21.05.2013 00:46
Digital

Компании начали применять метод шифрования данных для защиты от хакеров

Текст:  Сергей Кузнецов (генеральный директор SafeNet в России и СНГ)
Российская Бизнес-газета - : №19 (897)
Стремительное развитие Интернета и электронной коммерции обязывает крупные компании и государственные органы озаботиться вопросом защиты данных. Из года в год мировое сообщество сталкивается с еще более изощренными кибератаками, хакерством и кибершпионажем.
Читать на сайте RG.RU

Один из способов защиты - шифрование данных. Сейчас Россия активно развивается в этой сфере.

Конечно, особое внимание шифрованию данных уделяют правительственные структуры: министерства и национальные банки в связи с информацией государственной важности. Не менее важна защита информации для компаний, работающих с огромным количеством конфиденциальной персональной информации, - это все околобанковские структуры, платежные системы и телекоммуникационные компании, для которых недопустимы взлом и кража данных клиентов. Многие помнят случай с компанией Sony, которая подтвердила утечку данных о 70 миллионах пользователей в результате хакерских атак в 2011 году.

Также в связи с ростом интернет-торговли и онлайн-платежей все чаще международные магазины прибегают к шифрованию данных, потому что это, в первую очередь, защита имиджа компании. В ноябре 2012 года хакер под псевдонимом Darwinaire совершил кибер-атаку на сайт Amazon.com Великобритании и похитил информацию более 600 уникальных пользователей, включая имена, фамилии, телефоны и домашние адреса. Не пренебрегая безопасностью, компания удерживает доверие со стороны покупателей и становится более конкурентоспособной.

Шифрование данных преследует простые цели - защита информации и создание условий, при которых данные не представляли бы никакой ценности без владения специальными ключами. Сейчас благодаря новейшим технологиям и талантливым хакерам в мире не осталось такой защиты периметра, которая бы выдержала продуманную компьютерную атаку. Другой вопрос, что компьютерные гении будут делать с полученными данными без необходимых ключей? Есть ряд примеров, когда на довольно известные компании были совершены хакерские атаки, и защита была взломана, но благодаря использованию профессиональной криптографии злоумышленники не смогли извлечь прибыли от украденных данных. Более того, проведение массированной атаки на хорошо защищенный ресурс стоит больших денег, и когда в результате атаки единственное, что получают злоумышленники, - зашифрованные данные, то это отличный пример торжества стратегии безопасности.

Другая не менее важная угроза - это потеря доверия потребителей. Сейчас имиджевые потери не менее важны, чем материальные. В таком случае довольно сложно измерить стоимость персональной информации. Сколько может стоить год рождения или номер паспорта? Но при определенных обстоятельствах эта информация может быть бесценной, и ее утечка обернется для компании негативным информационным шлейфом. Однако, если для частной компании утечка информации чревата потерей имиджа и материальными трудностями, то для государственных структур шифрование данных - вопрос национальной безопасности.

В пошлом году был составлен список самых громких хакерских атак, куда вошли: Adobe, Yahoo, Zappos, LinkedIn. Каждая из этих компаний понесла не только материальный ущерб, но и ослабление бренда, допустив кражу данных. Использование средств и систем безопасности и правильная информационная политика компаний, оказавшихся в подобных ситуациях, может существенно минимизировать ущерб. Например, предоставление достоверной и своевременной информации о факте взлома и наличие у компании "резервного плана" на такой случай, как правило, сильно упрощает ситуацию и успокаивает пользователей.

Наиболее известными и распространенными способами шифрования можно считать алгоритмы симметричного и асимметричного шифрования. В первом случае для шифрования и дешифрования информации используется один и тот же ключ, закрытый, который должен быть известен обеим сторонам. Классическими примерами методов шифрования при симметричном алгоритме могут служить "блочный" и "поточный", которые могут шифровать поступающую на вход информацию либо блоками, либо "по мере поступления" соответственно. В асимметричном подходе для шифрования используется открытый ключ, а для дешифрования - закрытый, известный только получателю. В таком методе ключевая пара или соответствующие друг другу закрытый и открытый ключи обычно создаются одновременно и являются дополняющими. Открытый ключ может быть известен, а закрытый - должен быть известен только владельцу и хранится в специальных устройствах: смарт-картах, токенах или Hardware Security Module (HSM).

Поскольку в алгоритмах шифрования закрытый ключ играет важную роль, то и внимание к управлению и безопасному хранению ключами должно быть соответствующим. Именно поэтому наибольшее доверие профессионалы по информационной безопасности оказывают аппаратным методам хранения ключей.

Существует сложившееся мнение, что шифрование - это сложно, затратно и порой опасно, ведь оно связано с ключом, который можно потерять, а значит, потерять все зашифрованные данные. Приведем простую аналогию. Сегодня трудно представить человека, который не пользуется сложными замками из-за боязни потерять ключ. Если строго следовать правилам наличия дубликата (резервной копии), строгой сохранности ключа и резервных копий, использования для этого надежных хранилищ, неафиширования используемых алгоритмов защиты и мест хранения основных и запасных ключей, - то все остальное за вас сделают профессионалы.

Немаловажно обеспечить прозрачность работы пользователя с зашифрованными данными. Для этого потребуется грамотно построенная инфраструктура, с применением комплексных средств информационной безопасности. Во-первых, нужно понимать, что именно требуется защищать. Если это данные на персональном компьютере, то вполне может быть достаточно системы шифрования диска с хранением ключа на отдельном носителе, например, токене или смарт-карте. В продвинутых системах также будет присутствовать механизм Pre-boot control, который не позволит загрузить операционную систему без наличия упомянутой карты или токена и правильно введенного пароля.

Во всех рассмотренных сценариях шифрования, а их может быть огромное множество, прослеживается один важный момент. Надежность систем защиты и, в частности, шифрования достигается за счет использования аппаратных средств защиты, причем, чем сложнее задача, тем более производительным и надежным должно быть оборудование. И не забывайте - не так важно, где вы храните свои данные: в облаках, центрах обработки данных, персональных компьютерах, важно, где и как вы храните свои закрытые секретные ключи.

Технологии Интернет