18 . 10 . 2019
Bezpieczeństwo Bezpieczeństwo Dropboxa – co powinna wiedzieć Twoja firma?
18 . 10 . 2019
Dropbox ułatwia współpracę na dokumentach i ich udostępnianie, ale czy jest to sposób wystarczająco bezpieczny, by nasza firma mogła przetwarzać z jego pomocą poufne informacje? Pokazujemy, na co warto zwrócić uwagę przed podjęciem decyzji o wrzuceniu swoich danych na dropboxową chmurę.
Rok 2012 był pechowy dla Drew Houstona i Arasha Ferdowsi, założycieli Dropboxa. Pięć lat po uruchomieniu startupu, w momencie przełomowym dla wielu przedsiębiorców, z serwerów rosnącego giganta wykradziono dane ponad 68 milionów użytkowników – dwóch trzecich spośród wszystkich zarejestrowanych. Cios był bolesny, a płynąca z niego lekcja do dzisiaj każe wielu osobom pytać, jak to właściwie jest z bezpieczeństwem Dropboxa. O sprawie zrobiło się naprawdę głośno jednak dopiero w 2016, gdy skradziona baza danych została odkryta przez serwis Leakbase i okazało się, że odszyfrowane przez hakerów dane części użytkowników można było kupić w internecie. Przyparty do muru Dropbox wyjawił wówczas rzeczywistą skalę szkód (zginęły pełne dane logowania do kont wielu użytkowników), narażając się na zmasowaną krytykę ze strony klientów, jak również roszczenia odszkodowawcze. Zadano sobie również pytanie, jak to możliwe, że przestępcy w ogóle byli w stanie włamać się na jeden z najpopularniejszych serwisów do cloud-storingu.
"Techniczne" bezpieczeństwo Dropboxa - przekleństwo popularności
Wydaje się, że nawet najwięksi dostawcy usług sieciowych, w tym również dla firm, nie są dzisiaj wolni od niebezpieczeństw. Przypomnijmy, że największy wyciek danych w historii – z Yahoo w 2013/14 roku – objął 3,5 miliarda (!) rekordów, zostawiając „wynik” Dropboxa daleko w tyle. Czy firmy powinny zacząć się przyzwyczajać do tego, że ich dane nigdy nie będą w pełni bezpieczne w chmurze? To zależy. Od czasu feralnego wypadku Dropbox zrobił wiele, by zapobiec wystąpieniu podobnej sytuacji i poprawić nadszarpnięty wizerunek. Warto przyjrzeć się, jak dziś wygląda bezpieczeństwo Dropboxa i stosowane przez niego zabezpieczenia, i czy opłaca się prowadzić wrażliwe działania biznesowe w popularnej chmurze.
Zacznijmy od tego, że jako jeden z czołowych dostawców przestrzeni dyskowej Dropbox pozostaje w grupie wysokiego ryzyka. Oznacza to, że przechowywanymi na serwerach danymi firmowymi mogą zainteresować się nie tylko hakerzy, ale potencjalnie także nieuczciwi pracownicy oraz, co niezwykle istotne, instytucje zewnętrzne. Wartościowe dane przedsiębiorstwa mogą stanowić cenny łup dla każdej z tych grup. W jaki sposób dane mogłyby dostać się w niepowołane ręce? Żeby lepiej zrozumieć logikę działania potencjalnych nieproszonych gości, najpierw musimy wziąć pod lupę sam sposób działania Dropboxa.
Przesyłanie danych w Dropbox odbywa się według następującego schematu:
- Aplikacja na urządzeniu użytkownika dzieli wysyłany plik na bloki, a każdy z nich szyfruje algorytmem 256-bitowym (AES). Jedynie użytkownik (aplikacja) oraz serwer posiadają klucze deszyfrujące.
- Pliki przesyłane są z aplikacji na serwer za pomocą chronionego połączenia w standardzie SSL/TLS i 128-bitowym szyfrowania. Uniemożliwia to przechwycenie wysyłanych danych. Nawet jeśli ktoś zdoła je przejąć (np. wykonując tzw. Man-In-The-Middle Attack, czyli podszywając się pod serwer/aplikację), plików nie będzie można odczytać, gdyż zostały one uprzednio zaszyfrowane przez aplikację, a klucz przechowywany jest w bazie Dropboxa.
- Plik dociera na serwer, gdzie zostaje odszyfrowany między innymi w celu katalogowania i ponownie zaszyfrowany.
- Droga powrotna do aplikacji użytkownika ponownie chroniona jest z pomocą połączenia SSL/TLS.
W praktyce jest to wysokiej klasy zabezpieczenie. Jeśli – co raczej pewne, ale nie możemy tego całkowicie wykluczyć – nie mamy do czynienia z nieuczciwym pracownikiem Dropboxa, który teoretycznie dostęp do naszych danych posiada, przestępca musiałby w jakiś sposób przechwycić klucz szyfrujący lub uzyskać dostęp do konta pracowniczego czy bazy kluczy, by być w stanie odczytać zaszyfrowany plik. To również jest to mało prawdopodobne, ale nie niemożliwe. Dość powiedzieć, że niesławny atak z 2013 roku bazował właśnie na włamaniu na konto pracownika, który, o zgrozo, używał tego samego hasła logowania również w innych miejscach w internecie, a przestępcy zdołali je odgadnąć. Takie ataki nie zdarzają się jednak codziennie, a świadomość istnienia phishingu jest stale nagłaśniana. Można więc przyjąć, że od strony technologicznej pliki na Dropboksie są bezpieczne. Z tym zastrzeżeniem, że ze względu na przeznaczenie Dropboxa, a więc przechowywanie i dzielenie się informacjami niekrytycznymi, serwis nie posiada funkcji kluczowych dla dedykowanych rozwiązań, które dbają o kompleksowe bezpieczeństwo niejawnych informacji. Dla przykładu, nawet jeśli Dropbox daje możliwość zablokowania modyfikacji dokumentów, poufne pliki można nadal ściągać i modyfikować na sprzęcie użytkownika, a następnie załadować na serwer. Więcej o różnicach w podejściu do kwestii bezpieczeństwa ze względu na przeznaczenie Dropboxa piszemy w artykule „Bezpieczna alternatywa dla Dropboxa do Due Diligence”.
Bezpieczeństwo Dropboxa kontra amerykańskie przepisy prawa
Jeśli wiec przyjmiemy, że technicznie ciężko o włamanie na Dropboxa przy zachowaniu dobrych praktyk użytkownika, wciąż pozostaje kwestia polityki prywatności i współpracy Dropboxa z instytucjami rządowymi w zakresie udostępniania danych klientów, która jest jednym z najbardziej debatowanych problemów. To głównie z tego względu Dropbox nie powinien służyć jako narzędzie do dzielenia się poufnymi danymi przedsiębiorstwa. Nawet najlepsze metody szyfrowania i wewnętrzne procedury nie stoją na przeszkodzie, by w świetle prawa osoby trzecie miały dostęp do firmowych dokumentów, a powszechność użycia Dropboxa jeszcze zwiększa to ryzyko. W tym kontekście można powiedzieć, że Dropbox nie zapewnia pełnej prywatności danych przechowywanych na swoich serwerach. O ile nasza firma może sobie pozwolić na dzielenie z pomocą Dropboxa dokumentów i plików o niewielkiej wrażliwości, niewskazane jest udostępnianie i przechowywanie na nim informacji poufnych, takich jak sprawozdania finansowe, plany strategiczne, własność intelektualną i inne, nawet w przypadku korzystania z płatnej wersji Dropbox Business. Istnieje zbyt duża szansa na to, że zostaną one przekazane dalej bez naszej zgody i wiedzy. Według statystyk Dropboxa, od 2016 roku liczba wniosków o przeszukanie, nakazów i wezwań sądowych dotyczących użytkowników wzrosła ponad dwukrotnie. Zwyczajnie nie warto wystawiać tajemnic firmy na takie warunki przechowywania. Pełna poufność istniałaby tylko przy zastosowaniu metod własnego szyfrowania plików, zanim trafią one do folderu aplikacji Dropbox na urządzeniu użytkownika, co znacznie utrudniłoby codzienną pracę z systemem.
Polityka prywatności Dropboxa. Co jeszcze musimy wiedzieć?
Na stronie Dropboxa czytamy, że serwis działa w stuprocentowej zgodności z RODO (ang. GDPR). To duży plus, ale pamiętajmy, że firma Drew Houstona posiada siedzibę w USA i podlega również tamtejszym przepisom. Oznacza to, że zobligowana jest do współpracy z agencjami rządowymi Stanów Zjednoczonych, jak i spoza tego terytorium. Mimo że Dropbox w myśl polityki transparentności informuje użytkowników o wpływających wnioskach o udostępnienie ich danych, amerykański sąd często zastrzega prawo do poufności dochodzenia, co skutkuje kompletnym brakiem informacji o tym, w jakim celu instytucje te dane wykorzystują.
Popularność i technologiczne bezpieczeństwo Dropboxa są więc w pewnym sensie pułapką. Z jednej strony system posiada wysokie zabezpieczenia technologiczne, z drugiej pozostaje na celowniku hakerów i instytucji rządowych. To od firmy zależy, czy zgodzi się wystawiać swoje dane na możliwość naruszenia prywatności. Nad tym jak lepiej ochronić wrażliwe dane biznesowe w chmurze, pochylamy się w artykule „Przechowywanie danych w chmurze a bezpieczeństwo plików”.
Podobał Ci się artykuł?
Ile głów, tyle pomysłów. Właśnie dlatego każdy z nas dokłada swoją cegiełkę, by zamieszczone treści na naszym blogu były dla Ciebie atrakcyjne i niosły wartość. Odkryj źródło wiedzy i inspiracji dla Twojego biznesu z Fordata.
Chcesz wymienić się wiedzą, podyskutować, zadać pytanie?
Napisz do mnie : #FORDATAteam strona otworzy się w nowym oknie
Virtual Data Room - najbezpieczniejsze konto w chmurze!. Testuj bezpłatnie przez 14 dni
ZAŁÓŻ DARMOWE KONTO Testuj bezpłatnie przez 14 dni-
01 . Bezpieczna alternatywa dla Dropboxa do Due Diligence
„Po co mam płacić za VDR, skoro mogę użyć Dropbox”– to pytanie czasem pada z ust naszych klientów. Odpowiedź…
26.01.2024
-
02 . OneDrive kontra Google Drive? Czy mogą zastąpić VDR?
Na rynku oprogramowania dostępny jest ogrom aplikacji filesharingowych, wirtualnych dysków i narzędzi do współ…
29.12.2023
-
03 . Po co VDR w procesie Due Diligence?
Procesy fuzji i przejęć stanowią stały element świata gospodarczego. Ich celem jest osiągnięcie korzyści str…
27.05.2023
-
04 . Szyfrowanie danych w chmurze - co warto wiedzieć, zanim wybierzemy dostawcę?
Wysokiej jakości szyfrowanie danych w chmurze to nieodzowny standard dzisiejszych narzędzi. Czym jest i co nam ono gwarantuje?
22.08.2022
-
05 . Cyberbezpieczeństwo - na co powinien zwrócić uwagę przedsiębiorca?
Przedsiębiorcy patrzą dziś na pracę zdalną bez obaw, choć jeszcze w styczniu wielu nie wyobrażało s…
30.09.2020
-
06 . Czy załączniki w twoim emailu są bezpieczne?
Współczesne biuro nie potrafi funkcjonować bez poczty email. Według firmy Radicati Group, statystyczny pra…
02.03.2020
-
07 . Zaczernianie tekstu w dokumentach PDF - jak robić to dobrze?
Anonimizacja anonimizacji nierówna – może się okazać, że zaczernienie tekstu w naszym dokumencie, które na pi…
27.02.2020
-
08 . Fałszywe porównywarki Virtual Data Room – jak je rozpoznać?
Fałszywe porównywarki oprogramowania to problem również branży Virtual Data Room. Jakie cechy mówią, że serwis rankingowy to zwyczajny fejk? Sprawdźcie!
14.08.2019
-
09 . Przechowywanie danych w chmurze, a bezpieczeństwo plików
Wydaje się, że sieć już spowszedniała. Ogrom dedykowanych usług, coraz szybsze transfery i wzrastająca mobil…
31.07.2019
-
10 . Audyt Due diligence z wykorzystaniem Virtual Data Room czyli bezpieczeństwo w Twojej firmie
Każda firma wraz ze swoim rozwojem dochodzi do etapu, kiedy kontrole w postaci audytów (np. finansowych, po…
14.01.2019
-
11 . Co to jest elektroniczne repozytorium dokumentów?
Elektroniczne repozytorium dokumentów, przez niektórych zwane też e-archiwum lub scentralizowanym repozytori…
04.12.2018
-
12 . Własność intelektualna w Life Science, a ochrona poufnych informacji
Life Science jest pojęciem szerokim i w biznesie obejmuje przedsiębiorstwa, których główna działalność…
16.11.2018
-
13 . Zasady Polityki Bezpieczeństwa w FORDATA VDR
Badania przeprowadzone przez amerykańskich ekspertów z zakresu bezpieczeństwa danych i systemów komputerowych wskazują iż ponad 80% zagroż…
21.09.2018
-
14 . RODO - dlaczego warto wybrać Data Room FORDATA?
O RODO pisaliśmy już wielokrotnie. Nie bez przyczyny, korzystając z Virtual Data Room, powierzają Państwo dostawcy…
22.08.2018
-
15 . RODO – co warto sprawdzić przed wyborem Virtual Data Room?
RODO: Rozporządzenie Ogólne o Ochronie Danych Osobowych, które weszło w życie we wszystkich państwach członkowskich UE dn…
12.07.2018
-
16 . Polityka i Organizacja InfoSec, czyli jak wdrożyliśmy normę ISO 27 001 w FORDATA
Jak nasza firma skutecznie wdrożyła politykę i organizację InfoSec zgodnie z normą ISO 27001? Odkryj tajniki naszego sukcesu w zarządzaniu bezpieczeństwem informacji.
30.11.2017
-
17 . Dlaczego nie powinieneś korzystać z systemów używających Flash?
Adobe Flash Player, pomimo wielu zasług w kwestii multimediów w Internecie, zasłużył sobie również na opinię technologii przestarza…
17.11.2017
-
18 . Co to jest Virtual Data Room czyli wszystko co powinieneś wiedzieć
Co to jest Virtual Data Room? Jak korzystać z systemu, który pozwala na efektywniejsze przeprowadzenie transakcji fuzji i przejęć?
25.10.2017
-
19 . ISO 27001:2013 audyt recertyfikacji bieżącej rejestracji
Celem audytu było przeprowadzenie audytu re-certyfikacji bieżącej rejestracji. W ramach audytu zweryfikowano, czy wszystkie elementy zakresu certyfikacji oraz wszystkie obszary normy są skutecznie
20.07.2017
-
20 . Przekazujesz dane osobowe do chmury?
Zobowiązanie RODO powinniśmy mieć zawsze z tyłu głowy. Jak zadbać o jego przestrzeganie i wybrać odpowiedniego dostawcę chmury?
24.02.2017
-
21 . Gwarancja bezpieczeństwa dla klientów ISO 27001:2013
FORDATA, od momentu podjęcia swojej działalności, dąży do zagwarantowania jak najwyższej ochrony danych powierzanych przez klientów.
13.01.2017
-
22 . Standard GPG, czyli o bezpiecznym szyfrowaniu
Rozwój technologii niesie ze sobą coraz większe zagrożenia związane z bezpieczeństwem informacji. Ochrona poufnych danych przed tzw. wyciekiem dotyczy już każdej firmy, która ceni bezpieczeństwo informacji.
13.07.2016
-
23 . BYOD jako nowe wyzwanie dla działów bezpieczeństwa firm
Wykorzystywanie prywatnych urządzeń podczas wykonywania obowiązków zawodowych powoli staje się regułą, która nie dziwi. W jakim kierunku zmierzać będzie trend BYOD?
15.02.2016
-
24 . Jak pomagamy w Due Diligence? Lista dokumentów.
Transakcje M&A to procesy, w których czas ma ogromne znaczenie. Każde, nawet najmniejsze wsparcie…
10.03.2014
-
25 . Przygotowanie spółki do debiutu giełdowego
Wiele spośród dobrze prosperujących firm decyduje się pozyskać środki finansowe na dalszy rozwój na giełdzie papierów wartościowych. Gdzie szukać zainteresowanych?
07.10.2013