Bezpieczeństwo Bezpieczeństwo Dropboxa – co powinna wiedzieć Twoja firma?

Dropbox ułatwia współpracę na dokumentach i ich udostępnianie, ale czy jest to sposób wystarczająco bezpieczny, by nasza firma mogła przetwarzać z jego pomocą poufne informacje? Pokazujemy, na co warto zwrócić uwagę przed podjęciem decyzji o wrzuceniu swoich danych na dropboxową chmurę.

Rok 2012 był pechowy dla Drew Houstona i Arasha Ferdowsi, założycieli Dropboxa. Pięć lat po uruchomieniu startupu, w momencie przełomowym dla wielu przedsiębiorców, z serwerów rosnącego giganta wykradziono dane ponad 68 milionów użytkowników – dwóch trzecich spośród wszystkich zarejestrowanych. Cios był bolesny, a płynąca z niego lekcja do dzisiaj każe wielu osobom pytać, jak to właściwie jest z bezpieczeństwem Dropboxa. O sprawie zrobiło się naprawdę głośno jednak dopiero w 2016, gdy skradziona baza danych została odkryta przez serwis Leakbase i okazało się, że odszyfrowane przez hakerów dane części użytkowników można było kupić w internecie. Przyparty do muru Dropbox wyjawił wówczas rzeczywistą skalę szkód (zginęły pełne dane logowania do kont wielu użytkowników), narażając się na zmasowaną krytykę ze strony klientów, jak również roszczenia odszkodowawcze. Zadano sobie również pytanie, jak to możliwe, że przestępcy w ogóle byli w stanie włamać się na jeden z najpopularniejszych serwisów do cloud-storingu.

Wydaje się, że nawet najwięksi dostawcy usług sieciowych, w tym również dla firm, nie są dzisiaj wolni od niebezpieczeństw. Przypomnijmy, że największy wyciek danych w historii – z Yahoo w 2013/14 roku – objął 3,5 miliarda (!) rekordów, zostawiając „wynik” Dropboxa daleko w tyle. Czy firmy powinny zacząć się przyzwyczajać do tego, że ich dane nigdy nie będą w pełni bezpieczne w chmurze? To zależy. Od czasu feralnego wypadku Dropbox zrobił wiele, by zapobiec wystąpieniu podobnej sytuacji i poprawić nadszarpnięty wizerunek. Warto przyjrzeć się, jak dziś wygląda bezpieczeństwo Dropboxa i stosowane przez niego zabezpieczenia, i czy opłaca się prowadzić wrażliwe działania biznesowe w popularnej chmurze.

Zacznijmy od tego, że jako jeden z czołowych dostawców przestrzeni dyskowej Dropbox pozostaje w grupie wysokiego ryzyka. Oznacza to, że przechowywanymi na serwerach danymi firmowymi mogą zainteresować się nie tylko hakerzy, ale potencjalnie także nieuczciwi pracownicy oraz, co niezwykle istotne, instytucje zewnętrzne. Wartościowe dane przedsiębiorstwa mogą stanowić cenny łup dla każdej z tych grup. W jaki sposób dane mogłyby dostać się w niepowołane ręce? Żeby lepiej zrozumieć logikę działania potencjalnych nieproszonych gości, najpierw musimy wziąć pod lupę sam sposób działania Dropboxa.

• Aplikacja na urządzeniu użytkownika dzieli wysyłany plik na bloki, a każdy z nich szyfruje algorytmem 256-bitowym (AES). Jedynie użytkownik (aplikacja) oraz serwer posiadają klucze deszyfrujące.
• Pliki przesyłane są z aplikacji na serwer za pomocą chronionego połączenia w standardzie SSL/TLS i 128-bitowym szyfrowania. Uniemożliwia to przechwycenie wysyłanych danych. Nawet jeśli ktoś zdoła je przejąć (np. wykonując tzw. Man-In-The-Middle Attack, czyli podszywając się pod serwer/aplikację), plików nie będzie można odczytać, gdyż zostały one uprzednio zaszyfrowane przez aplikację, a klucz przechowywany jest w bazie Dropboxa.
• Plik dociera na serwer, gdzie zostaje odszyfrowany między innymi w celu katalogowania i ponownie zaszyfrowany.
• Droga powrotna do aplikacji użytkownika ponownie chroniona jest z pomocą połączenia SSL/TLS.

W praktyce jest to wysokiej klasy zabezpieczenie. Jeśli – co raczej pewne, ale nie możemy tego całkowicie wykluczyć – nie mamy do czynienia z nieuczciwym pracownikiem Dropboxa, który teoretycznie dostęp do naszych danych posiada, przestępca musiałby w jakiś sposób przechwycić klucz szyfrujący lub uzyskać dostęp do konta pracowniczego czy bazy kluczy, by być w stanie odczytać zaszyfrowany plik. To również jest to mało prawdopodobne, ale nie niemożliwe. Dość powiedzieć, że niesławny atak z 2013 roku bazował właśnie na włamaniu na konto pracownika, który, o zgrozo, używał tego samego hasła logowania również w innych miejscach w internecie, a przestępcy zdołali je odgadnąć. Takie ataki nie zdarzają się jednak codziennie, a świadomość istnienia phishingu jest stale nagłaśniana. Można więc przyjąć, że od strony technologicznej pliki na Dropboksie są bezpieczne. Z tym zastrzeżeniem, że ze względu na przeznaczenie Dropboxa, a więc przechowywanie i dzielenie się informacjami niekrytycznymi, serwis nie posiada funkcji kluczowych dla dedykowanych rozwiązań, które dbają o kompleksowe bezpieczeństwo niejawnych informacji. Dla przykładu, nawet jeśli Dropbox daje możliwość zablokowania modyfikacji dokumentów, poufne pliki można nadal ściągać i modyfikować na sprzęcie użytkownika, a następnie załadować na serwer. Więcej o różnicach w podejściu do kwestii bezpieczeństwa ze względu na przeznaczenie Dropboxa piszemy w artykule „Bezpieczna alternatywa dla Dropboxa do Due Diligence”.

Jeśli wiec przyjmiemy, że technicznie ciężko o włamanie na Dropboxa przy zachowaniu dobrych praktyk użytkownika, wciąż pozostaje kwestia polityki prywatności i współpracy Dropboxa z instytucjami rządowymi w zakresie udostępniania danych klientów, która jest jednym z najbardziej debatowanych problemów. To głównie z tego względu Dropbox nie powinien służyć jako narzędzie do dzielenia się poufnymi danymi przedsiębiorstwa. Nawet najlepsze metody szyfrowania i wewnętrzne procedury nie stoją na przeszkodzie, by w świetle prawa osoby trzecie miały dostęp do firmowych dokumentów, a powszechność użycia Dropboxa jeszcze zwiększa to ryzyko. W tym kontekście można powiedzieć, że Dropbox nie zapewnia pełnej prywatności danych przechowywanych na swoich serwerach. O ile nasza firma może sobie pozwolić na dzielenie z pomocą Dropboxa dokumentów i plików o niewielkiej wrażliwości, niewskazane jest udostępnianie i przechowywanie na nim informacji poufnych, takich jak sprawozdania finansowe, plany strategiczne, własność intelektualną i inne, nawet w przypadku korzystania z płatnej wersji Dropbox Business. Istnieje zbyt duża szansa na to, że zostaną one przekazane dalej bez naszej zgody i wiedzy. Według statystyk Dropboxa, od 2016 roku liczba wniosków o przeszukanie, nakazów i wezwań sądowych dotyczących użytkowników wzrosła ponad dwukrotnie. Zwyczajnie nie warto wystawiać tajemnic firmy na takie warunki przechowywania. Pełna poufność istniałaby tylko przy zastosowaniu metod własnego szyfrowania plików, zanim trafią one do folderu aplikacji Dropbox na urządzeniu użytkownika, co znacznie utrudniłoby codzienną pracę z systemem.

Na stronie Dropboxa czytamy, że serwis działa w stuprocentowej zgodności z RODO (ang. GDPR). To duży plus, ale pamiętajmy, że firma Drew Houstona posiada siedzibę w USA i podlega również tamtejszym przepisom. Oznacza to, że zobligowana jest do współpracy z agencjami rządowymi Stanów Zjednoczonych, jak i spoza tego terytorium. Mimo że Dropbox w myśl polityki transparentności informuje użytkowników o wpływających wnioskach o udostępnienie ich danych, amerykański sąd często zastrzega prawo do poufności dochodzenia, co skutkuje kompletnym brakiem informacji o tym, w jakim celu instytucje te dane wykorzystują.

Popularność i technologiczne bezpieczeństwo Dropboxa są więc w pewnym sensie pułapką. Z jednej strony system posiada wysokie zabezpieczenia technologiczne, z drugiej pozostaje na celowniku hakerów i instytucji rządowych. To od firmy zależy, czy zgodzi się wystawiać swoje dane na możliwość naruszenia prywatności. Nad tym jak lepiej ochronić wrażliwe dane biznesowe w chmurze, pochylamy się w artykule „Przechowywanie danych w chmurze a bezpieczeństwo plików”.