Szyfrowanie danych nie ma sensu?

Niebawem minie rok od wprowadzenia w Polsce nowych przepisów wynikających z unijnego Rozporządzenia o Ochronie Danych Osobowych. RODO realnie zaczęło obowiązywać 25 maja 2018. Co prawda regulacje w tym zakresie istniały już wcześniej, ale to właśnie RODO sprawiło, że firmy, obawiając się wielomilionowych kar, zaczęły uważniej niż dotąd traktować dane, które przetwarzają. Co ma z tym wszystkim wspólnego szyfrowanie? Bardzo wiele – bo pomaga organizacjom spełniać wymogi skutecznej ochrony informacji. Z kolei w wymiarze bardziej indywidualnym kryptografia strzeże naszych prywatnych danych, chroniąc choćby przed szantażem. Prosty przykład…
Walec mechanicznej maszyny szyfrującej zamieniający otwarty tekst na wzory.
Walec mechanicznej maszyny szyfrującej zamieniający otwarty tekst na wzory.

Kradzież laptopa to nie tylko utrata sprzętu

Teoretycznie Windows 10 ma wbudowaną ochronę. Dostęp do systemu może wymagać podania nazwy konta użytkownika i powiązanego z nim hasła dostępowego. Tyle że taki poziom ochrony oparty wyłącznie na standardowych ustawieniach domowej wersji systemu nie jest żadną ochroną. Szczególnie dla odpowiednio zdeterminowanego złodzieja dysponującego umiejętnościami technicznymi. Prawdą jest, że w przypadku fizycznej kradzieży sprzętu złodziei interesuje przede wszystkim wartość samego urządzenia. Osoby zainteresowane pozyskaniem danych konkretnej firmy czy osoby nie muszą uciekać się do zdobycia komputera, wystarczy przeprowadzenie zdalnego ataku ze skutkiem w postaci przejęcia danych. Niemniej zakładanie, że dane nie zaciekawią złodzieja jest przesadnym optymizmem. Przestępcy, nie tylko ci działający w cyberprzestrzeni, coraz częściej zdają sobie sprawę, że dane w urządzeniach cyfrowych mogą mieć czasem większą wartość niż sprzęt.

szyfrowanie danych
Szyfrowanie nie uchroni nas przed fizyczną utratą sprzętu, ale pozwoli skutecznie chronić nasze dane (graf. Pixabay)

Komputery i smartfony powierzane pracownikom firm zawierają ważne pliki niezbędne do zawodowego działania. Utrata danych razem ze służbowym urządzeniem może być nie tylko ciosem wizerunkowym, ale też spowodować wyciek istotnych informacji. Wraz z laptopem mogą przepaść dokumenty księgowe, zamówienia, korespondencja z klientami lub – co szczególnie ważne w kontekście wspomnianego RODO – dane klientów. Utrata tych ostatnich informacji wiąże się z poważnymi konsekwencjami dla organizacji, które nie zadbały we właściwy sposób o ich zabezpieczenie. Oczywiście nie sposób dzisiaj zrezygnować z wyposażania pracowników w elektroniczny sprzęt.  Nie da się też zlikwidować ryzyka utraty sprzętu, czy to w wyniku kradzieży, czy innych sytuacji. Można jednak znacząco podnieść bezpieczeństwo przez odpowiednią ochronę cyfrowych danych zapisywanych w firmowych laptopach i telefonach. Ale wcześniej…

Szyfrowanie w domu

Również zwykli użytkownicy powinni zadbać o tę sferę. Co prawda tutaj oczywiście nie ma groźby unijnego Rozporządzenia, ale warto zagwarantować sobie minimum bezpieczeństwa w imię ochrony prywatności i komfortu. Z pewnością nikt by nie chciał ryzykować, że jego prywatne informacje, listy, zdjęcia itp. staną się łupem złodzieja. Ochrona prywatnych danych poprzez szyfrowanie jest o tyle prosta, że możemy skorzystać z bezpłatnych narzędzi, takich jak np. program VeraCrypt, następca słynnego niegdyś, a obecnie już nierozwijanego (i tym samym potencjalnie niebezpiecznego) TrueCrypta.

VeraCrypt to oprogramowanie przeznaczone do szyfrowania całych zbiorów danych, a nie tylko pojedynczych plików. Zatem domowi użytkownicy mogą zaszyfrować cały dysk, całe partycje, w tym również partycję systemową, na której rezyduje OS. Niektórzy producenci laptopów oferują własne rozwiązania pozwalające zabezpieczyć dysk/partycję systemową lub całą przestrzeń dyskową komputera. Ponadto większość laptopów biznesowych wyposażana jest w sprzętowy układ szyfrujący – TPM (od ang. Trusted Platform Module) – który w połączeniu z Windows 10 Pro oraz wbudowaną w tę wersję systemu Microsoftu funkcją Bitlocker również pozwala zaszyfrować wszystkie dane przechowywane w komputerze.

Bitlocker
Bitlocker umożliwia szyfrowanie całego dysku, ale trzeba mieć Windows 10 Pro i moduł TPM (graf. CHIP)

Niestety w przypadku domowych wersji Windows 10 Home funkcja Bitlocker nie jest dostępna. A nawet zakładając, że dysponujemy Windows 10 Pro, trzeba pamiętać, że nie wszystkie komputery są wyposażane w TPM – system poinformuje wtedy o jego braku przy próbie uruchomienia Bitlockera. W podobnej sytuacji mamy do dyspozycji wspomniany VeraCrypt. W jaki sposób użyć tego narzędzia do zaszyfrowania całego dysku/partycji z systemem Windows 10? Krótki instruktaż…

Szyfrowanie za pomocą VeraCrypt

  • Zacznij od pobrania najnowszej wersji programu (aktualna wersja to 1.23, tutaj zakładam, że korzystasz z wariantu dla Windowsa). Uwaga, choć VeraCrypt jest dostępny również w niewymagającej instalacji wersji portable, to dla potrzeb opisywanych tu działań należy pobrać wersję installer. Pamiętajmy też, by po uruchomieniu instalatora wybrać w nim opcję Zainstaluj, a nie Wyodrębnij.
  • Bezpośrednio po zakończeniu instalacji użytkownik otrzymuje propozycję zapoznania się z przewodnikiem po programie VeraCrypt dla początkujących (wbudowanym w program, w języku angielskim). Osobom znającym angielski i nigdy wcześniej nie używającym VeraCrypta zalecam zapoznanie się z tym dokumentem. Sam program ma polskojęzyczny interfejs.
  • Po uruchomieniu VeraCrypta w oknie głównym wybieramy z menu System pozycję Szyfruj partycję lub dysk systemowy.
  • Uruchomiony zostanie Kreator tworzenia wolumenów VeraCrypt, w oknie którego pozostawiamy domyślnie zaznaczoną opcję Normalny i klikamy Dalej.
  • Kolejny etap to wybór obszaru do zaszyfrowania. Jeżeli na dysku systemowym jest tylko jedna partycja (ta z Windows), wtedy zaznaczamy Zaszyfruj systemową partycję Windows. Jeżeli na dysku systemowym jest kilka partycji i chcemy zaszyfrować cały dysk, wtedy opcja Zaszyfruj cały dysk będzie możliwa do zaznaczenia i ją właśnie należy zaznaczyć. Klikamy Dalej.
  • Teraz program sprawdza ile systemów operacyjnych jest zainstalowanych na komputerze. Zakładając, że jest tylko jeden, pozostawiamy zaznaczoną domyślnie opcję Jeden system i przechodzimy do kolejnego kroku, klikając Dalej.
  • Czas na wybór algorytmu szyfrowania i algorytmu mieszającego (haszowania) – sprawa o tyle prosta, że najlepszy będzie domyślny wybór. W tym celu na rozwijalnej liście Algorytm szyfrowania pozostawiamy AES, a na liście Algorytm mieszający zostawiamy SHA-512 i przechodzimy Dalej.
VeraCrypt - opcje szyfrowania
Domyślne opcje szyfrowania dysku w VeraCrypt to optymalny wybór (graf. CHIP)
  • Teraz należy wprowadzić odpowiednio silne hasło, które będzie chroniło dostęp nasze dane i system operacyjny. Trzeba je wpisywać bezpośrednio po uruchomieniu komputera. Kreator VeraCrypt zaleca ustawienie hasła co najmniej 20-znakowego. Polskie znaki i wiele innych znaków specjalnych nie są dostępne w tym oprogramowaniu. Dlaczego? Bezpośrednio po starcie, gdy w pamięci znajduje się jedynie boot loader, nie ma możliwości użycia innej klawiatury niż standardowa amerykańska. Po wprowadzeniu dwukrotnie odpowiednio silnego hasła przechodzimy do kolejnego etapu.
  • Czas na etap tzw. zbierania danych losowych. Przez jakiś czas poruszaj myszką w całkowicie przypadkowy sposób, VeraCrypt poprawi w ten sposób losowość kluczy szyfrujących. Gdy pasek widoczny pod napisem Losowość zebrana z ruchów myszką stanie się zielony, można kliknąć Dalej i przejść do kolejnego etapu.
Etap wspierania mechanizmu szyfrującego VeraCrypt za pomocą przypadkowych ruchów myszką (graf. CodePlex)
  • Program poinformuje cię, że klucze kryptograficzne i inne niezbędne do szyfrowania dane zostały poprawnie wygenerowane, kliknij znowu Dalej.
  • Teraz bardzo ważny etap, VeraCrypt umożliwia utworzenie ratunkowej płyty/nośnika USB, tzw. VRD, czyli VeraCrypt Rescue Disc. Absolutnie nie ignorujmy tworzenia tego nośnika, bo w razie awarii np. programu rozruchowego czy uszkodzenia systemu tylko VRD pozwoli nam w pełni odszyfrować dane. Ponadto pozwoli przywrócić domyślne ustawienia systemu i programu rozruchowego w sytuacji, gdyby szyfrowanie nie poszło tak jak powinno i zaszyfrowany system nie uruchamiałby się poprawnie. Dlatego nośnik ten należy przygotować ZANIM zaszyfrujemy dysk.
  • Wygenerowany plik ZIP z danymi do nośnika ratunkowego należy rozpakować na czyste, sformatowane (FAT / FAT32) USB w taki sposób, by zawartość archiwum ZIP wygenerowanego przez VeraCrypt trafiła do katalogu głównego ratunkowego pendrive’a. Gdy przygotujemy ratunkowy nośnik, klikamy Dalej w oknie Kreatora VeraCrypt, przechodząc do etapu weryfikacji ratunkowej pamięci. Gdy weryfikacja powiedzie się, klikamy jeszcze raz Dalej.
  • Kreator VeraCrypt przejdzie teraz do wyboru trybu wymazywania danych. Ponieważ w przypadku szyfrowania na całym dysku sam proces szyfrowania nadpisuje niezaszyfrowane dane, wystarczy, że na liście Wymaż pozostawimy domyślną opcję Brak (najszybszy). Klikamy Dalej.
  • Przed nami kolejny ważny etap – test rozruchu i uwierzytelniania zwany nieco mylnie testem szyfrowania. Chodzi o sprawdzenie, czy system uruchomi się poprawnie i czy komputer po restarcie zażąda zgodnie z oczekiwaniami zdefiniowanego przez użytkownika hasła dostępowego. Na tym etapie dane nie są jeszcze szyfrowane. Jest to też ostatni etap na to, by wycofać się z całej procedury (wystarczy kliknąć Anuluj, a żadne zmiany na dysku nie zostaną zapisane). Zakładając, że chcesz kontynuować, kliknij przycisk Test.
  • Jeśli test zakończy się powodzeniem, po restarcie systemu na ekranie pojawi się monit boot loadera VeraCrypt z żądaniem podania hasła dostępowego, a po jego poprawnym wprowadzeniu system normalnie uruchomi się. Zawsze jednak coś może pójść nie tak. Na przykład, jeżeli system nie rusza, należy go ponownie zrestartować, a następnie na ekranie boot loadera VeraCrypt wcisnąć klawisz Esc, co powinno wymusić procedurę dezinstalacji programu rozruchowego i powrót do domyślnych ustawień. Gdyby i to nie zadziałało, należy komputer uruchomić z przygotowanego wcześniej nośnika ratunkowego VRD, wybrać opcje naprawy i przywrócenia oryginalnego programu ładującego system Windows.
  • Jeżeli test zakończył się sukcesem, po ponownym uruchomieniu systemu w oknie kreatora VeraCrypt zobaczysz stosowny komunikat. Pozostaje tylko kliknąć przycisk Szyfruj, by rozpocząć szyfrowanie danych. Operacja ta w zależności od pojemności nośnika i ilości danych może trochę potrwać.
  • Gdybyś w przyszłości chciał zrezygnować z szyfrowania, uruchom VeraCrypt, a następnie z menu System wybierz Trwale odszyfruj partycję lub dysk systemowy.

Od tej pory dane na twoim komputerze będą w pełni zaszyfrowane, nawet kradzież komputera nie umożliwi złodziejowi dostępu do danych. Oczywiście pod warunkiem, że na obudowie komputera nie nalepiłeś karteczki z hasłem… Poza zaszyfrowaniem danych, co zabezpieczy je przed przestępcą, należy jeszcze pamiętać o backupie – w przeciwnym razie, tracąc komputer, również i my stracimy pliki bezpowrotnie. Jednak metoda szyfrowania za pomocą VeraCrypt będzie niewystarczająca, gdy prowadzimy firmę i przetwarzamy dane w myśl przepisów RODO. Co wtedy?

Firmowy laptop potrzebuje czegoś więcej

Wadą VeraCrypt jest to, że choć program szyfruje dane, to nie daje pełnej informacji pozwalającej osobie prowadzącej biznes udowodnić, że dane na utraconym sprzęcie były właściwie chronione w kontekście wymogów RODO. Zdaniem Mikołaja Sikorskiego, menadżera produktu DESLock+ (aktualna nazwa DESLock+ to ESET Endpoint Encryption, produkt od marca jest w zestawie oprogramowania ochronnego firmy ESET), szyfrowanie jest najlepszym antidotum na kryzysy, które mogą wiązać się z nieumyślnym naruszeniem unijnych przepisów. Co więcej, jak podkreśla ekspert, szyfrowanie zostało wskazane w motywie 83 preambuły do RODO jako jedna z nielicznych wymienionych technologii, która umożliwia zachowanie odpowiedniego poziomu bezpieczeństwa.

Odwołam się tutaj do przywołanego wcześniej scenariusza z kradzieżą laptopa. Sprzęt zginął, co powinna zrobić firma świadoma faktu, że na ukradzionym urządzeniu znajdowały się dane osobowe? Sikorski wyjaśnia: każdy taki incydent musimy zgłosić organowi nadzorczemu, czyli Urzędowi Ochrony Danych Osobowych, chyba że jesteśmy w stanie udowodnić, że incydent nie naraził danych na wyciek. To właśnie funkcja, której brakuje w darmowych narzędziach. W przypadku Endpoint Encryption ESET-a za pomocą konsoli centralnego zarządzania firma, która straciła swój sprzęt, będzie w stanie udowodnić przed UODO, że skradziony laptop był zaszyfrowany, a odpowiedzialny za to proces został w pełni wykonany. W takim przypadku przedsiębiorstwo nie musi zgłaszać problemu.

ESET Endpoint Encryption
Zdalne zarządzanie zaszyfrowanymi komputerami za pomocą narzędzia Endpoint Encryption (graf. ESET)

Endpoint Encryption to rozwiązanie, które ma jeszcze kilka przewag nad bezpłatnym oprogramowaniem szyfrującym. Za jego pomocą jest możliwe szyfrowanie zarówno całej przestrzeni pamięci masowej poszczególnych komputerów, jak również wybranych dysków, plików i katalogów. Da się nawet zabezpieczyć konkretne fragmenty dokumentów. Narzędzie współpracuje z Outlookiem, szyfrując w locie korespondencję, razem z załącznikami. Endpoint Encryption po skonfigurowaniu działa praktycznie niezauważalnie dla użytkownika. Jest rozwiązaniem typu klient-serwer. Wersja kliencka oprogramowania ESET-a wymaga jedynie minimalnej interakcji ze strony użytkownika (np. uwierzytelnienia się), co ma istotny wpływ na poziom bezpieczeństwa danych.

Istotna dla firmy jest wersja serwerowa opisywanego programu. Administracyjny panel pozwala na zdalne zarządzanie użytkownikami i stacjami roboczymi, dzięki czemu, nie mając nawet fizycznego dostępu do konkretnej maszyny wiadomo, że jest ona poprawnie chroniona, a tym samym w razie np. utraty służbowego laptopa przedsiębiorstwo ma gwarancję, że dane nie wyciekną.

Endpoint Encryption ESET-a zabezpiecza dane m.in. WOŚP, Hondy i Greenpeace (graf. ESET)

Ochrona niezależnie od skali

Wartościową zaletą rozwiązań dla biznesu jest także architektura klient-serwer, która pozwala łatwo zarządzać poziomem ochrony bez względu na skalę działania organizacji. Warto tutaj przywołać przykład Wielkiej Orkiestry Świątecznej Pomocy. Sieć komputerowa WOŚP składa się z 50 komputerów i 2 serwerów. Andrzej Gałczyński, administrator IT Fundacji poszukiwał rozwiązania do szyfrowania, które nie tylko pozwoli skutecznie zabezpieczyć dane, ale sprosta również wymogom RODO. Jak opowiada, szczególnie ważna okazała się możliwość centralnego zarządzania szyfrowaniem na wszystkich komputerach organizacji. Z rozwiązania ESET-a poza Orkiestrą Jerzego Owsiaka korzysta też np. Honda, Canon, T-Mobile oraz Greenpeace.

W dzisiejszych czasach, pełnych cyberprzestępczych ataków na komputery, szyfrowanie przestało być tylko narzędziem ukrycia danych. Szyfrowanie nie jest już dodatkiem do antywirusa, ale kluczową funkcją pozwalającą skutecznie neutralizować skutki włamań. W przypadku braku szyfrowania każda udana akcja cyberprzestępców spowoduje wyciek delikatnych danych, co od maja ubiegłego roku oznacza również poważne konsekwencje dla firmy, która nie zadbał o ochronę przetwarzanych danych. Oczywiście nie ma systemów w 100% odpornych na ataki cybernetyczne, niemniej dzięki szyfrowaniu możemy skutecznie zabezpieczyć się przed wyciekami nawet, jeśli dojdzie do włamania. Złodziej przechwyci dane, ale nie zrobi z nich użytku, a firma wybroni się przed zarzutem o zaniedbanie bezpieczeństwa chronionych informacji. | CHIP


Tu znajdziecie nasz specjalny dział poświęcony cyberbezpieczeństwu >>