdés helyett azt kell feltenni magunknak, hogy mit célszerű. Ez a hatékonyság záloga.
Például az adatszivárgás-megelőző, azaz DLP (Data Loss Prevention) rendszerek bevezetését követően hamar felmerül az igény az adattitkosítás mint eszköz használatára is. Ha a két megoldást integráljuk, a DLP házirend megalkotható úgy, hogy bizonyos fájlokat, mappákat ki lehessen másolni egy hordozható eszközre, ha az állomány előbb titkosításra kerül. Ezáltal nem sérül sem az adatok bizalmassága, sem a munkavégzés hatékonysága.
Bitport: Mik azok a leggyakoribb hibák, amiket a vállalatok elkövetnek a titkosítási megoldások bevezetésekor, illetve használatakor?
P. M.: Ezen a listán az első helyen a tervezés hiánya áll. Ha kevésbé akarok szigorú lenni, azt mondanám, hogy a tervezés elégtelensége. Gondos előkészítést igényel mind az infrastruktúra felállítása, mind pedig a kapcsolódó biztonsági szabályok megalkotása.
A tervezéshez kapcsolódik az a probléma is, hogy az ügyfél sokszor nem hosszú távon gondolkodik, hanem csak jelen időben. A titkosítási rendszer akkor működik megfelelően, ha a titkosítás folyamata zökkenőmentesen zajlik, valamint ha a visszafejtés sem ütközik problémákba, még akkor sem, ha az adatot eredetileg titkosító személy már nincs a cégnél. Ennek feltételeit – többek között a titkosító kulcsok megfelelő módon történő kezelését – azonban biztosítani kell ma, holnap és tíz év múlva is. Ha nem így teszünk, akkor a nem felügyelt titkosított adatok könnyen káoszt idézhetnek elő.
Gyakori jelenség az is, hogy a helyi infrastruktúra és annak üzemeltetésének fragmentáltsága miatt a rendszer "beépítése" és üzembeállítása komoly akadályokba ütközik.
Bitport: A mobilizáció és a cloud computing térhódítása miként formálja át a titkosítással összefüggő szemléletmódokat?
P. M.: A modern munkakultúra két fontos pillére a rugalmasság és a megbízhatóság. A vállalati vagy a BYOD mobileszközök térhódításával az okoseszközökön történő üzleti levelezés és adattárolás lehetősége a felhasználók részéről immár nem igényként jelentkezik, hanem elvárásként. Nem elég, ha a vállalati infrastruktúrán belül biztonságban vannak az érzékeny adatok, a falakon kívül, a mobileszközökön és a felhőben is védve kell lenniük.
Ezt a változást pedig nemcsak az IT-biztonsági szakértők, hanem a szoftverfejlesztők és a mobileszközökhöz operációs rendszert fejlesztő cégek is felismerték. Például a legújabb Android 5.0 operációs rendszernél már alapértelmezés szerint titkosítva kerülnek tárolásra az adataink. Ez egy fontos szemléletváltás, melynek üzenete egyértelmű: óvjuk adatainkat titkosítással is.
Egy másik irány a mobil eszközmenedzsment, mely a titkosítás mellett további védelmi vonalakat húz a mobileszközök köré, törekedve a vállalati IT biztonsági előírások maradéktalan betartására.
A felhős megoldások terjedése is elkerülhetetlen. Költségek, hatékonyság, hozzáférhetőség kérdésében a válaszok mind a felhő felé mutatnak. Azonban a felhő biztonsági szempontból egy rémálommá válhat, ha nincs megfelelően szabályozva a használata: ezt az utóbbi hetek eseményei is bizonyították (The Fappening). Számos szolgáltató maga is titkosítja a felhasználók felhőbe feltöltött adatait. Mivel azonban a titkosított adat és a titkosító kulcs is egy kézben van, ezért egy visszaélés során az adatok visszafejthetők.
Bitport: A titkosítás és a kulcsmenedzsment szempontjából mit tanácsol azon cégek számára, amelyek felhőalapú szolgáltatásokat is igénybe vesznek?
P. M.: Amennyiben felhőalapú szolgáltatásokat is használunk, mindenképp ajánlott a szolgáltatótól független, vállalati infrastuktúrában központilag menedzselt eszközzel titkosítani a feltölteni kívánt állományokat. Egy felhasználó által titkosított adatot hiába szereznek meg illetéktelenek a felhőből, az adattartalomhoz – a titkosító kulcs hiányában – nem tudnak hozzáférni. Ezek a megoldások jól működnek akkor, ha a felhőben csak fájlokat, mappákat tárolunk. Ha azonban valamilyen portálszolgáltatást kívánunk igénybe venni, akkor körültekintően kell megválasztani a szolgáltatót is.
Bitport: Tapasztalata szerint a magyar vállalatok mekkora figyelmet szentelnek a titkosításnak? Milyen problémákat lát Magyarországon e biztonsági terület kapcsán?
P. M.: Korábban alig találkoztunk olyan céggel, ahol saját elhatározásból vezettek be titkosító rendszert. Ügyfeleink zöme az előírásoknak, például a PCI DSS-nek való megfelelés céljából vagy üzleti partner kérésére kezdett titkosítani. Gyakran a vállalatok anyagi helyzete sem engedte meg az ilyen rendszerek alkalmazását. Szerencsére ez a trend az utóbbi időben változóban van, egyre többen ismerik fel a titkosítás szükségességét és jelentőségét.
A NIS2-megfelelőség néhány technológiai aspektusa
A legtöbb vállalatnál a megfeleléshez fejleszteni kell a védelmi rendszerek kulcselemeit is.
CIO KUTATÁS
TECHNOLÓGIÁK ÉS/VAGY KOMPETENCIÁK?
Az Ön véleményére is számítunk a Corvinus Egyetem Adatelemzés és Informatika Intézetével közös kutatásunkban »
Kérjük, segítse munkánkat egy 10-15 perces kérdőív megválaszolásával!
Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak