Na czym polega szyfrowanie danych?
Szyfrowanie to procedura techniczna, która oznacza, że informacje konwertowane są na specjalny, tajny kod. W ten sposób przesyłane, otrzymywane i przechowywane przez Ciebie dane są jak gdyby zaciemnione. Zasadniczo używany jest w tym celu algorytm, który szyfruje dane, a następnie strona odbierająca rozszyfrowuje je za pomocą klucza odszyfrowującego. Właściwa informacja zapisana w plikach zaszyfrowanych określana jest jako „tekst jawny”, natomiast w formie zaszyfrowanej określana jest jako "szyfrogram".
Pomyśl, jak wiele ważnych informacji przechowywanych jest w plikach, folderach i na urządzeniach firmowych. Teraz pomyśl, co mogłoby się stać, gdyby informacje te dostały się w niepowołane ręce. Zapewne znajduje się tam duża ilość danych, do których dostęp powinny mieć jedynie osoby do tego upoważnione: od danych osobowych pracowników (np. ich adresów zamieszkania, numerów PESEL czy NIP itp.) po dane dotyczące finansów i kont bankowych Twojej firmy. Szyfrowanie jest jednym z najlepszych sposobów, aby chronić dane poufne Twoje firmy przed zagrożeniami wynikającymi z cyberprzestępczości.
Szyfrowanie, w różnych formach, istnieje już od zarania dziejów. Starożytni Grecy szyfrowali swoje wiadomości za pomocą narzędzia o nazwie „skytale”, natomiast podczas II wojny światowej, Niemcy używali słynnej maszyny o nazwie Enigma do transmisji danych wojskowych i dyplomatycznych. Współczesne metody szyfrowania przeszły przez liczne iteracje, jednak można je podzielić na dwie główne kategorie: algorytmy symetryczne i algorytmy asymetryczne. W dalszej części tego artykułu przyjrzymy się z bliska tym dwóm rodzajom szyfrowania.
Warto również zauważyć, że szyfrowanie odgrywa bardzo ważną rolę, zapewniając bezpieczeństwo podczas przeglądania stron internetowych. Wiele stron internetowych korzysta z połączenia SSL (ang.: Secure Socket Layer), które szyfruje dane wysyłane do i z witryny internetowej, co uniemożliwia hakerom dostęp do danych podczas ich przesyłania. Jednak w ostatnich latach SSL zostało wyparte przez rozwinięcie TLS (od ang.: Transport Layer Security), które stało się standardowym protokołem szyfrowania do uwierzytelniania serwerów stron internetowych i zachowania odpowiedniego poziomu bezpieczeństwa zapytań i odpowiedzi HTTP.
Teoretycznie odkodowanie zaszyfrowanych plików bez klucza szyfrowania jest możliwe, jednak złamanie dobrze opracowanego schematu szyfrowania wymagałoby bardzo dużej mocy obliczeniowej. Taka sytuacja jest potocznie nazywana atakiem „brutalną siłą” (ang. brute force attack). Choć współczesne sposoby szyfrowania, w szczególności w połączeniu z silnymi hasłami, są zazwyczaj dość odporne na ataki typu brute force (złamanie odpowiednio zaszyfrowanych plików zajęłoby hakerom miliardy lat), w przyszłości, wraz ze wzrostem możliwości komputerów, mogą one okazać się mniej skuteczne.
Jak działa szyfrowanie?
W swej najprostszej postaci, szyfrowanie to metoda zapobiegająca udzielania dostępu do Twoich danych osobom nieupoważnionym. Korzystając z szyfrowania możesz zakodować prostą, jasną wiadomość („Dropbox jest super!”) tak, żeby była ona zaszyfrowana i niezrozumiała dla jakiejkolwiek osoby, która zobaczy ją w formie zakodowanej („9itQg7nbV781+f55eXC1Lk.”) Zakodowana wiadomość wysyłana jest łączem internetowym, a kiedy dotrze do miejsca docelowego, odbiorca, za pomocą jednego ze sposobów — zazwyczaj klucza szyfrowania — może przekonwertować zaszyfrowaną wiadomość do jej pierwotnego formatu („Dropbox jest super!”).
We wcześniejszej części artykułu wspomnieliśmy o szyfrowaniu symetrycznym i asymetrycznym. Mówiąc ogólnie, są to dwa główne rodzaje szyfrowania, z jakimi możemy się spotkać. Ale jak dokładnie one działają? Poniżej znajduje się nieco więcej informacji na temat tych systemów szyfrowania danych:
- Algorytmy symetryczne: w systemie symetrycznym, do procesu szyfrowania, jak i odszyfrowywania wykorzystywane są identyczne lub powiązane ze sobą klucze szyfrujące. W niektórych kręgach taki klucz określany jest jako „wspólny sekret”, ponieważ nadawca / system nadzorujący szyfrowanie musi udostępnić ten klucz osobom upoważnionym do odszyfrowania wiadomości. Wśród licznych przykładów algorytmów symetrycznych znajdują się AES, Triple DES i Blowfish.
- Algorytmy asymetryczne: w systemie asymetrycznym, zwanym też szyfrowaniem z kluczem publicznym, do procesu szyfrowania i odszyfrowywania wykorzystywane są różne klucze. Jeden z kluczy udostępniany jest publicznie i może być używany przez każdego (stąd nazwa „szyfrowanie z kluczem publicznym”), natomiast drugi z nich jest prywatny. Sprawia to, że algorytm asymetryczny jest jeszcze bezpieczniejszy niż algorytm symetryczny, ze względu na to, że hakerzy i cyberprzestępcy nie są w stanie skopiować klucza podczas jego przesyłania. Wśród przykładów szyfrowania asymetrycznego znajdują się RSA i DES.
Wimy już, jak ogólnie wygląda proces szyfrowania. Jednak jak działa on w firmach? Jeśli chodzi o firmy, warto zauważyć, że wiele urządzeń standardowo oferuje funkcję szyfrowania. System Windows oferuje wbudowaną, kompleksową funkcję szyfrowania zwaną BitLocker, która korzysta z algorytmu szyfrowania AES. MacOS i Linux również oferują wbudowane funkcje szyfrowania. Co więcej, jeśli chodzi o szyfrowanie wiadomości e-mail, główne aplikacje mailowe, w tym Microsoft Outlook i Apple Mail, posiadają wiele gotowych narzędzi do szyfrowania.
Dlaczego szyfrowanie jest ważne?
Obecnie szyfrowanie jest podstawą dla firm. Dlaczego? Po pierwsze, ze względu na bezpieczeństwo. Według raportu Risk Based Security’s 2019 Year End Data Breach QuickView Report, w 2019 roku doszło do ponad 15,1 miliarda przypadków ujawnienia danych, co stanowi wzrost o 284% w stosunku do 2018 roku. Firma badawcza określiła rok 2019 jako „najgorszy rok w historii”. Natomiast w 2020 roku już zauważyliśmy poważne naruszenia poufności danych – jedynie w pierwszym kwartale tego roku odnotowano 8,4 miliarda przypadków ujawnienia danych (co stanowi wzrost o 273% w stosunku do pierwszego kwartału 2019 r.). Szyfrowanie może pomóc chronić dane Twojej firmy przed atakami hakerów i cyberprzestępców. Zakładając, że są one prawidłowo zaszyfrowane, dane przechowywane na serwerach i urządzeniach firmowych powinny pozostać bezpieczne, nawet jeśli urządzenie zostanie skradzione. Co więcej, metody komunikacji szyfrowanej powinny zapewnić możliwość komunikacji zewnętrznej i wewnętrznej bez wycieku danych poufnych. W prostych słowach, praca wyłącznie na plikach szyfrowanych może zapobiec dostaniu się Twoich danych w niepowołane ręce.
Istnieje też aspekt regulacyjny. Wiele przepisów branżowych stanowi, że firmy, które przetwarzają dane użytkowników mają obowiązek ich przechowywania w postaci zaszyfrowanej. Doskonałym tego przykładem jest norma bezpieczeństwa PCI DSS (od ang.: Payment Card Industry Data Security Standards), szereg ogólnych zasad regulowanych przez głównych światowych wydawców kart kredytowych. Jeden z dwunastu kluczowych postulatów PCI DSS stanowi, że firmy, które bezpośrednio przetwarzają dane z kart swoich klientów powinny „Szyfrować transmisję danych posiadaczy kart za pomocą otwartych, publicznych sieci.” Nieprzestrzeganie tego postulatu może prowadzić do różnego rodzaju kar, w tym kar pieniężnych, zarzutów związanych z oszustwem oraz zawieszeniem możliwości otrzymywania płatności kartą. Istnieje również wiele regulacji rządowych, które wymagają szyfrowania danych. Na przykład w Unii Europejskiej (UE), przepisy RODO nakładają na firmy obowiązek wdrożenia środków technicznych i organizacyjnych w celu zapewnienia bezpiecznego przetwarzania danych osobowych. Wśród właściwych środków technicznych wymienione zostało szyfrowanie.
Jednak co w rzeczywistości oznacza szyfrowanie? Konsekwencje naruszenia poufności danych mogą być katastrofalne, zwłaszcza jeśli chodzi o kwestie finansowe. Może doprowadzić to do tego, że Twoja firma poniesie różnorakie koszty związane, między innymi, z oszustwami finansowymi, kradzieżą pieniędzy, uszkodzeniem lub zniszczeniem danych, problemami w świadczeniu usług występującymi po ataku, defraudacją oraz przywróceniem systemów i usunięciem z nich błędów. Należy również pamiętać o szkodach, jakie naruszenie poufności danych może wyrządzić dla reputacji firmy, zwłaszcza jeśli chodzi o naruszenie danych klienta, a także o tym, jaki wpływ taka sytuacja może mieć na perspektywy rozwoju firmy. Krótko mówiąc, szyfrowanie może pozwolić Twojej firmie uniknąć kosztownych i czasochłonnych procesów związanych z naprawianiem szkód po naruszeniu poufności danych i zapewnić, że Twoja firma pozostanie dla klientów realnym i godnym zaufania wyborem.
Jak szyfrować dane w Dropbox
Jeśli dopiero rozpoczynasz swoją przygodę z metodami zachowania bezpieczeństwa danych, nauka szyfrowania plików może wydawać się dosyć krętą drogą. Na szczęście wcale nie musi taka być. Jak już wspomnieliśmy, oprogramowanie szyfrujące jest często wbudowane w system operacyjny. Istnieje jednak szeroka gama dodatkowych programów do szyfrowania, które pomogą Ci zwiększyć poziom ochrony danych. Zapewne zastanawiasz się jednak, które z poufnych plików Twojej firmy mogą zostać zaszyfrowane? Odpowiedź jest prosta: dosłownie wszystkie pliki —włączając w to pliki tekstowe, pliki z danymi, wiadomości e-mail, partycje dysku i katalogi — mogą zostać zaszyfrowane. Bez względu na to, gdzie przechowywane są Twoje najbardziej poufne informacje, umiejętność szyfrowania plików może okazać się przydatna.
Bezpieczna platforma Dropbox oferuje nowoczesne standardy szyfrowania, które pomagają chronić poufne dane Twojej firmy przed atakami typu brute force, złośliwym oprogramowaniem, ransomware i naruszeniem poufności danych. Jak więc działa szyfrowanie w Dropbox? Zasadniczo Twoje pliki są przetwarzane poprzez dzielenie ich na odrębne bloki. Każdy z bloków jest zaszyfrowany silnym szyfrem i jedynie bloki, które zostały zmodyfikowane między wersjami plików są synchronizowane. Co więcej, Twoje pliki są chronione zarówno podczas ich przesyłania między naszymi aplikacjami i serwerami, jak i w trakcie ich przechowywania. Dropbox oferuje również rozwiązania klasy korporacyjnej w kwestii bezpieczeństwa w chmurze, które wykraczają poza tradycyjne szyfrowanie i zapewniają jeszcze wyższy poziom ochrony Twoich plików i danych.
Podsumowanie
Czym jest więc szyfrowanie? Mówiąc najprościej, szyfrowanie jest jednym z najskuteczniejszych sposobów ochrony Twoich danych w świecie, gdzie są one podatne na różne zagrożenia.