Cyfrowy sejf

Jedyną ochroną danych przed kradzieżą jest ich skuteczne szyfrowanie. Dotyczy to wszystkich urządzeń przenośnych, nie tylko laptopów. Obecnie dostępna jest cała gama narzędzi, które zapewniają dostateczny poziom bezpieczeństwa. Jeśli firma wykorzystuje systemy z serii Windows, może skorzystać z szyfrowania katalogów zawierających dokumenty. Funkcjonalność szyfrowanego katalogu (EFS), wbudowana w biznesowe wersje Windows, utrudnia odczytanie danych intruzom, którzy nie posiadają hasła dostępu do konta. Niestety nie jest to rozwiązanie idealne, są już narzędzia umożliwiające skuteczne łamanie haseł offline. Gdy intruz pozyska zawartość dysku danego komputera - np. skopiuje lub ukradnie dysk razem z laptopem - ma dużo czasu na skuteczne włamanie.

Ponadto należy pamiętać, że aplikacje biurowe w środowisku systemów Windows przechowują wiele informacji poza katalogami z dokumentami, ponadto zawsze zostaje sporo śladów w systemie. Problem można rozwiązać przez szyfrowanie całej zawartości komputera, włącznie z systemem operacyjnym. W ofercie wielu firm jest dostępne oprogramowanie, które realizuje takie zabezpieczenie - koszt takich pakietów nie jest duży. Liderami w korporacji są firmy Check Point oraz McAfee, podobne oferty mają firmy Compusec, SecurStar, Ultimaco i SafeNet. Oprócz rozwiązań komercyjnych dostępny jest bardzo dobry pakiet TrueCrypt, który jest rozwijany w modelu open source. Nowością TrueCrypta jest opcja szyfrowania całej zawartości dysku, włącznie z systemem Windows, a także możliwość utworzenia drugiej, ukrytej instalacji systemu, chronionej osobnym hasłem. Wdrożenie pakietów szyfrujących całą zawartość dysku laptopa jest najmocniejszym z programowych zabezpieczeń przed kradzieżą danych w stanie spoczynku.

Mocniejszy jest tylko sprzęt

W zastosowaniach wymagających szczególnie mocnych zabezpieczeń - np. przy przechowywaniu i przetwarzaniu informacji niejawnej w myśl ustawy z dnia 22 stycznia 1999 r. o ochronie informacji niejawnych - oprogramowanie szyfrujące dyski może być zbyt słabym zabezpieczeniem. Dla użytkowników, którzy muszą mieć tak niezawodne zabezpieczenia, producenci przygotowali zestaw urządzeń, które szyfrują w locie wszystkie dane przesyłane do zasobów dyskowych. Urządzenia te mają postać wtyczki łączącej magistralę PATA/SATA z dyskiem albo gotowego urządzenia, fabrycznie wyposażonego w dysk o nieco mniejszych rozmiarach. Klucz szyfrujący nie jest przechowywany w danym urządzeniu, ale w osobnym kluczu lub karcie inteligentnej.

Oferta takich urządzeń jest dość szeroka, ale należy zwrócić uwagę na to, aby rozwiązanie to pracowało przy użyciu uznanych algorytmów w ich dobrej implementacji. Popularne i tanie moduły szyfrujące HDDKey firmy Elkom tego wymagania nie spełniają, gdyż 3DES jest tam zaimplementowany w trybie ECB. Minimum to AES-256, używanie trybu ECB nie zapewnia dostatecznego bezpieczeństwa. Produkty uznanych firm (np. High Density Devices AS, Techlab 2000 czy Enova Technology) są pewniejsze od tych mniej znanych, ponadto ich producent zazwyczaj podaje specyfikację użytych zabezpieczeń kryptograficznych.

Mała wtyczka, duży kłopot

Kradzież danych wcale nie musi wiązać się z kradzieżą samego urządzenia. W wielu firmach z powodzeniem udaje się atak, polegający na skopiowaniu danych na urządzenie przenośne. Nośnik klasy pendrive w nowoczesnych systemach operacyjnych nie wymaga w ogóle sterowników, zatem wystarczy go włączyć, by był widoczny jako dysk wymienny. Pojemność takich nośników z reguły przekracza 1 GB (bardzo popularną pojemnością jest 4 GB), nawet niewielka kieszeń zawierająca mały dysk twardy może pomieścić ponad 250 GB. Urządzenie takie jest tak małe, że nie zwraca na siebie uwagi, prędkość transmisji danych jest na tyle szybka, że umożliwia skopiowanie bardzo dużej ilości danych w ciągu kilku minut.

Argument, polegający na tym, że na teren firmy nie można wnieść takiego nośnika, gdyż wszyscy goście i pracownicy przechodzą kontrolę bezpieczeństwa, jest nietrafiony. Nośnik o pojemności rzędu 2 GB może być umieszczony w zegarku, długopisie lub małym breloczku, ponadto wiele gadżetów zawierających pamięć Flash wcale nie przypomina typowego nośnika pendrive. To samo dotyczy odtwarzaczy MP3, które mogą mieć pojemność rzędu kilkudziesięciu gigabajtów. Wyłączanie obsługi USB w dzisiejszych komputerach jest utrudnione, gdyż wiele sprzętu (drukarki, skanery, a także myszy, klawiatury, czytniki kart inteligentnych) jest podłączane za pomocą tej magistrali, zatem należy zablokować używanie zewnętrznych nośników klasy usb-storage bez wyłączania magistrali USB.