Nie tylko analitycy zauważają problem utraty ważnych danych w wyniku kradzieży laptopów i urządzeń mobilnych. Także menedżerowie widzą potrzebę wzmocnienia zabezpieczeń przechowywanych informacji i zminimalizowanie w ten sposób strat. Co można w tej sytuacji zrobić? Wydaję się, że są tylko dwa rozwiązania. Pierwsze, to zrezygnowanie z przechowywania poza sejfem jakichkolwiek informacji, co do których istnieje podejrzenie, że ich utrata spowoduje powstanie strat dla firmy. To podejście to oczywista utopia. Na szczęście jest jeszcze drugie rozwiązanie - całkiem realne - szyfrowanie danych. W naszym teście sprawdzimy możliwości rozwiązań FDE (Full Disk Encryption).

W ostatnich latach olbrzymia ilość danych spoczywających dotychczas gdzieś na macierzach dyskowych zaczęła zapełniać także dyski stacji roboczych i laptopów. Dzieje się tak w głównej mierze za sprawą dramatycznego zwiększenia pojemności dysków oraz jednoczesnego spadku ich cen. Co więcej, znajdujące się na nich informacje mają niejednokrotnie charakter poufny, z czego spora grupa użytkowników nie zdaje sobie sprawy.

Utrata nośnika takich informacji może pociągnąć za sobą wymierne straty dla ich właścicieli. Szczególnie często zdarza się to w przypadku komputerów przenośnych. W opublikowanym ostatnio w USA raporcie CSI/FBI 2007 wskazuje się, że w 50% badanych firm i organizacji w przeciągu ostatnich dwunastu miesięcy miała miejsce kradzież laptopa. 194 respondentów ankiety oszacowało swoje straty wynikające z tego typu zdarzeń na blisko 4 mln USD. To plasuje kradzież laptopów i związaną z nią utratę cennych danych na 5. miejscu wśród wszystkich notowanych zagrożeń.

Nie trzeba jednak czytać raportów. Wystarczy przejrzeć nagłówki newsów z ostatnich kilkunastu miesięcy - "… laptop należący do Boeinga z danymi 382 tys. jego pracowników...", "... laptop należący do Nottingham Primary Care Trust z informacjami o 11 tys. chorych dzieci…" itd. Przykładów nie brakuje także w Polsce: zupełnie niedawno jeden z lekarzy apelował na łamach gazet o zwrot skradzionego komputera z danymi medycznymi ciężko chorych dzieci, a swojego laptopa zagubił szef wywiadu wojskowego gen. Marczuk.

Receptą na poważne problemy związane z utratą danych przechowywanych na przenośnych komputerach jest szyfrowanie tych danych. Szyfrować można bądź poszczególne pliki lub katalogi, bądź też całe dyski. W przypadku komputerów PC, bo na nich się skupimy, interesujące jest to drugie rozwiązanie, czyli tzw. FDE (Full Disk Encryption). Dzięki tej metodzie "w locie" zaszyfrowany zostaje cały dysk twardy. Jakie to daje korzyści? Po pierwsze, użytkownik nie musi wiedzieć, gdzie dokładnie znajdują się informacje, które powinny zostać zabezpieczone. Także decyzja o tym ,co szyfrować, a co nie, nie leży w jego gestii. Po drugie, szyfrowane jest każdy miejsce, które może potencjalnie zawierać wrażliwe informacje, jak plik wymiany, pliki tymczasowe itp.

Trzech zawodników do testu

Postanowiliśmy przyjrzeć się bliżej temu, co oferuje rynek i jakiego rodzaju funkcjonalności możemy spodziewać się po dystrybuowanych rozwiązaniach. "Na warsztat" wzięliśmy trzy produkty, które plasują się w segmencie wiodących w Polsce rozwiązań typu enterprise - Check Point Pointsec PC 6.2 (PPC), SafeBoot Device Encryption 5.1(SB) oraz Utimaco SafeGuard Enterprise 5.10 - moduł Central Management oraz Device Encryption (SGN). Przed dokonaniem wyboru produktów założyliśmy, że:

• w podstawowej konfiguracji muszą one pozwalać na szyfrowanie całego twardego dysku w locie;
• muszą wspierać ochronę w trybie pre-boot (o czym za chwilę);
• muszą być centralnie zarządzane.

Przy wyborze rozwiązań wzięliśmy także pod uwagę pozycję na rynku (m.in. na podstawie raportów analityków).

Tak się złożyło, że każdy z producentów w przeciągu ostatnich kilku miesięcy wypuścił na rynek nową wersję oprogramowania, które wprowadza istotne zmiany poprawiające jego jakość oraz funkcjonalność. Podczas testów poszczególnych produktów braliśmy pod uwagę szereg kryteriów, m.in.:

• Rodzaj wykorzystywanych algorytmów szyfrowania;
• Certyfikaty bezpieczeństwa, którymi legitymują się produkty;
• Wpływ uruchomienia procesu szyfrowania na wykonywanie przez użytkownika poszczególnych czynności;
• Spadek wydajności systemu po zaszyfrowaniu dysku;
• Odporność rozwiązania na przerwy w zasilaniu podczas procesu szyfrowania;
• Możliwość wprowadzania stacji w tryb hibernacji i uśpienia podczas szyfrowania;
• Metody odzyskiwania hasła/awaryjnej deszyfracji dysku, w tym ich przyjazność dla użytkownika i administratora;
• Mechanizmy zarządzania systemem oraz stacjami z zainstalowanym oprogramowaniem szyfrującym w tym: przejrzystość, możliwości, poziom logowania, narzędzia raportujące;
• Cena rozwiązania w przeliczeniu na 1 użytkownika oraz jej stosunek do otrzymywanych możliwości.

Pierwszy rzut oka

Architektura w większości obecnych na rynku systemów FDE oparta jest na koncepcji trójwarstwowej klient-serwer-stacja zarządzająca, gdzie klientem jest zaszyfrowana stacja, a serwerem platforma zarządzania. Nie inaczej jest w przypadku zarówno SB i SGN. Interesujące podejście prezentuje PPC, gdzie nie ma mowy o takiej architekturze w jej tradycyjnym rozumieniu. Centralnym punktem "zbornym" jest udział sieciowy, który przeszukiwany jest przez systemy klienckie w poszukiwaniu konfiguracji oraz wprowadzonych do niej zmian. Także każdy komputer z zainstalowanym oprogramowaniem PPC może stać się stacją zarządzającą - jest to kwestia posiadanych uprawnień i importu tzw. setów z udziału sieciowego.

Pierwsze zetknięcie administratora z produktem ma miejsce z reguły podczas jego instalacji. Ważne jest przy tym spełnienie wymagań, z którymi związana jest późniejsza eksploatacja systemu. Z tego punktu widzenia najbardziej czasochłonna jest instalacja komponentów serwera oraz konsoli zarządzania SGN. Wymaga przygotowania i dostrojenia serwera IIS oraz bazy danych Microsoft SQL (także MSDE). Ponadto, aby możliwe było skorzystanie z SGN, konieczne jest funkcjonowanie środowiska domenowego opartego na Microsoft Active Directory. Jest to z jednej strony duży plus, zwłaszcza w przypadku środowisk homogenicznych, w 100% "udomenowionych", gdyż dzięki takiemu podejściu uzyskujemy później czytelny i spójny mechanizm zarządzania. Jednocześnie jest to ograniczenie, które nie pozwala na wykorzystanie produktu w środowiskach bez AD.