Kaczyński: - Instytucje w Polsce stosują niewystarczające środki do ochrony poufnych danych

Z roku na rok rośnie liczba ataków hakerskich. Celem są różnego rodzaju dane. Jak wyglądają statystyki dotyczące tego zjawiska?
Na początek kilka faktów dotyczących najczęstszych przyczyn utraty danych w instytucjach. Zgodnie z raportem Grand Theft Data 2015, opublikowanym przez Intel Security oraz danymi Heimdal Security 43 procent przypadków utraty danych przez instytucje jest powodowanych przez jej pracowników, w tym połowa to przypadki umyślnego wyprowadzenia danych. 40 procent wszystkich wycieków było związanych z kradzieżą fizycznego medium przechowującego dane. Dokumenty Microsoft Office należały do najczęściej kradzionych formatów danych (25 procent). Dane osobowe klientów i pracowników były głównym celem ataków (62 procent). Rynkowa wartość danych osobowych znacząco przewyższa wartość danych kart kredytowych i płatniczych. 59 procent pracowników, którzy zostali zwolnieni lub odchodzą z pracy, zabiera ze sobą dane firmowe.

Powyższe jasno wskazuje, że dane instytucji wymagają odpowiedniego zabezpieczenia. W przypadku przenoszenia danych zgromadzonych na komputerach przenośnych lub dyskach wymiennych wystarczające może wydawać się zastosowanie środków ochrony kryptograficznej w postaci dedykowanych aplikacji programowych pozwalających na szyfrowanie wybranych obszarów lub całych dysków twardych oraz wykorzystywania specjalizowanych pamięci przenośnych umożliwiających szyfrowanie zawartości. Jest to o tyle istotne, że nowoczesne pamięci przenośne oferują pojemności pozwalające na łatwe przenoszenie całych baz danych organizacji, przy zachowaniu niewielkich wymiarów.

Czy zatem tego typu zabezpieczenia są wystarczające?
Zacznijmy od analizy oprogramowania szyfrującego dane na dyskach twardych. Do przykładów tego typu rozwiązań można zaliczyć między innymi TrueCrypt i jego pochodne, Microsoft BitLocker czy też McAfee Endpoint Encryption. W chwili obecnej należy przyjąć założenie, iż posiadanie dostępu fizycznego do tak zabezpieczonej maszyny może pozwolić na przejęcie klucza kryptograficznego. Zgodnie z informacjami przekazanymi przez breaknenter.org, oprogramowanie Inception pozwala na dokonywanie fizycznych operacji na pamięci komputera poprzez wykorzystanie luki w IEEE 1394 SBP-2 DMA. Oprogramowanie pozwala na podniesienie na poziom administracyjny uprawnień dowolnego użytkownika, pod warunkiem uzyskania fizycznego dostępu do uruchomionej maszyny.

Zgodnie z raportem firmy Cisco, prawie jedna trzecia pracowników pozostawia swoje komputery włączone i zalogowane, gdy opuszczają swoje miejsce pracy, prawie jedna czwarta udostępnia swoje dane uwierzytelniające swoim współpracownikom, a ponad 10 procent przechowuje loginy i hasła zapisane w notatnikach pozostawionych obok stacji roboczej. Przy tego typu zachowaniach żadne z wymienionych zabezpieczeń nie będzie skuteczne. Warto także w tym miejscu wspomnieć o rozwiązaniach kryptograficznych, których działanie jest uzależnione od usługi Active Directory (np. McAfee Endpoint Encryption itp.). Administrator takiej usługi posiada dostęp do całości danych wszystkich urządzeń wykorzystywanych w sieci firmowej. Zważając na fakt, iż 59 procent pracowników odchodzących z pracy zabiera ze sobą dane instytucji, jest to problem wymagający rozwiązania wykorzystującego zupełnie inny sposób zabezpieczeń, realizowanych nie tylko poprzez zapewnienie zaufania do pewnego kręgu osób, ale poprzez odpowiednie mechanizmy kryptograficzne.

Jakie są główne problemy związane z najpopularniejszym oprogramowaniem szyfrującym stosowanym przez instytucje finansowe w Polsce?

Jeśli chodzi o Microsoft Bitlocker: jedynie szyfrowanie lokalne plików, obsługa tylko platformy Microsoft Windows, możliwość dostępu do danych przez administratora usługi Active Directory, podatność na atak z wykorzystaniem oprogramowania Inception i podobnych, niejasne powiązania producenta oprogramowania z NSA, możliwość istnienia tylnej furtki, wykrycie wielu luk bezpieczeństwa w przeszłości, niski stopień innowacyjności zastosowanych mechanizmów kryptograficznych. W przypadku Truecrypt i pochodne: obsługa jedynie szyfrowania lokalnego plików, trudność w konfiguracji – oprogramowanie konfigurowanie jedynie lokalnie, brak obsługi pełnego szyfrowania dysków systemowych dla komputerów z UEFI, podatność na atak z wykorzystaniem oprogramowania Inception i podobnych, niski stopień innowacyjności zastosowanych mechanizmów kryptograficznych. I jeszcze McAfee Endpoint Encryption / McAfee Complete Data Protection: szyfrowanie oparte o Microsoft Bitlocker, obsługa uwierzytelniania użytkowników z wykorzystaniem usługi Active Directory, możliwość dostępu do danych przez administratora usługi Active Directory, brak natywnej integracji z usługami przechowywania danych w chmurze, brak obsługi systemów z rodziny Linux, niski stopień innowacyjności zastosowanych mechanizmów kryptograficznych.

Przejdźmy do kolejnego problemu – bezpiecznego przekazywania plików wewnątrz organizacji. Jak już wskazano w raporcie Intel Security, 43 procent przypadków utraty danych wynika z działania pracowników instytucji. Powyższe wynika po części ze stosowania pamięci przenośnych takich jak pendrive USB do przekazywania dokumentów pomiędzy współpracownikami. W przypadku pamięci niezabezpieczonych kryptograficznie – każde jej zagubienie to możliwa katastrofa.

Czy zatem pamięci z wbudowanymi zabezpieczeniami sprzętowymi są remedium na te problemy?
Niestety, nie zawsze. Zgodnie z informacjami udostępnionymi przez Bruce’a Schneiera, światowej klasy specjalisty w zakresie bezpieczeństwa informacji, urządzenia producentów takich jak Kingston, SanDisk czy Verbatim posiadające certyfikat spełnienia normy FIPS 140-2 Poziom 2 nie gwarantują bezpieczeństwa przechowywanych danych. Okazuje się zatem, iż oprogramowanie dołączone do urządzenia, po dokonaniu uwierzytelniania użytkownika i dokonaniu wszystkich niezbędnych operacji kryptograficznych, przesyła do urządzenia zawsze taki sam łańcuch znaków, wskazujący na dokonanie poprawnego uwierzytelnienia. Złamanie zabezpieczeń tego typu urządzeń wymaga zatem jedynie przesłania do urządzenia właśnie takiego łańcucha znaków, co jest możliwe do osiągnięcia poprzez wykorzystanie odpowiednio spreparowanego urządzenia. Nasuwa się zatem pytanie, jak to możliwe, skoro urządzenie posiada certyfikację FIPS? Niestety, certyfikacja ta oznacza jedynie, że w urządzeniu zastosowane zostały odpowiedniej klasy algorytmy kryptograficzne (AES-256) oraz wprowadzono kilka mechanizmów ochrony przed manipulacjami i ich ewidencjonowania. Problem ten dotyczy nie tylko FIPS 140, ale także innych standardów bezpieczeństwa. Niestety działy marketingu producentów takich urządzeń starają się te informacje skrzętnie ukrywać.

Przenoszenie danych na pamięciach zewnętrznych niesie ryzyko zagubienia, z komputerów przenośnych można wydobyć klucze kryptograficzne. Jak zatem należy chronić dane, jednocześnie nie paraliżując pracy organizacji?
Należy wykorzystywać nowsze, lepiej dopasowane do obecnej specyfiki pracy rozwiązania, eliminujące wykorzystywanie urządzeń USB i konieczność posiadania pełnego zaufania do administratorów IT. Dobrą alternatywą dla bezpiecznej wymiany danych i dokumentów, przy okazji ułatwiającą wzajemną komunikację, może być wykorzystanie usług chmurowych. Naturalnie powinny być to usługi zapewniające wysoki poziom bezpieczeństwa danych, więc produkty takie jak Google Drive, iCloud, OneDrive czy Dropbox, ze względu na zupełny brak, bądź niski poziom zabezpieczeń kryptograficznych należy zupełnie pomijać. Istotne jest przede wszystkim, aby zastosowane w rozwiązaniu chmurowym zabezpieczenia wykluczały możliwość dostępu usługodawcy do zgromadzonych danych, jednocześnie minimalizując ryzyko nieautoryzowanego wycieku danych w przypadku przejęcia kontroli nad komputerem w organizacji. Istotne jest także zabezpieczenie danych przed ich przesłaniem przez sieć, zapewniając tym samym zachowanie zasady end-to-end encryption. Naturalnie, niezbędnym dodatkiem dla tego typu rozwiązania powinna być możliwość lokalnego szyfrowania plików oraz możliwość kierunkowego udostępniania wybranych dokumentów.

Odpowiadając na tytułowe pytania – czy obecne zabezpieczenia są wystarczające do zapewnienia poufności danych? W wielu zastosowaniach, tak. Niestety nie przewidują rozwoju organizacji i wzmożonego przepływu w nich danych, są zbyt rozproszone, realizując jedynie niewielki podzbiór funkcjonalności i co być może najbardziej istotne wymagają pełnego zaufania do wszystkich współpracowników.