Шифрование данных: ответы на частые вопросы

Шифрование данных: ответы на частые вопросы
encryption

Суще­ству­ют раз­ные мне­ния о необ­хо­ди­мо­сти шиф­ро­ва­ния инфор­ма­ции. Но шиф­ро­ва­ние может дать допол­ни­тель­ную защи­ту от хаке­ров, пере­хва­та дан­ных и дру­гих атак зло­умыш­лен­ни­ков. Отве­ча­ем на пять вопро­сов, свя­зан­ных с попу­ляр­ны­ми мифа­ми и заблуж­де­ни­я­ми о шиф­ро­ва­нии.

В раз­ных стра­нах мира от ком­па­ний, кото­рые рабо­та­ют с кон­фи­ден­ци­аль­ны­ми дан­ны­ми поль­зо­ва­те­лей, тре­бу­ют обя­за­тель­но­го шиф­ро­ва­ния для защи­ты инфор­ма­ции сво­их кли­ен­тов. Суще­ству­ет и дру­гое мне­ние, что необ­хо­ди­мо отка­зать­ся от повсе­мест­но­го шиф­ро­ва­ния, что­бы упро­стить поиск и поим­ку зло­умыш­лен­ни­ков и тер­ро­ри­стов.

Малый биз­нес, неболь­шие орга­ни­за­ции, инди­ви­ду­аль­ные пред­при­ни­ма­те­ли и част­ные поль­зо­ва­те­ли часто избе­га­ют темы шиф­ро­ва­ния дан­ных. Им кажет­ся, что их акти­вы не инте­рес­ны кибер­пре­ступ­ни­кам, а исполь­зо­ва­ние шиф­ро­ва­ния лишь доба­вит слож­но­стей.

Что­бы най­ти пра­виль­ное реше­ние «Шиф­ро­вать или не шиф­ро­вать?», отве­тим на пять вопро­сов, свя­зан­ных с мифа­ми и заблуж­де­ни­я­ми о шиф­ро­ва­нии инфор­ма­ции.

1. Нужно ли использовать шифрование данных только тогда, когда этого требует закон?

Дан­ные цен­ны в любой орга­ни­за­ции. Это может быть инфор­ма­ция о кли­ен­те – име­на, адре­са элек­трон­ной почты, дан­ные кре­дит­ной кар­ты, внут­рен­няя финан­со­вая инфор­ма­ция, инфор­ма­ция о сотруд­ни­ках, интел­лек­ту­аль­ной соб­ствен­но­сти и мно­гое дру­гое. К сожа­ле­нию, эти дан­ные цен­ны не толь­ко вам. Пре­ступ­ни­ки могут украсть ноут­бу­ки, флеш­ки и целые базы дан­ных.

Даже если пре­ступ­ни­ки, кото­рые вору­ют ваши дан­ные, не соби­ра­ют­ся исполь­зо­вать их сами, они могут про­дать их. Неко­то­рые хаке­ры видят цен­ность в при­чи­не­нии вре­да, откры­то пуб­ли­куя все, к чему они смог­ли полу­чить доступ. В таких слу­ча­ях репу­та­ция ком­па­нии будет раз­ру­ше­на.

Даже если по зако­ну шиф­ро­вать дан­ные не обя­за­тель­но, сде­лать это насто­я­тель­но реко­мен­ду­ет­ся. Посмот­ри­те наши видео­уро­ки о том, как уси­лить свою циф­ро­вую без­опас­ность (выбрать видео­урок в плей­ли­сте мож­но, нажав на икон­ку свер­ху сле­ва):

2. Использование шифрования данных замедляет работу компьютера?

Боль­шин­ство совре­мен­ных ком­пью­те­ров, ноут­бу­ков и мобиль­ных устройств ред­ко рабо­та­ют на пол­ную мощ­ность. Хотя несколь­ко лет назад еще мож­но было заме­тить раз­ни­цу в быст­ро­дей­ствии с вклю­чен­ным пол­ным дис­ко­вым шиф­ро­ва­ни­ем, сего­дня ее прак­ти­че­ски нет.

Мошен­ник, украв­ший ноут­бук, может быст­ро ско­пи­ро­вать всю инфор­ма­цию с жест­ко­го дис­ка, несмот­ря на нали­чие паро­ля на вход в опе­ра­ци­он­ную систе­му. В слу­чае с вклю­чен­ным дис­ко­вым шиф­ро­ва­ни­ем ско­пи­ро­вать инфор­ма­цию с дис­ка не полу­чит­ся, даже если его под­клю­чить к дру­го­му ком­пью­те­ру.

3. Является ли шифрование сложным и рискованным? Что будет, если я забуду пароль?

Шиф­ро­ва­ние – как исполь­зо­ва­ние сей­фа для ваших дан­ных. К сей­фу нель­зя полу­чить доступ, не имея клю­ча. Поэто­му шиф­ро­ва­ние без надеж­но­го управ­ле­ния паро­ля­ми и клю­ча­ми небез­опас­но.

Про­грам­мы шиф­ро­ва­ния име­ют воз­мож­ность вос­ста­но­вить забы­тый пароль или сме­нить его, если, напри­мер, сотруд­ник боль­ше не рабо­та­ет в орга­ни­за­ции.

Так­же в неко­то­рых систе­мах шиф­ро­ва­ния суще­ству­ют бэк­до­ры (backdoor) – пуб­лич­ные клю­чи вос­ста­нов­ле­ния. Напри­мер, если вы забы­ли пароль к сво­е­му сей­фу, его мож­но открыть с помо­щью опре­де­лен­ной ком­би­на­ции цифр, кото­рая еди­на для это­го про­из­во­ди­те­ля.

Насто­я­тель­но реко­мен­ду­ет­ся избе­гать про­грамм­ных реше­ний с исполь­зо­ва­ни­ем бэк­до­ров.

4. Необходимо ли шифрование, если используется облачное решение для данных?

Неко­то­рые облач­ные сер­ви­сы уже сей­час шиф­ру­ют дан­ные поль­зо­ва­те­лей после загруз­ки и рас­шиф­ро­вы­ва­ют их, когда поль­зо­ва­тель хочет ска­чать или открыть их. Это зна­чит, что сам облач­ный сер­вис не име­ет досту­па к дан­ным поль­зо­ва­те­лей и в слу­чае кра­жи их сер­ве­ров дан­ные оста­нут­ся зашиф­ро­ван­ны­ми.

Облач­но­го шиф­ро­ва­ния может быть недо­ста­точ­но и реко­мен­ду­ет­ся само­сто­я­тель­но шиф­ро­вать дан­ные на сво­ем ком­пью­те­ре перед загруз­кой в Dropbox или Google Drive.

5. Если мной никто не интересуется, должен ли я шифровать информацию?

Даже если у поль­зо­ва­те­ля на ком­пью­те­ре нет важ­ной инфор­ма­ции, зло­умыш­лен­ник может полу­чить доступ к кон­так­там и доку­мен­там кол­лег и дру­зей через инфор­ма­цию в элек­трон­ной почте и акка­ун­тах в соци­аль­ных сетях.

Мошен­ник может украсть дан­ные за $0,02 и про­дать их за $200. Часто при­ме­ня­ют­ся напи­сан­ные скрип­ты для поис­ка сла­бо защи­щен­ных ком­пью­те­ров в Интер­не­те для после­ду­ю­щей авто­ма­ти­че­ской кра­жи инфор­ма­ции.

Выводы

Никто в мире не застра­хо­ван от кра­жи и поте­ри дан­ных, неза­ви­си­мо от раз­ме­ра, отрас­ли и гео­гра­фии вашей орга­ни­за­ции. Инстру­мен­ты шиф­ро­ва­ния не гаран­ти­ру­ют пол­но­го предот­вра­ще­ния кра­жи дан­ных, но добав­ля­ют еще один слой защи­ты, кото­рый услож­ня­ет доступ зло­умыш­лен­ни­ков к вашей инфор­ма­ции.

По мате­ри­а­лам Naked Security.