Interjú: átformálódó titkosítás

Az informatikai és a biztonsági trendek a titkosítási megoldásokat sem hagyják érintetlenül. Az adatok oltalmazását szolgáló technológiák kiválasztása minden korábbinál nagyobb megfontoltságot igényel.
 

A cloud szolgáltatások, a mobilizáció és az egyéb, sokat hangoztatott IT-trendek alapvetően befolyásolják a titkosítással összefüggő feladatokat. Ennek kapcsán Pistár Máriával, a PiK-SYS Kft. ügyvezetőjével arról beszélgettünk, hogy mire érdemes figyelni a titkosítási megoldások kiválasztásánál és használatánál.
 
Melyek azok a titkosítási területek, amelyeknek vállalati környezetekben a legnagyobb szerepet kell vagy kellene kapniuk az adatok védelme során?
 
Pistár Mária: Minden terület egyaránt fontos. Külső munkavégzés során például lényeges szerepe lehet a merevlemez titkosításnak: ha ellopnak egy laptopot, akkor megfelelő jelszó nélkül nem férhetnek hozzá az adatokhoz. Egy bizalmas projektmunka elképzelhetetlen a megosztott állományok titkosítása nélkül.  
 
Ameddig azonban a vállalaton belül használt fájlok, mappák („nyugvó adatok”) tárolása egy (remélhetőleg) védett infrastruktúrában történik, addig az infrastruktúrán kívül mozgásban levő adatok védelméről is gondoskodni kell.  Mind a belső, mind a külső vállalati levelezés és kommunikáció titkosítására kiemelt figyelmet kell fordítani, így a bizalmas információk a csatornától függetlenül védve maradnak.
 
A titkosítási technológiák önmagukban nem mindig képesek hatékonyan működni, különösen nem a felügyelet szempontjából. Amikor egy titkosítási rendszer alkalmazására sor kerül, akkor milyen egyéb informatikai és biztonsági rendszerekkel történő összehangolásról, integrálásról érdemes gondoskodni?
 
P. M.: A hatékony működtetéshez központi menedzsmentre van szükség. A központi menedzsmentbe a felhasználókat címtár alapján érdemes bevonni, mivel ez a megoldás biztosítja a gördülékeny üzemeltetést. Mindig az adott vállalati biztonsági rendszer, a vállalati élet működése szempontjából érdemes megvizsgálni az integrációval kapcsolatos kérdéseket. A mit lehet kérdés helyett azt kell feltenni magunknak, hogy mit célszerű. Ez a hatékonyság záloga.
 
Például az adatszivárgás-megelőző rendszerek (DLP) bevezetését követően hamar felmerül az igény az adattitkosítás, mint eszköz használatára is. Ha a két megoldást integráljuk, a DLP házirend megalkotható úgy, hogy bizonyos fájlokat, mappákat ki lehessen másolni egy hordozható eszközre, ha az állomány előbb titkosításra kerül. Ezáltal nem sérül sem az adatok bizalmassága, sem a munkavégzés hatékonysága.
 
Mik azok a leggyakoribb hibák, amiket a vállalatok elkövetnek a titkosítási megoldások bevezetésekor, illetve használatakor?
 
P. M.: Ezen a listán az első helyen a tervezés hiánya áll. Ha kevésbé akarok szigorú lenni, azt mondanám, hogy a tervezés elégtelensége. Gondos előkészítést igényel mind az infrastruktúra felállítása, mind pedig a kapcsolódó biztonsági szabályok megalkotása.
 
A tervezéshez kapcsolódik az a probléma is, hogy sokszor nem hosszú távon gondolkodik az ügyfél, hanem jelen időben. A titkosítási rendszer akkor működik megfelelően, ha a titkosítás folyamata zökkenőmentesen zajlik, valamint ha a visszafejtés sem ütközik problémákba, még akkor sem, ha az adatot eredetileg titkosító személy már nincs a cégnél. Ennek feltételeit – többek között a titkosító kulcsok megfelelő módon történő kezelését – azonban biztosítani kell ma, holnap és tíz év múlva is. Ha nem így teszünk, akkor a nem felügyelt titkosított adatok könnyen káoszt idézhetnek elő.
 
Gyakori jelenség az is, hogy a helyi infrastruktúra és annak üzemeltetésének fragmentáltsága miatt a rendszer „beépítése” és üzembeállítása komoly akadályokba ütközik.
 
A mobilizáció és a cloud computing térhódítása miként formálja át a titkosítással összefüggő szemléletmódokat?
 
P. M.: A modern munkakultúra két fontos pillére a rugalmasság és a megbízhatóság. A vállalati vagy a BYOD mobileszközök térhódításával az okoseszközökön történő üzleti levelezés és adattárolás lehetősége a felhasználók részéről immár nem igényként jelentkezik, hanem elvárásként. Nem elég, ha a vállalati infrastruktúrán belül biztonságban vannak az érzékeny adatok, a falakon kívül, a mobileszközökön és a felhőben is védve kell lenniük.
 
Ezt a változást pedig nemcsak az IT biztonsági szakértők, hanem a szoftverfejlesztők és a mobileszközök operációs rendszereit gyártó cégek is felismerték. Például a legújabb Android 5.0 operációs rendszernél már alapértelmezés szerint titkosítva kerülnek tárolásra az adataink. Ez egy fontos szemléletváltás, melynek üzenete egyértelmű: óvjuk adatainkat titkosítással (is).
 
Egy másik irány a mobil eszközmenedzsment, mely a titkosítás mellett további védelmi vonalakat húz a mobileszközök köré, törekedve a vállalati IT biztonsági előírások maradéktalan betartására.
 
A felhős megoldások terjedése is elkerülhetetlen. Költségek, hatékonyság, hozzáférhetőség kérdésében a válaszok mind a felhő felé mutatnak. Azonban a felhő biztonsági szempontból egy rémálommá válhat, ha nincs megfelelően szabályozva a használata: ezt az utóbbi hetek eseményei is bizonyították (The Fappening). Számos szolgáltató maga is titkosítja a felhasználók felhőbe feltöltött adatait. Mivel azonban a titkosított adat és a titkosító kulcs is egy kézben van, ezért egy visszaélés során az adatok visszafejthetők.
 
A titkosítás és a kulcsmenedzsment szempontjából mit tanácsol azon cégek számára, amelyek felhőalapú szolgáltatásokat is igénybe vesznek?
 
P. M.: Amennyiben felhőalapú szolgáltatásokat is használunk, mindenképp ajánlott a szolgáltatótól független, vállalati infrastuktúrában központilag menedzselt eszközzel titkosítani a feltölteni kívánt állományokat. Egy felhasználó által titkosított adatot hiába szereznek meg illetéktelenek a felhőből, az adattartalomhoz – a titkosító kulcs hiányában – nem tudnak hozzáférni.  E megoldások jól működnek akkor, ha a felhőben csak fájlokat (mappákat) tárolunk. Azonban, ha valamilyen portál szolgáltatást kívánunk igénybe venni, akkor körültekintően kell megválasztani a szolgáltatót is.
 
Tapasztalata szerint a magyar vállalatok mekkora figyelmet szentelnek a titkosításnak? Milyen problémákat lát Magyarországon e biztonsági terület kapcsán?
 
P. M.: Korábban alig találkoztunk olyan céggel, ahol saját elhatározásból vezettek be titkosító rendszert. Ügyfeleink zöme az előírásoknak (pl. PCI DSS-nek) való megfelelés céljából vagy üzleti partner kérésére kezdett titkosítani.  Gyakran a vállalatok anyagi helyzete sem engedte meg az ilyen rendszerek alkalmazását. Szerencsére ez a trend az utóbbi időben változóban van, egyre többen ismerik fel a titkosítás szükségességét és jelentőségét.