Po co w firmie szyfrowany pendrive?
Szyfrowany pendrive może być elementem architektury bezpieczeństwa przechowywania lub przenoszenia danych w firmie. W dzisiejszych czasach informacja i dane często są majątkiem firmy, stanowią o jej wartości i mogą kształtować przewagę konkurencyjną. Aby uzmysłowić sobie, jakie znaczenie mają takie dane i czym są, wystarczy wyobrazić sobie sytuację, gdy tracimy bezpowrotnie te informacje lub ma do nich dostęp konkurencja albo zostały one upublicznione.
W celu wdrożenia takiego rozwiązania będącego elementem polityki bezpieczeństwa warto ustalić, jakie dane powinny być umieszczane na takich szyfrowanych pendrive’ach oraz kto ma mieć do nich dostęp i kiedy. Warto określić, gdzie je przechowywać oraz czy można je przenosić lub wynosić poza firmę. Należy opracować procedury zarządzania takimi urządzeniami — cyklem ich “życia” w organizacji. Przy wdrażaniu tego sposobu zabezpieczeń danych należy uwzględnić również zarządzanie incydentami jak np. utrata lub uszkodzenie nośnika czy też utrata hasła dostępowego.
Odpowiednio przygotowana i zaprojektowana architektura zarówno samych urządzeń jak i procesów da możliwość wdrożenia zabezpieczenia danych ważnych i wrażliwych dla firmy.
Na co zwrócić uwagę przy wyborze szyfrowanego pendrive?
Decydując się na takie urządzenie, warto zwrócić uwagę na to, w jaki sposób dane są zabezpieczone. Zabezpieczenie takie warto rozpatrywać w wielu wymiarach:
- fizyczne cechy urządzenia,
- sposób i zabezpieczenia dostępu do danych,
- zabezpieczenie samych danych na urządzeniu.
W kontekście fizycznych cech zabezpieczeń z racji tego, że pendrive jest urządzeniem dość mobilnym, warto by był odporny na wodę, kurz oraz by był wytrzymały i trwały. Te czynniki sprawiają, że nie utracimy danych z pendrive na skutek losowych drobnych incydentów, jakie mogą się zdarzyć.
Ważne, by urządzenie zabezpieczało dane na wypadek utraty lub kradzieży fizycznej. W tych przypadkach warto zwrócić uwagę na to, jak zabezpieczone są komponenty elektroniki, gdyby ktoś chciał dostać się do nich, próbując usunąć kość pamięci i podłączać je w niestandardowy sposób.
Mając z kolei na względzie sposób zabezpieczeń dostępu do samego pendrive, warto zwrócić uwagę na to, jakim hasłem można zabezpieczyć to urządzenie. Im większa możliwość stosowania złożonych haseł tym lepiej. Nie jest to wbrew pozorom oczywisty parametr. Nie każde tego urządzenie pozwala na zabezpieczenie hasłem, które jest zdaniem lub frazami łatwymi do zapamiętania.
Nowoczesne rozwiązania oferują wpisywanie haseł poprzez elektroniczną klawiaturę, by hasło nie było przechwycone przez keylogger, gdyby takim był zainfekowany lub specjalnie spreparowany komputer.
Samo zabezpieczenie klawiatury jednak nie wystarczy — powinno być uzupełnione o zabezpieczenie przeciw przechwytywaniu ekranu tj. nagrywania tego, co się dzieje i jakie kolejno znaki są wybierane na elektronicznej klawiaturze.
Kolejną kwestią jest zabezpieczenie przed próbami przełamania typu brute force. Jeżeli zdarzyłoby się, że zgubimy taki pendrive lub ktoś będzie chciał potajemnie wejść w posiadanie informacji na nim przechowywanych ważne, by pendrive był zabezpieczony.
Obecnie najbardziej popularnym i wydajnym algorytmem szyfrującym jest AES (Advanced Encryption Standard), a użycie 256 bitowego klucza, jak do tej pory gwarantuje bezpieczeństwo zaszyfrowanych danych. Algorytm jest szeroko stosowany w wielu technologiach, zaczynając od sieci i przesyłania danych po szyfrowanie urządzeń.
Jedną z najsilniejszych form szyfrowania AES jest forma AES-XTS (XEX Tweakable Block Cipher with Ciphertext Stealing). Znormalizowany standard, który pod koniec 2007 r. AES-XTS stał się domyślnym algorytmem ochrony danych na nośnikach pamięci.
Ostatnią, ale jak ważną kwestią jest to, jak dane są szyfrowane — sprzętowo czy programowo.
Szyfrowanie sprzętowe a szyfrowanie programowe
Jeżeli dane na urządzeniu są szyfrowane programowo, wówczas w praktyce odbywa się to w ten sposób, że na partycji otwartej takiego pendrive’a jest oprogramowanie, które odpowiada za szyfrowanie danych.
Minusem tego rozwiązania są podatności, jakie taki program może mieć oraz wrażliwość na środowisko systemu operacyjnego, z jakim nasz pendrive działa. Może okazać się, że po pewnym czasie po kolejnych aktualizacjach systemu operacyjnego oprogramowanie będzie błędnie działać albo że nie na wszystkich urządzeniach zadziała nasz pendrive, bo program do szyfrowania nie będzie kompatybilny.
Szyfrowanie programowe jest również wolniejsze, a rozpoczęcie działania dłuższe. Dodatkowo często wiąże się z instalacją takiego oprogramowania na danym komputerze pozostawiając ślad i ingerując w system i ustawienia.
W przypadku szyfrowania sprzętowego urządzenie samo w sobie na poziomie elektroniki wykonuje szyfrowanie — wykonuje je algorytm zaszyty w kościach pamięci na niskim poziomie — na poziomie sprzętowym. Takie rozwiązanie jest szybsze, nie zostawia śladu na komputerze w postaci instalacji oprogramowania do szyfrowania i jest bardziej uniwersalne.
Bez wątpienia szyfrowanie sprzętowe to wyższy poziom bezpieczeństwa i uniwersalności.
IronKey D500S. Recenzja
Do naszej redakcji firma Kingston przysłała urządzenie IRONKEY™ D500S SECURE USB 3.2 Gen 1 FLASH DRIVE w wersji 512 GB.
Pendrive jest w eleganckim czarnym pudełku. W środku znajduje się jedynie samo urządzenie oraz metalowa linka, którą możemy w prosty sposób przywiązać do naszego urządzenia i jednocześnie np. do kluczy.
Instalacja i rozpoczęcie użytkowania jest banalnie proste i poradzić sobie z tym powinien nawet laik. Po włożeniu USB do portu uruchamiamy program, który w kilku krokach prowadzi nas przez proces inicjacji urządzenia. Do wyboru mamy wiele języków, w tym język polski.
Cały proces de facto sprowadza się do określenia hasła zabezpieczającego i tu mamy do dyspozycji dwie opcje:
- klasyczne hasło do 16 znaków,
- wyrażenie hasłowe do 128 znaków
Główne cechy fizyczne urządzenia:
urządzenie jest wodoodporne oraz odporne na kurz,
wzmocniona i solidna obudowa,
elektronika w środku zalana jest żywicą uniemożliwiającą dostanie się do niej bez zniszczenia fizycznego.
Główne cechy zabezpieczenia dostępu do urządzenia i danych:
certyfikat FIPS 140-3 poziom 3 (oczekujący) z 256-bitowym sprzętowym szyfrowaniem XTS-AES (szyfrowania nie można nigdy wyłączyć),
ochrona przed atakami Brute Force i BadUSB,
opcje Multi-Password,
tryby haseł złożonych lub Passphrase,
unikalna opcja Dual-Partition i Crypto-Erase Password,
przycisk podglądu hasła do wyświetlania wprowadzonych haseł w celu zmniejszenia liczby nieudanych prób logowania,
wirtualna klawiatura pomagająca chronić przed keyloggerami i screenloggerami,
wymuszone/sesyjne ustawienia Read-Only (ochrona przed zapisem) w celu ochrony zawartości dysku przed zmianami lub złośliwym oprogramowaniem,
małe i średnie firmy mogą lokalnie zarządzać dyskami za pomocą roli administratora,
zgodność z systemami Windows, macOS i Linux.
Co, jak zapomnę hasła?
Niestety, w przypadku, jeżeli pendrive nie działa w trybie z administratorem, który może pomóc odzyskać dostęp do urządzenia, możemy mieć duży problem.
Ważną cechą urządzenia jest zabezpieczenie przed atakiem Brute Force. Po wpisaniu 10 razy z rzędu błędnego hasła urządzenie wyczyści wszystkie zaszyfrowane dane, a następnie przywróci ustawienia fabryczne.
Dzięki temu z jednej strony mamy pewność, że osoba trzecia nie użyje specjalistycznych programów, które będą próbowały włamać się do urządzenia, ale z drugiej strony, jak zapomnimy hasła, to bezpowrotnie stracimy dane.
Ważne jest, by sam administrator również pamiętał hasło do naszego urządzenia. Warto więc w firmie zastosować odpowiednie procedury, które zabezpieczą cały ten proces, niwelując ryzyka zapomnianego hasła przez administratora.
Dla wdrożeń tego typu zabezpieczeń w oparciu o IronKey można przechowywać hasła administracyjne albo w sejfie albo na innych urządzeniach administratorów. Trzeba również uwzględnić procedurę aktualizacji takiej bazy haseł administracyjnych, aby zabezpieczyć firmę przed utratą dostępu.
Gdzie kupić i ile kosztuje IronKey?
IronKey jest dostępny w wielu sklepach internetowych i sieci dystrybucyjnej. Jego ceny kształtują się w zależności od pojemności, jaką chcemy mieć.
Urządzenie jest dostępne w bardzo wielu wariantach pojemności od 8 GB przez 16, 32, 64, 128, 256 i 512 GB. Dzięki tak szerokiemu spektrum można elastycznie dobrać pojemność do potrzeb biznesowych i bezpieczeństwa.
Ceny na dzień pisania recenzji wahają się od około 600 zł za pojemność 8GB przez około 1100 zł za pojemność 64GB do 2 tys. za 256GB, kończąc na około 2,4 tys za 512GB.
Wydawać się by mogło, że tanio nie jest, zwłaszcza przy dużych pojemnościach, ale z drugiej strony trzymać tam mamy dane, które ze względów bezpieczeństwa są bardzo ważne dla firmy.
Jeżeli porównamy sobie cenę urządzenia z kosztami, jakie trzeba ponieść w firmie w związku z nieautoryzowanym dostępem do danych przez osobę trzecią lub całkowitą ich utratą w innych systemach, wówczas cena już nie jest tak wysoka przez ten pryzmat.
Cztery korzyści z używania w firmie urządzenia IronKey D500S
Wysokie bezpieczeństwo danych. IronKey D500S oferuje zaawansowane zabezpieczenia, takie jak 256-bitowe sprzętowe szyfrowanie XTS-AES oraz ochronę danych przed atakami Brute Force i BadUSB. Dzięki temu są one skutecznie chronione przed nieautoryzowanym dostępem.
Odporność na uszkodzenia fizyczne. Urządzenie jest wodoodporne, odporne na kurz, a jego wzmocniona obudowa i zalana żywicą elektronika sprawiają, że jest niezwykle trwałe, co zwiększa jego niezawodność w trudnych warunkach.
Silne hasło. IronKey D500S oferuje różne tryby określania hasła, w tym możliwość używania wyrażeń hasłowych do 128 znaków oraz opcje Multi-Password, a to zwiększa wygodę użytkowania i poziom zabezpieczeń. Dodatkowo funkcje takie jak wirtualna klawiatura pomagają chronić przed keyloggerami i screenloggerami.
Lokalne zarządzanie hasłami przez administratora pozwala zminimalizować ryzyko utraty danych w przypadku zapomnienia hasła.
Bez wątpienia technologicznie urządzenie IronKey D500S jest rozwiązaniem klasy światowej. Prostota użytkowania w połączeniu z bardzo dużym bezpieczeństwem. Przy pomocy IronKey można przygotować i wdrożyć w firmie bardzo bezpieczny system przechowywania lub przenoszenia danych wrażliwych biznesowo.
WSPÓŁPRACA PARTNERSKA