Почему критически важное шифрование остается обязательным для ИТ-безопасности
Сегодня каждый бизнес опирается на какую-то технологию, которую можно классифицировать как критически важную. К критически важным технологиям относится любая система, сбой которой может серьезно нарушить или полностью вывести из строя бизнес-операции. Например, основная банковская система является критически важным компонентом операций любого банка. Его сбой, повреждение или взлом могут привести к задержкам транзакций и тысячам разгневанных, разочарованных клиентов. Ни один банк не может допустить такого беспорядка. Поэтому обеспечение работоспособности и безопасности критически важных систем имеет решающее значение, поскольку от этого зависит само выживание предприятия. Существует множество процессов, процедур и технологий ИТ-безопасности, которые можно использовать для защиты критически важных технологий и данных. Тем не менее, из всех инструментов, имеющихся в распоряжении организации, критически важное шифрование является наиболее эффективным для обеспечения безопасности критически важных данных и недосягаемости для хакеров.
Что такое шифрование?
Шифрование относится к кодированию данных, чтобы сделать их недоступными или скрытыми для неуполномоченных лиц. Процесс шифрования данных относительно прост. Ключ шифрования использует алгоритм для кодирования читаемых данных в неразборчивый текст или зашифрованный текст. Только соответствующий ключ дешифрования может декодировать зашифрованный текст в удобочитаемую информацию.
Шифрование почти повсеместно
Благодаря распространению информационных технологий шифрование окружает нас повсюду, хотя мы часто не осознаем этого или не обращаем на это внимания. Шифрование защищает ваши учетные данные и финансовые записи при входе на портал онлайн-банкинга. Шифрование делает ваши телефонные разговоры и сообщения недоступными для перехватчиков.
Шифрование помогает защитить личность диссидентов, позволяя журналистам безопасно общаться с конфиденциальными источниками новостей. Некоммерческие организации могут защитить свою работу от враждебных правительств, работая в репрессивных странах. Шифрование обеспечивает безопасность электросетей и сетей связи.
Если вы используете корпоративный ноутбук, скорее всего, данные зашифрованы с помощью BitLocker, TrueCrypt или аналогичного программного обеспечения для шифрования. Таким образом, информация останется непригодной для использования в случае потери или кражи ноутбука.
Типы шифрования
Существует два типа шифрования — симметричное и асимметричное.
Симметричное шифрование
При симметричном шифровании ключи дешифрования и шифрования идентичны. Симметричные алгоритмы часто находят применение при шифровании больших объемов данных, поскольку они обрабатываются быстрее и их легче реализовать с помощью аппаратного устройства шифрования.
Главный недостаток симметричного шифрования заключается в том, что любой, кто наткнется на ключ, может расшифровать данные, даже если информация не предназначена для них.
Асимметричное шифрование
Асимметричное шифрование, с другой стороны, использует два различных, но математически связанных ключа. Открытый ключ шифрует данные, а закрытый ключ их расшифровывает. Он также может работать в обратном порядке — закрытый ключ шифрует информацию, а открытый ключ ее расшифровывает.
Таким образом, асимметричное шифрование избавляет от обмена секретными ключами, гарантирует, что открытые ключи могут быть переданы кому угодно, и обеспечивает необходимую основу для цифровых подписей, цифровых сертификатов и инфраструктуры открытых ключей (PKI) в целом. Основным недостатком является его низкая скорость и более широкое использование вычислительной мощности.
Почему некоторые организации не отдают приоритет шифрованию для критически важных задач
Тем не менее, несмотря на то, что шифрование является самым надежным, наиболее устоявшимся и наиболее известным средством защиты критически важных данных, удивительное количество организаций не придают ему должного значения в своей всеобъемлющей корпоративной стратегии кибербезопасности.
Вместо этого они предпочитают уделить первоочередное внимание повышению скорости, емкости и общей производительности своих критически важных систем. Внедрение шифрования означало бы создание нескольких дополнительных шагов для повседневной обработки данных, которые затем снижают производительность системы. Шифрование также может потребовать изменения схемы рабочего процесса и конфигурации программного обеспечения. Наконец, они обеспокоены управлением шифрованием ключей и риском потери данных в случае потери ключа.
Эти опасения законны. В конце концов, основная цель существования бизнеса — получение прибыли. Таким образом, хотя критически важные системы должны быть защищены, они также должны быть легко доступны для законных пользователей, имеющих требуемую авторизацию.
Быть заблокированным в базе данных из-за потери ключей, которые могут расшифровать данные, было бы катастрофой для любой организации. На самом деле потеря ключей дешифрования мало чем отличается от безвозвратного повреждения данных, поскольку результат тот же — данные становятся непригодными для использования и теряются. Вам нужен надежный инструмент управления ключами для защиты и обслуживания ключей, которые расшифровывают критически важные данные.
Почему критически важное шифрование необходимо больше, чем когда-либо
Шифрование всегда было важно для безопасности предприятия, но не более чем сегодня. Вот почему.
Рост облачных вычислений
С распространением облачных вычислений потребность в шифровании критически важных данных больше, чем когда-либо. Перемещая свои серверы, приложения и данные в облако, вы фактически передаете их контроль поставщику облачных услуг. Кроме того, данные будут постоянно перемещаться между облачным сервером и устройствами конечных пользователей.
Чтобы гарантировать, что злоумышленники не перехватят данные во время передачи или не получат к ним доступ в хранилище, предприятия должны шифровать информацию перед ее передачей, а затем расшифровывать ее, когда она оказывается в руках авторизованного пользователя.
Правила, положения и стандарты
В некоторых отраслях критически важное шифрование не является чем-то, что организации делают по своему усмотрению. Скорее, этого требуют отраслевые законы, правила и стандарты. Примеры включают отрасли, которые обрабатывают большие объемы конфиденциальной личной информации (PII), такие как финансовые услуги и поставщики медицинских услуг.
Например, все поставщики медицинских услуг в США обязаны соблюдать правила защиты данных, подробно изложенные в HIPAA. Поставщики финансовых услуг должны соответствовать требованиям SOX. Компании, обрабатывающие транзакции по кредитным картам, должны соответствовать стандарту PCI DSS. Организации, работающие в ЕС или с гражданами ЕС в качестве клиентов, должны бороться с GDPR.
Несоблюдение этих правил, положений и стандартов может повлечь за собой серьезные последствия, включая крупные штрафы и, в случае повторного или вопиющего нарушения, отзыв лицензии на осуществление деятельности.
Достоверность
Шифрование SSL изначально считалось прерогативой веб-сайтов, которые имели дело с конфиденциальной личной информацией, таких как магазины электронной коммерции и платформы онлайн-банкинга. Но с тех пор, как ведущие интернет-браузеры, такие как Google Chrome, начали помечать веб-сайты без SSL как небезопасные, он стал важным компонентом веб-дизайна.
Когда им предоставляется выбор между безопасным и небезопасным веб-сайтом, подавляющее большинство пользователей Интернета выберут первое. Таким образом, помимо более прямых преимуществ критически важного шифрования, которые мы обсуждали ранее, трафик посетителей и рейтинг результатов поисковой системы пострадают, если сайт вашего бизнеса не будет зашифрован.
Критически важное шифрование — это еще не все, но это очень важно
Конечно, корпоративная ИТ-безопасность — это больше, чем просто шифрование. Но критически важное шифрование, безусловно, играет большую роль. Наш перенасыщенный Интернетом мир был бы гораздо более небезопасным, если бы у нас не было шифрования.
Однако подойдет не любое шифрование. Критически важное шифрование должно быть достаточно надежным, чтобы противостоять атакам со стороны правительств, хакеров и преступников. Хотя имел место ряд громких инцидентов, когда хакеры успешно взламывали зашифрованные данные, дальнейшая проверка часто выявляет слабое шифрование или его отсутствие. Вы не можете позволить себе слабое шифрование для критически важных систем.