22 . 08 . 2022
Bezpieczeństwo Szyfrowanie danych w chmurze - co warto wiedzieć, zanim wybierzemy dostawcę?
22 . 08 . 2022
Z praktycznego punktu widzenia wszystkie popularne obecnie narzędzia oparte na chmurze są bezpiecznie szyfrowane. W gruncie rzeczy oznacza to, że problemem szyfrowania danych martwić się nie musimy, o ile potwierdzenia standardu bezpieczeństwa zabezpieczeń chmurowych nie wymagają od nas regulacje, klienci, partnerzy biznesowi czy też bank. W każdej “typowej” sytuacji możemy więc uwierzyć dostawcom na słowo. Nie oznacza to bynajmniej, że tematem szyfrowania nie warto się głębiej zainteresować.
Standardy bezpieczeństwa oferowane dziś przez usługi chmurowe – dyski, narzędzia do kolaboracji na dokumentach, edytory grafiki, gry wideo itd., zwłaszcza te, które wymagają od nas logowania i mają w ofercie płatną subskrypcję – są wysokie i stale monitorowane. Specjaliści czuwają za nas.
W praktyce “typowy” użytkownik nie ma się więc o co martwić. Dawno minęły czasy, kiedy aplikacja (dawniej nazywana programem) budziła zaufanie wyłącznie wtedy, kiedy można ją było zainstalować lokalnie na komputerze i używać “normalnie”, to znaczy offline. Upowszechnienie się szybkiego internetu znacznie wpłynęło na tę zmianę. W międzyczasie zwiększyła się także świadomość cyberzagrożeń. No i wyśrubowano normy, które mają za zadanie chronić rzesze użytkowników w internetowym środowisku. Szyfrowanie danych w chmurze algorytmem 256-bitowym, tym “najsłabszym” z niezatapialnych poprzez atak brute-force, dzisiaj już nikogo nie zaskakuje. To raczej jego nieobecność może wzbudzać zainteresowanie użytkowników.
Internet stał się jednak niezbędny na tyle, że pozostawienie fundamentalnych zasad jego funkcjonowania specjalistom i skupienie się wyłącznie na UX jest trochę jak czytanie drukowanej prasy bez świadomości dokonań Gutenberga. Podstawową wiedzę o technicznej stronie internetu warto więc zdobywać, nawet jeżeli sami nie zamierzamy konstruować współczesnych, bo cyfrowych, narzędzi w służbie masowej komunikacji.
Szyfrowanie danych w chmurze - lokalnie czy zewnętrznie?
Zacznijmy od definicji. Szyfrowanie danych w chmurze ma na celu zapewnienie, że informacja, którą wysyłamy i otrzymujemy, nie zostanie przeczytana, zmodyfikowana czy usunięta w sposób nieautoryzowany. Opierając się na najprostszym modelu działania tego mechanizmu można wyjaśnić to w ten sposób, że stworzona przez nas oryginalna porcja danych z pomocą kryptografii zostaje najpierw zaszyfrowana poprzez odpowiednio silny algorytm oraz klucz szyfrujący, a następnie przesłana i odszyfrowana przez uprawnionego odbiorcę za pomocą klucza deszyfrującego, który znajduje się w jego posiadaniu, wracając tym samym do swojej oryginalnej, czytelnej postaci.
O istnieniu takich kluczy użytkownik najczęściej nie wie. Wystarczy, że zaloguje się do systemu jako uprawniony użytkownik, a proces szyfrowania wewnętrznej komunikacji rozpocznie się samoczynnie. Proces szyfrowania/deszyfrowania różni się w zależności od tego, czy do komunikacji lub pracy używamy klienta instalowanego lokalnie, np. rozszerzenia do przeglądarki lub aplikacji, czy też działamy bezpośrednio w chmurze (bezwtyczkowo).
W pierwszym przypadku dane logowania, na przykład hasło, mogą ale nie muszą być przechowywane lokalnie (a ich użycie następnie potwierdzane dwuskładnikowo, np. przez sms). Po zalogowaniu się użytkownika aplikacja lokalna nawiązuje szyfrowane połączenie z serwerem lub szyfruje dane lokalnie, a następnie porcje takich zakodowanych danych wysyła na serwer i dostarcza do odbiorcy, który z kolei może odkodować informacje lokalnie.
W drugim przypadku całość szyfrowania i deszyfrowania odbywa się natomiast na serwerze dostawcy. Użytkownicy działają wyłącznie na poziomie chronionego interfejsu, który nie jest dostępny lub nie może zostać obsłużony offline.
Oba rozwiązania mają oczywiście swoje mocne i słabe strony. Zaletą rozwiązań bezwtyczkowych jest całkowite odciążenie użytkownika z konieczności dbania o bezpieczeństwo systemu – poza hasłem i dostępem do urządzenia, wszak może ono zostać przejęte łatwiej niż stale nadzorowany serwer dostawcy. Zaletą aplikacji lokalnych jest z kolei wyłączność posiadania kluczy szyfrujących przez użytkownika. Te w teorii nie powinny znajdować się na tej samej instancji, co dane, a więc w chmurze dostawcy. Bezpieczniej będzie zatem przechowywać klucz na własnym urządzeniu. Zdarzają się wszak, niestety, nieuczciwi administratorzy, którzy na takim ułatwieniu mogą skorzystać.
Ale dlaczego takie czy inne metody szyfrowania, mimo plusów i minusów, są tak istotne? Odpowiedź brzmi: bo są skuteczne. Szyfrowanie danych w chmurze z pomocą sprawdzonych protokołów (IPsec, TLS i innych) to praktyka szeroko uznana, a regulatorzy wymagają jej stosowania np. wobec podmiotów nadzorowanych oraz wszędzie tam, gdzie ujawnienie danych może mieć negatywny wpływ na bezpieczeństwo gospodarcze i państwowe. Szyfrowanie wynika z zaleceń rozporządzenia KNF, RODO i innych przepisów.
Co właściwie daje nam szyfrowanie, czyli w obronie integralności
Przejdźmy do małego spojlera. W jednym z odcinków przebojowego serialu AMC “Better Call Saul” tytułowy Saul – prawnik o wątpliwej renomie i dość elastycznym podejściu do zagadnienia praworządności – usiłuje skompromitować swojego starszego brata, wziętego prawnika, który z pobudek etycznych staje na drodze jego zawodowego (i społecznego) awansu. Saul wykrada więc papierowe (sic!) dokumenty zebrane w prowadzonej przez brata sprawie, po czym dokonuje na nich, dosłownie, drobiazgowej operacji skalpelem: zmienia kolejność cyfr w dacie głównego wniosku, wykonuje wysokiej jakości kserokopie, które zacierają ślady cięć, a następnie podkłada fałszywki w miejsce oryginałów. Efektem jest formalne odrzucenie sprawy przez jurysdykcję i strata dla klienta. Podstęp nie wychodzi na światło dzienne, za to “wpadka” kładzie się cieniem na karierze brata. Saul skutecznie ingeruje w integralność danych.
Ten telewizyjny przykład idealnie objaśnia znaczenie integralności, która obok poufności i dostępności stanowi element tak zwanej triady CIA (od ang. confidentiality, integrity, availability) i jest kluczową składową zagadnienia bezpieczeństwa danych. Historia Saula jest w obecnych warunkach zupełnie nieprawdopodobna, jednak można wyobrazić sobie sytuację, w której dane medyczne pacjenta zostają spisane elektronicznie i umieszczone w chmurze pozbawionej szyfrowania. Sprawny haker jest w stanie dostać się do takiej chmury, zmodyfikować kluczowy fragment dokumentacji – na przykład zmienić postawioną diagnozę, a następnie niemal bez śladu opuścić serwer.
Dbanie o integralność, a więc zapewnienie, że wszelkie zapisane w pliku lub przesyłane online dane nie zostaną w żaden sposób zmodyfikowane przez nieuprawnione osoby, jest wieć jedną z głównych funkcji szyfrowania.
Nic więc dziwnego, że integralność stanowi tak dużą wartość dla podmiotów regulujących. W świecie umów, wytycznych, rozporządzeń (i wielkich inwestycji) niezmienność raz udostępnionego dokumentu staje się absolutnie kluczowa dla dobrostanu transakcji, branży i gospodarki. No i reputacji.
Szyfrowanie w locie i w spoczynku - czym się różni?
To, co dzieje się z danymi w trakcie szyfrowania opisują dwa podstawowe procesy służące do ich ochrony. Szyfrowanie w chmurze danych pozostających w spoczynku (data at rest) dotyczy plików zapisanych na serwerze/kliencie, które aktualnie nie są przesyłane w sieci lub pomiędzy klientem a serwerem. Z kolei szyfrowanie danych w locie (data in transit) dotyczy momentu komunikacji czy też przesyłu danych w sieci lub pomiędzy klientem a serwerem. W zależności od modelu działania chmury, dane w spoczynku mogą być przechowywane w wydzielonej, szyfrowanej przestrzeni dysku wirtualnego, na dysku lokalnym lub tworzyć obiekty. W drugim przypadku siłą rzeczy ochroną objęty jest szerszy zakres komponentów, np. API (czyli lokalny składnik platformy pozwalający na korzystanie z niej online), połączenie sieciowe, instancja chmurowa czy same dysk fizyczny dostawcy. Istnieje tu więc, przynajmniej w teorii, większe zagrożenie ataku.
To na co powinniśmy zwrócić uwagę, to ponownie sposób przechowywania kluczy szyfrujących. Mogą być one zapisane lokalnie (fizycznie znajdują się wtedy w naszym posiadaniu) lub na instancji dostawcy – wówczas, aby otrzymać dostęp do kluczy (ergo: dostać się do plików), najpierw będziemy musieli zalogować się na instancję dostawcy. Jak wspomnieliśmy, przechowywanie danych oraz kluczy nie powinno odbywać się w tym samym miejscu. Ochrona danych to jednak walka kompromisów i nie ma tu rozwiązań idealnych, a jedynie te praktyczne i… sprawdzone.
Model Saas - jak działa szyfrowanie w FORDATA Virtual Data Room?
Tym samym przechodzimy do sposobu szyfrowania danych w chmurze FORDATA. Nasz VDR działa w modelu SaaS (software-as-a-service). Oznacza to, że szyfrowanie, jego skuteczność, aktualizacja i gwarancja działania leżą całkowicie w naszej gestii. Klient jest odciążony z obowiązku zagwarantowania sprawności tych komponentów, gdy, na przykład, udostępnia dane podlegające ochronie (np. RODO) lub gdy jest podmiotem nadzorowanym przez KNF. O tym jak zabezpieczamy pliki w chmurze przeczytacie więcej w artykule “Przechowywanie danych w chmurze a bezpieczeństwo plików.” Wymieńmy najważniejsze wartości dotyczące szyfrowania danych w systemie FORDATA:
- Połączenie pomiędzy serwerem systemu FORDATA Virtual Data Room a przeglądarką użytkownika szyfrowane jest 256-bitowym algorytmem szyfrującym, najbardziej zaawansowanym algorytmem szyfrującym dostępnym na rynku.
- Posiadamy certyfikat EV SSL potwierdzający najwyższy standard uwierzytelnienia tożsamości w internecie
- Certyfikat EV SSL został wystawiony dla FORDATA przez firmę Digicert
- Poza szyfrowaniem danych dodatkowo certyfikat uwierzytelnia FORDATA jako dostawcę strony internetowej, pod którą dostępny jest VDR
- Certyfikat jest aktualizowany każdorazowo przed upływem daty jego ważności. Istnieje wewnętrzna instrukcja postępowania w celu odnowienia certyfikatu (poszczególne kroki, standardowe w przypadku aktualizacji tego typu certyfikatu)
- Kod naszej aplikacji podpisujemy certyfikatem klasy Authenticode, gwarantując jego oryginalność i integralność
- Dane utrzymywane na dyskach w spoczynku (at-rest) szyfrowane są 256-bitowym symetrycznym algorytmem szyfrującym klasy AES
Praktycznie oznacza to, że przechowywane na serwerach FORDATA dane (posiadamy wydzieloną fizycznie partycję dyskową, z której nie korzystają inni klienci serwerowni) jest tak bezpieczne, jak środki przechowywane na elektronicznym koncie bankowym. Dość powiedzieć, że z naszych usług korzystają największe polskie i światowe instytucje finansowe.
Odpowiedzialność za szyfrowanie danych w chmurze leży całkowicie po naszej stronie jako dostawcy VDR. Dzięki temu zyskujecie pewność, że Wasze postępowanie będzie zawsze zgodne z aktualnymi polskimi i unijnymi wymogami regulacyjnymi w zakresie ochrony danych.
Podobał Ci się artykuł?
Ile głów, tyle pomysłów. Właśnie dlatego każdy z nas dokłada swoją cegiełkę, by zamieszczone treści na naszym blogu były dla Ciebie atrakcyjne i niosły wartość. Odkryj źródło wiedzy i inspiracji dla Twojego biznesu z Fordata.
Chcesz wymienić się wiedzą, podyskutować, zadać pytanie?
Napisz do mnie : #FORDATAteam strona otworzy się w nowym oknie
Najbezpieczniejsze miejsce dla Twojej transakcji. Wypróbuj FORDATA VDR bezpłatnie przez 14 dni
PRZETESTUJ Testuj bezpłatnie przez 14 dni-
01 . DORA: Nowe przepisy dot. odporności cyfrowej i wsparcie od Fordata
Rozporządzenie DORA to kompleksowy zestaw regulacji dotyczących zarządzania ryzykiem ICT, skierowany głównie do podmiotów nadzorowanych przez Komisję Nadzoru Finansowego (KNF) oraz ich dostawców.
13.11.2024
-
02 . Fałszywe porównywarki Virtual Data Room – jak je rozpoznać?
Fałszywe porównywarki oprogramowania to problem również branży Virtual Data Room. Jakie cechy mówią, że serwis rankingowy to zwyczajny fejk? Sprawdźcie!
14.03.2024
-
03 . Bezpieczna alternatywa dla Dropboxa do Due Diligence
„Po co mam płacić za VDR, skoro mogę użyć Dropbox”– to pytanie czasem pada z ust naszych klientów. Odpowiedź…
26.01.2024
-
04 . OneDrive kontra Google Drive? Czy mogą zastąpić VDR?
Na rynku oprogramowania dostępny jest ogrom aplikacji filesharingowych, wirtualnych dysków i narzędzi do współ…
29.12.2023
-
05 . Po co VDR w procesie Due Diligence?
Procesy fuzji i przejęć stanowią stały element świata gospodarczego. Ich celem jest osiągnięcie korzyści str…
27.05.2023
-
06 . Cyberbezpieczeństwo - na co powinien zwrócić uwagę przedsiębiorca?
Przedsiębiorcy patrzą dziś na pracę zdalną bez obaw, choć jeszcze w styczniu wielu nie wyobrażało s…
30.09.2020
-
07 . Czy załączniki w twoim emailu są bezpieczne?
Współczesne biuro nie potrafi funkcjonować bez poczty email. Według firmy Radicati Group, statystyczny pra…
02.03.2020
-
08 . Zaczernianie tekstu w dokumentach PDF - jak robić to dobrze?
Anonimizacja anonimizacji nierówna – może się okazać, że zaczernienie tekstu w naszym dokumencie, które na pi…
27.02.2020
-
09 . Bezpieczeństwo Dropboxa – co powinna wiedzieć Twoja firma?
Dropbox ułatwia współpracę na dokumentach i ich udostępnianie, ale czy jest to sposób wystarczająco bezpieczny…
18.10.2019
-
10 . Przechowywanie danych w chmurze, a bezpieczeństwo plików
Wydaje się, że sieć już spowszedniała. Ogrom dedykowanych usług, coraz szybsze transfery i wzrastająca mobil…
31.07.2019
-
11 . Audyt Due diligence z wykorzystaniem Virtual Data Room czyli bezpieczeństwo w Twojej firmie
Każda firma wraz ze swoim rozwojem dochodzi do etapu, kiedy kontrole w postaci audytów (np. finansowych, po…
14.01.2019
-
12 . Co to jest elektroniczne repozytorium dokumentów?
Elektroniczne repozytorium dokumentów, przez niektórych zwane też e-archiwum lub scentralizowanym repozytori…
04.12.2018
-
13 . Własność intelektualna w Life Science, a ochrona poufnych informacji
Life Science jest pojęciem szerokim i w biznesie obejmuje przedsiębiorstwa, których główna działalność…
16.11.2018
-
14 . Zasady Polityki Bezpieczeństwa w FORDATA VDR
Badania przeprowadzone przez amerykańskich ekspertów z zakresu bezpieczeństwa danych i systemów komputerowych wskazują iż ponad 80% zagroż…
21.09.2018
-
15 . RODO - dlaczego warto wybrać Data Room FORDATA?
O RODO pisaliśmy już wielokrotnie. Nie bez przyczyny, korzystając z Virtual Data Room, powierzają Państwo dostawcy…
22.08.2018
-
16 . RODO – co warto sprawdzić przed wyborem Virtual Data Room?
RODO: Rozporządzenie Ogólne o Ochronie Danych Osobowych, które weszło w życie we wszystkich państwach członkowskich UE dn…
12.07.2018
-
17 . Polityka i Organizacja InfoSec, czyli jak wdrożyliśmy normę ISO 27 001 w FORDATA
Jak nasza firma skutecznie wdrożyła politykę i organizację InfoSec zgodnie z normą ISO 27001? Odkryj tajniki naszego sukcesu w zarządzaniu bezpieczeństwem informacji.
30.11.2017
-
18 . Dlaczego nie powinieneś korzystać z systemów używających Flash?
Adobe Flash Player, pomimo wielu zasług w kwestii multimediów w Internecie, zasłużył sobie również na opinię technologii przestarza…
17.11.2017
-
19 . Co to jest Virtual Data Room czyli wszystko co powinieneś wiedzieć
Co to jest Virtual Data Room? Jak korzystać z systemu, który pozwala na efektywniejsze przeprowadzenie transakcji fuzji i przejęć?
25.10.2017
-
20 . ISO 27001:2013 audyt recertyfikacji bieżącej rejestracji
Celem audytu było przeprowadzenie audytu re-certyfikacji bieżącej rejestracji. W ramach audytu zweryfikowano, czy wszystkie elementy zakresu certyfikacji oraz wszystkie obszary normy są skutecznie
20.07.2017
-
21 . Przekazujesz dane osobowe do chmury?
Zobowiązanie RODO powinniśmy mieć zawsze z tyłu głowy. Jak zadbać o jego przestrzeganie i wybrać odpowiedniego dostawcę chmury?
24.02.2017
-
22 . Gwarancja bezpieczeństwa dla klientów ISO 27001:2013
FORDATA, od momentu podjęcia swojej działalności, dąży do zagwarantowania jak najwyższej ochrony danych powierzanych przez klientów.
13.01.2017
-
23 . Standard GPG, czyli o bezpiecznym szyfrowaniu
Rozwój technologii niesie ze sobą coraz większe zagrożenia związane z bezpieczeństwem informacji. Ochrona poufnych danych przed tzw. wyciekiem dotyczy już każdej firmy, która ceni bezpieczeństwo informacji.
13.07.2016
-
24 . BYOD jako nowe wyzwanie dla działów bezpieczeństwa firm
Wykorzystywanie prywatnych urządzeń podczas wykonywania obowiązków zawodowych powoli staje się regułą, która nie dziwi. W jakim kierunku zmierzać będzie trend BYOD?
15.02.2016
-
25 . Jak pomagamy w Due Diligence? Lista dokumentów.
Transakcje M&A to procesy, w których czas ma ogromne znaczenie. Każde, nawet najmniejsze wsparcie…
10.03.2014
-
26 . Przygotowanie spółki do debiutu giełdowego
Wiele spośród dobrze prosperujących firm decyduje się pozyskać środki finansowe na dalszy rozwój na giełdzie papierów wartościowych. Gdzie szukać zainteresowanych?
07.10.2013