Šifrovat firemní komunikaci - ano či ne?

Šifrování dat firemní komunikace patří k jednomu z nejdiskutovanějších bezpečnostních témat současnosti. Odpověď na otázku, zda šifrovat nebo ne není úplně jednoznačná a především malé firmy přistupují k této problematice nedůvěřivě.

Nejčastějším argumentem malých firem je, že chránit data nepotřebují, že nejsou pro kyberzločince zajímaví a že šifrování je příliš složité a časově i finančně náročné. V článku uvádíme pět nejčastějších otázek, se kterými se v souvislosti s šifrováním setkáváme, včetně odpovědí na ně.

Měl bych šifrovat pouze tehdy, když mi to přikazuje zákon?

Bez ohledu na velikost firmy a předmět podnikání obvykle platí, že data patří mezi nejcennější aktiva každé společnosti. Ať již souvisí s informacemi o zákaznících, s interními rozpočty nebo třeba s podklady pro patentovou přihlášku. Naneštěstí jsou ale tato data cenná i pro počítačové zločince a únik dat do nepovolaných rukou může být dílem okamžiku. Šifrovat bychom tedy měli i ta data, u kterých nám to legislativa přímo nenařizuje.

Není šifrování riskantní, co když zapomenu heslo?

Šifrování je jako zamykání dveří - pro přístup musíme mít klíč. Když klíč ztratíme, máme problém. Ale může být i hůř, například když klíč necháváme pod rohožkou a zloděj to ví. A stejně jako se musíme starat o běžné klíče, měli bychom chránit a spravovat i ty šifrovací.

Naštěstí moderní šifrovací nástroje podporují i možnost poslední záchrany, a to v podobě mechanismu pro obnovení klíče. Důležité je, aby přístup k těmto alternativním cestám měly opravdu jen povolané osoby.

Jsou má data pro zloděje zajímavá?

Ano, jsou. Proč by taky neměla být, když je zloděj může získat s úsilím odpovídajícím pár korunám a obratem prodat za tisíce korun? Navíc bychom si měli uvědomit, že většina krádeží probíhá automatizovaně až po nalezení nechráněných zdrojů. Mimochodem, více než 53% krádeží dat připadlo v roce 2014 na organizace s méně než tisícovkou uživatelů.

Vůči počítačovým zločincům není imunní žádná firma. Je tedy velmi pravděpodobné, že se s nějakým bezpečnostním incidentem dříve či později setká každá společnost bez ohledu na její velikost nebo způsoby komunikace.

Šifrování všem firmám zajistí, že v případě úniku dat nebudou mít kyberzločinci v ruce nic jiného, než bezcennou a nicneříkající změť jedniček a nul.

Mám šifrovat, když používám cloud?

Někteří poskytovatelé cloudových služeb data při ukládání šifrují a při přenosu zpět k uživatelům zase dešifrují. Nehrozí tak kompromitace v případě, kdy někdo získá přístup k pevným diskům na straně cloudu. Samotné cloudové šifrování ale nestačí.

Je potřeba si uvědomit, že stejně jako může poskytovatel cloudu data dešifrovat při zasílání ke klientovi, může tak učinit i kdykoli jindy. A nemusí jít pouze o příkaz soudu. Takže ano, měli bychom šifrovat i na naší straně.

Nesníží šifrování výkon počítače?

Před několika lety mohlo být při šifrování celého disku pozorovatelné snížení výkonu. Dnes je ale situace odlišná. Většina moderních zařízení od kancelářských počítačů a notebooků přes telefony a tablety až po servery jen zřídka kdy "běží" na svůj maximální výkon.

Obavy z negativních dopadů šifrování na výkon počítačů jsou tak neopodstatněné.

Další články k tématům - bezpečnost - cloud - kyberzločin - legislativa - šifrování - tablet

Článek Sophos ze dne pondělí 1. února 2016