Обложка статьи «Какие рабочие данные нужно шифровать и как правильно это делать — подробное руководство»

Какие рабочие данные нужно шифровать и как правильно это делать — подробное руководство

Алексей Костюшко

Алексей Костюшко, ведущий разработчик в Kernel Team Acronis

Перед службами ИТ и ИБ всё чаще ставят задачу повысить уровень защищённости данных на рабочих местах. И, естественно, в основном уровень приватности увеличивают с помощью криптографии. Но если перемудрить в этом вопросе и не продумать механизм хранения паролей, на практике шифрование может оказаться бесполезным, а то и наоборот — переплюнуть все внешние угрозы, надёжно спрятав файлы от самого пользователя.

По данным Acronis, количество атак программ вымогателей-шифровальщиков (Ransomware) в прошлом году выросло до 200 миллионов, а Cybersecurity Ventures предсказывает, что к 2021 году бизнес будет подвергаться атакам каждые каждые 11 секунд. Но само по себе повсеместное шифрование не даёт ожидаемых результатов. Просто зашифровав что-то, мы не гарантируем увеличения защищённости. Напротив, распространение программ вымогателей-шифровальщиков (Ransomware) говорит о том, что шифрование может обернуться очень неприятной стороной. Ведь в сущности, чем отличается атака шифровальщика от потерянного пароля криптосервиса?

Чтобы от шифрования был толк, необходимо чётко понимать, какие ресурсы нужно защищать криптографически и как именно организовать работу со средствами шифрования.

Что шифровать? Как шифровать?

Это первый вопрос, который нужно задать себе при внедрении шифрования. На практике криптография легко применяется только на уровне готовых продуктов и решений. Например, при облачном резервном копировании мы шифруем данные на компьютере пользователя, а информацию передаём по зашифрованному каналу. Но для того чтобы гарантировать защиту данных в процессе работы с ними, необходимо настроить шифрование отдельных категорий информации.

Файлы и папки — сквозное шифрование

Защиту файлов и папок можно обеспечить за счёт сквозного шифрования. Для этого существуют специальные утилиты, которые обеспечивают непрерывное шифрование выбранных объектов. Таких решений сегодня достаточно много. Например, можно воспользоваться популярной утилитой Boxcrypt, которая шифрует любые объекты, независимо от их местоположения. Зашифровать можно даже файлы, находящиеся на облачных дисках (Google Drive, OneDrive и т. д.). При таком подходе никто не сможет прочитать содержимое файлов, если на компьютере не запущено соответствующее приложение, а в нём — не введён секретный ключ. Соответственно от копирования или кражи файлов не будет никакого толку, потому что злоумышленник просто не сможет открыть их без вашего пароля.

Зашифрованный диск

Для тех, кто работает с большими массивами данных, которые необходимо защищать от посторонних глаз, подходит технология шифрования целого диска. Для этого можно использовать такие программы, как PGPDisk, либо настроить шифрование на уровне операционной системы. Например, если раздел отформатирован в EFS, операционная система Windows позволяет зашифровать содержимое диска даже без сторонних утилит.

Шифрование на уровне виртуальной машины

Для тех случаев, когда возникает необходимость обеспечить максимальную защиту документов, лучше всего работать с ними через виртуальную машину с зашифрованным диском. Например, бухгалтерам, работающим с 1C или другой программой со служебной информацией, лучше всего подойдёт изолированная среда. С другой стороны, сотруднику нужен доступ к интернету, чтобы проверять почту, сверяться с текстами законов, общаться с коллегами и т. п.

В таком случае можно создать ВМ без доступа к интернету и получить полностью закрытое пространство для конфиденциальных данных. Плюс такого подхода заключается в том, что диск виртуальной машины выглядит извне как один зашифрованный файл, поэтому данные будут надёжно защищены от различного вредоносного ПО и посторонних глаз.

Электронная почта и переписка

Учитывая, что мы постоянно пересылаем друг другу документацию, практически у всех пользователей в электронной почте можно найти самую разную информацию — от персональных данных и сканов документов до проектов будущих договоров. В почтовом архиве, который годами хранится на компьютере или на сервере, может находиться не один важный документ. Так что даже для домашнего пользователя взлом почтового архива и кража данных может привести к внезапному оформлению кредита в микрофинансовой организации, о котором вы и не подозревали.

Выгружать с почтовых серверов архивы достаточно хлопотно. Поэтому гораздо популярнее оказываются утилиты, шифрующие отдельные папки на почтовых сервисах. Самый простой способ — включить шифрование архивных сообщений и настроить архивацию, скажем, через две недели или через месяц. Конечно, облачные сервисы email применяют шифрование для защиты данных, но, увы, почтовые ящики обычно взламываются за счёт кражи или подбора пароля. Поэтому для шифрования отдельных папок лучше использовать отдельные утилиты со своими ключами и паролями.

Если основной почтовый клиент — локальный (то есть письма загружаются с сервера и хранятся на компьютере), можно использовать инструменты для локального шифрования писем. А в случае если письма загружаются по протоколу IMAP, вполне можно автоматически организовать шифрование и повторную загрузку писем на сервер. Однако мало кто из пользователей сможет сделать это самостоятельно, и администраторам потребуется настраивать и поддерживать эту экосистему своими силами.

При этом очевидно, что облачные провайдеры не дают никакой приватности. Все они «читают» переписку в автоматическом режиме, радуя нас обилием релевантной контекстной рекламы. И если вы не хотите, чтобы кто-то «подглядывал» за вашей перепиской, можно вести обмен сообщениями в уже зашифрованном виде. Для такого уровня приватности подходят программы типа PGPmail. Но не стоит злоупотребять этой практикой, так как она способна вызывать повышенное внимание со стороны контролирующих органов. К тому же поставщики бесплатных email-сервисов могут отказать в обслуживании тем, кто шифрует свою переписку. Так что, возможно, вместе с утилитой для шифрования потребуется и платный почтовый сервис.

Платежи и транзакции

С точки зрения злоумышленников, самая интересная и ценная информация — это данные ваших банковских карт, реквизиты доступа в интернет-банк и коды подтверждения оплаты. Чтобы избежать досадных инцидентов с финансовыми активами, лучше всего использовать такой простой метод защиты, как виртуальная карта для платежей в сети.

Однако и на компьютере можно создать защищённые условия для проведения платежей. Для этого достаточно запустить виртуальную машину (на этот раз уже с доступом в интернет) с зашифрованным диском и без лишнего ПО, чтобы минимизировать риски компрометации вашей финансовой информации.

Стоит помнить, что проблема изоляции приложений на мобильных устройствах под Android пока ещё не имеет универсального системного решения. То есть банковские мобильные приложения работают практически в одной и той же среде со всеми другими утилитами. Поэтому использование двухфакторной аутентификации не даёт гарантий безопасности. Ведь если устройство было поражено вирусом или украдено злоумышленником, он сможет получить доступ и в интернет-банк и ввести проверочный код из пришедшей на устройство SMS. Поэтому для счетов, на которых хранятся действительно серьёзные суммы, лучше не проводить платежи онлайн и не устанавливать мобильные приложения.

Главное — ключи и пароли!

Подход пользователя: один пароль для всех учётных записей и стикеры на рабочем столе

Давайте обсудим самый важный вопрос: как помочь пользователю запоминать пароли от всех этих сервисов и криптографических утилит? Считается, что ввод ограничений на состав пароля решает проблему безопасности, и администраторы стремятся сделать пароли длинными, содержащими и буквы, и цифры, и символы, а также исключить из них реальные слова, которые можно найти в словарях, а также требуют менять их, скажем, каждые три месяца. Но кто сможет в реальности запомнить несколько каламбуров из десятка не связанных между собой символов?

Пользователи всегда борются против сложностей, которые мешают им работать. Поэтому на рабочих местах появляются жёлтенькие стикеры с теми самыми сложными паролями, а в доступной и незащищённой электронной почте оказываются все ключи шифрования, которые человек просто не хочет и не может запомнить.

Если же предоставить пользователю право самостоятельно устанавливать пароли на разные сервисы (а это неизбежно происходит, если речь идёт не о корпоративных учётных записях), то в большинстве случаев люди устанавливают вариации одного и того же пароля в разных системах. Например, это может быть PASSWORDgmail, PASSWORDfacebook, PASSWORDyandex и так далее. А после регистрации на каком-то сомнительном ресурсе с паролем PASSWORDroga-i-kopita все пароли могут быть легко взломаны злоумышленниками.

С другой стороны, шифрование только подливает масла в огонь. Ведь при утере ключа шифрования вы также теряете доступ ко всем зашифрованным данным. А если ключ хранится в электронной почте, то риск его кражи сводит на нет все плюсы шифрования. И здесь обращаться в службу поддержки бесполезно. Стойкие криптографические алгоритмы не позволят вам получить доступ к своим же данным.

Решение проблемы — программы для хранения паролей

Хорошим решением могут стать программы для хранения паролей. Например, вы можете предложить пользователям установить dashlane, sticky password или любую другую утилиту-менеджер паролей, защитив их одной фразой. Очень важно, что здесь речь идёт не про мастер-пароль, который открывает доступ ко всем вашим учётным записям, а именно про фразу, которая должна быть достаточно длинной и известной только вам. Утилита просто хранит файл с паролями и ключами доступа в зашифрованном виде, а секретная фраза при помощи различных алгоритмов позволяет получить ключ расшифровки.

Последний штрих этой концепции безопасности — защита зашифрованного файла с паролями, потерять который нельзя ни в коем случае. Поэтому для утилит данного типа всегда настраивают автоматизированные алгоритмы резервного копирования в облако. Даже при полной утрате устройства, вы сможете в любой момент восстановить файл и снова получить доступ ко всем своим хранилищам, учётным записям и сервисам. Инкрементальное обновление данных в современном ПО для резервного копирования позволяет загружать обновление файла с паролями на сервер сразу после добавления новых учётных записей и гарантировать сохранность и конфиденциальность вашего доступа ко всем категориям данных, которые вы решили защитить паролем — от файлов и электронной почты до корпоративных сервисов и скрытых виртуальных машин.

Заключение

Чтобы от шифрования действительно был толк, нужно продумать систему так, чтобы пользователям было удобно с ней работать. Поэтому конкретные криптографические утилиты для защиты почты или файлов необходимо дополнять надёжными менеджерами паролей, а также средствами облачного резервного копирования, чтобы не потерять всю информацию. Если сотрудникам будет понятно, как все это использовать, а шифрование будет происходить прозрачно и без технических сложностей, тогда криптографическая защита информации действительно будет работоспособной.

Не смешно? А здесь смешно: @ithumor