Применение криптографических методов защиты корпоративных данных
Повышение уровня информационной безопасности на рабочем месте – задача не новая. Одним из наиболее популярных способов ее выполнения является шифрование служебных данных. Однако, криптографические методы защиты, помимо очевидной выгоды, могут принести с собой и ряд проблем, существенно усложняющих деятельность организации.
В переводе с греческого языка слово «криптография» означает «тайнопись». Данный метод защиты информации не единственный, однако, его отличительной особенностью является преобразование данных для их сокрытия. Собственно, шифрование информации, проверка ее подлинности и целостности, - это и есть основные цели криптографии, которые в случае правильной их реализации обеспечивают данным защиту от компрометации, несанкционированного изменения или потери к ним доступа.
В этом материале мы рассмотрим основные способы осуществления информационной защиты при помощи криптографии на рабочем месте, о шифровании каких систем имеет смысл задуматься работодателю, а также укажем на потенциальные проблемы, с которыми на этом пути может столкнуться компания и ее сотрудники.
Файлы и диски
Для шифрования отдельных каталогов с данными хорошо справляется утилиты, обеспечивающие сквозное шифрование. Алгоритмы их работы предполагают непрерывную защиту интересуемых данных, а их кража или утечка без наличия пароля не представляет существенной опасности. Некоторые из утилит позволяют шифровать данные непосредственно в облаке и получать к ним коллективный доступ при необходимости. Этот способ целесообразен в случае необходимости защиты отдельных файлов или папок с информацией, не предполагающих работу с большими массивами данных. В обратном же случае подходит шифрование целого диска. При этом, вся информация на диске, в том числе и загрузочные программы, для стороннего человека будут представлять собой набор бессвязных файлов.
Разграничение доступа
Работа большинства компаний предполагает параллельную работу с конфиденциальной информацией и интернетом. Наличие постоянного открытого доступа в Сеть отрицательно сказывается на степени защиты. В этом случае, наиболее оправданным решением станет создание закрытой виртуальной среды, изолированной от доступа в интернет. Этот способ позволяет разграничить к каким данным возможно получить удаленный доступ, а какие останутся недоступны.
Снаружи такая виртуальная машина является тем же зашифрованным диском, требующим дополнительной авторизации, и который остается более защищенным от вредоносного ПО и несанкционированного доступа.
Шифрование электронной почты
Корпоративную электронную почту можно назвать чуть ли не главным источником ущерба компаниям. Доступ злоумышленников к деловой переписке предоставляет массу вариантов проведения целенаправленных атак, использующих конкретные и точные данные, полученные в самой компании. В некоторых случаях, переписка может содержать даже пароли для доступа к внутренним системам организации или критическую информацию, способной привести как к финансовым, так и репутационным издержкам.
Лучше всего для защиты электронной почты подходят отдельные утилиты, шифрующие папки с перепиской. Получить к ним доступ в этом случае возможно только при использовании дополнительного пароля. Программное обеспечение, используемое для реализации шифрования, в этом случае, работает по двум принципам: письма шифруются либо непосредственно на рабочей системе после скачивания и хранятся в локальной памяти, либо заново отправляются на почтовый сервер, если информация должна храниться там.
Как более простой вариант, - шифрование архивных сообщений, что избавит пользователя от хранения в открытом виде большого объема сообщений, с которыми нет необходимости регулярно работать. Основной его минус заключается в том, что если доступ к электронной почте уже был получен путем кражи общего логина и пароля, то просмотреть зашифрованную переписку можно абсолютно свободно.
Дополнительное ПО также позволяет обмениваться изначально зашифрованными сообщениями. Однако, это может вызвать ряд вопросов у регулирующих органов. К тому же поставщики бесплатных почтовых сервисов не приветствуют подобную практику. Данный метод может потребовать дополнительных затрат, поэтому к нему имеет смысл прибегать в случаях передачи информации крайней степени важности.
Доступ к платежной информации
Отдельной защиты требует информация о платежах и учетные данные для доступа к банковским системам. На рабочем месте его можно осуществить путем создания дополнительной виртуальной машины, предназначенной исключительно для выполнения платежных функций.
Мобильное ПО не отличается высокой степенью защиты. Даже двухфакторная система аутентификации не гарантирует 100% защиту от злоумышленников. Внедрение различных вредоносов и банальная кража устройства, в большинстве случаев, приводит к потере денежных средств. И хоть отсутствие сторонних приложений на устройствах, предназначенных для осуществления платежей, кажется крайней мерой, - для крупных счетов это является чуть ли не обязательным условием эффективного функционирования системы безопасности.
Пароль, как главный плюс и минус шифрования
В конечном итоге, все системы защиты, использующие криптографические методы шифрования существуют и остаются эффективными за счет паролей. Если они сложные, да еще и регулярно меняются, нигде не фиксируются, то в большинстве случаев это означает уверенную защиту зашифрованных данных. В любом обратном случае – грош цена такому паролю.
Исследователи кибербезопасности регулярно публикуют отчеты, согласно которым пользователи используют простые или вовсе заводские комбинации логин-пароль. Слово «Password», написанное разным регистром или дополненное цифрами «123» каждый год возглавляет список самых популярных паролей. Разумеется, киберпреступники знают об этом. Часть утечек информации происходит по вине банального перебора злоумышленниками простых комбинаций.
Рабочее место – не исключение. Если предоставить сотрудникам выбор, то они все предпочтут максимальной простой четырехзначный пароль, который будет еще и записан в ежедневнике, лежащем рядом с монитором. Трата времени и сил на запоминание сложной комбинации не представляется чем-то необходимым. Однако, во многих случаях только это и стоит между злоумышленниками и корпоративной информацией.
Вирусы-шифровальщики и утрата ключа
Собственно, свою пользу от использования криптографии усмотрели даже киберпреступники. Количество ежегодных атак с использованием разнообразных вирусов-шифровальщиков, единственной целью которых является заблокировать пользователям доступ к данным в зараженной сети, по оценкам исследователей, уже превысило 200 миллионов. Эти программы, в случае успешной атаки, используются для вымогания денежных средств или существенного ограничения работы организации. В 2019 году из-за таких атак пострадали многие компании, объекты здравоохранения, промышленные предприятия и целые города.
Тяжелые последствия может возыметь и утрата пароля к той или иной рабочей системе. Криптографические методы защиты предполагают ограничение доступа неавторизованным пользователям, однако таковым будет считаться любой, кто не имеет или забыл ключ.
Этот недопустимый для компании риск помогут избежать различные утилиты для хранения паролей, разумеется, тоже в зашифрованном виде. Для получения доступа, в них используются фразы, известные лишь пользователю. Настроив резервное копирование такой программы, можно быть уверенным, что даже при утрате пароля, например, к электронной почте и смене текущего устройства, восстановить доступ все равно будет возможно.
На сегодняшний день, криптографические системы защиты информации широко используются как в частном, так и в коммерческом секторах. Шифрование данных, использование эффективных паролей, разграничение доступа существенно сокращают риск компрометации критически важной информации. А такой, особенно в корпоративной среде, гораздо больше, чем может показаться на первый взгляд. Даже доступ к электронной почте, содержащей личную переписку сотрудников, может способствовать успешному проведению мошеннических и фишинговых атак. Помните, что иллюзия безопасности не делает Вас защищенным.
Текст: Антон Каландин