Poufna komunikacja - czy jest możliwa

Autor: Przemysław Kucharzewski

Dodano: 10 lipca 2020
38ad0d39a31ba6e4f9ec1f1ddd548d4e2f7a7697-xlarge(2)

Wiele firm w ostatnich miesiącach doświadczyło konieczności organizacji pracy zdalnej dla swoich pracowników. W przypadku wielu podmiotów do tej pory takie rozwiązanie było albo wyłącznie dla niewielkiej grupy np. przedstawicieli handlowych i zarządu, nie zaś dla wszystkich osób. Problem dzisiaj dotyczy w szczególności „back-office”, czyli działów finansowych, księgowości, HR, kadr. A właśnie szczególnie te działy zajmują się przetwarzaniem, przechowywaniem, przesyłaniem danych z istotnymi, dla punktu widzenia zarządzających dokumentów: faktur, ofert, umów, list płac, dokumentów zawierających dane osobowe itd. Właśnie te działy najczęściej stają się celem ukierunkowanych ataków cyberprzestępców.

Problemy pracy zdalnej

Firmy bardzo często nie były i pewnie wiele z nich dalej nie jest gotowych ani technologicznie ani proceduralnie do tego typu aktywności. Problemem jest dostęp do wewnętrznych systemów w sposób bezpieczny, problemem jest zapewnienie bezpiecznego mechanizmu przesyłania ważnych dokumentów, ich wysyłki do kontrahentów, chociażby faktur, umów czy ofert. Wiele z firm dalej bazuje na papierowych nośnikach, co w dobie konieczności pracy zdalnej je dyskredytuje.

Pracownicy nierzadko nie mają notebooków, używane są często komputery stacjonarne (które nie są wykorzystywane wyłącznie do celów zawodowych), stanowiska nie są wyposażone w VPN, nie ma wdrożonych systemów telekonferencyjnych, bezpiecznego dostępu do poczty elektronicznej będąc poza siecią lokalną przedsiębiorstwa. Osoby pracujące w domu korzystają z „domowych” sieci WiFi, które nie zapewniają odpowiedniego poziomu bezpieczeństwa.

A „licho”, czyli cyberprzestępcy nie śpią. Dla nich bieżąca sytuacja związana z pandemią koronawirusa jest idealnym czasem na to, aby skorzystać z zamieszania, paniki, omijania przez pracowników procedur i zasad bezpieczeństwa (ale nie wynikającego z ich złej woli, a okoliczności) i brakiem gotowości technologicznej.

Poczta elektroniczna ma już pół wieku i można powiedzieć, że przez te pół wieku niewiele się zmieniło w zasadach jej funkcjonowania. Zarówno komputer nadawcy, połączenie między komputerem a serwerem nadawczym, sam serwer pocztowy nadawcy, połączenie między serwerami nadawcy i odbiorcy, serwer odbiorcy, połączenie między serwerem odbiorczym a komputerem odbiorcy narażone są na różnego rodzaju ataki i cyberzagrożenia.

Nasza odpowiedź: Cypherdog

Cypherdog pozwala na wysyłanie plików między zaufanymi odbiorcami, przechowywanie je w sposób bezpieczny w chmurze, szyfrowane lokalnie i porozumiewanie się przez komunikator na notebooku czy komputerze stacjonarnym oraz urządzeniu mobilnym.

Czytelnicy mogą stwierdzić, że takich narzędzi jest wiele na rynku. Możliwe, ale prawda jest jedna, że żadne z dostępnych rozwiązań nie zapewnia takiego poziomu bezpieczeństwa. Dlaczego? Nie będziemy tutaj się wgłębiać w szczegóły metod kryptograficznych, ale skupimy się na trzech głównych filarach bezpieczeństwa Cypherdog.

Brak trzeciej strony

W Cypherdog nie występuje strona trzecia, zwana czasami „zaufaną”.

W przypadku usług Cypherdog żadna organizacja (włączając samego Cypherdoga) nie ma dostępu do kluczy, którymi szyfrowane są dane, ani nie uczestniczy w potwierdzaniu tożsamości.

W przypadku wielu dostępnych rozwiązań występuje trzecia strona w postaci czy to operatora telekomunikacyjnego, gdzie tożsamość uczestnika potwierdzana jest SMSem. Nie używamy do potwierdzania tożsamości ani żadnego centrum certyfikacyjnego, dostawcy usług takich jak największe światowe firmy włączając Google, Facebook, Apple czy Microsoft. Z prostej przyczyny. Jeśli trzecia strona potwierdza tożsamość uczestnika komunikacji albo uczestniczy w procesie samej komunikacji oznacza to, że można dostawca usługi może w sposób zamierzony albo niezamierzony mieć dostęp albo udostępnić kolejnej stronie nasze dane albo podszyć się pod uczestnika komunikacji.

Zero-knowledge security

Wiele dostępnych rozwiązań pozwala na odzyskanie tożsamości i dostęp do danych, w momencie gdy utraciliśmy swój klucz prywatny albo dane uwierzytelniające w usłudze. Po odpowiedzi na szereg pytań, dodatkowego potwierdzenia tożsamości użytkownik jest w stanie odzyskać swoją tożsamość.

Jest to wygodne, ale czy bezpieczne? Nie jest. Bo skoro użytkownik może odzyskać swoją tożsamość, to równie dobrze ktoś, kto podszywa się pod niego również. Jeśli dostawca usługi ma dostęp do kluczy prywatnych i jest w stanie odtworzyć tożsamość – oznacza to, że ma dostęp do transferowanych danych oraz również podszyć się pod uczestnika komunikacji. Celowo lub niecelowo, zgodnie z prawem albo i nie. Serwer dostawcy usługi może zostać zaatakowany i cyberprzestępcy mogą mieć również dostęp do danych użytkowników, które pozwalają na przejęcie tożsamości albo wgląd w przechowywane lub transferowane dane.

Bezwzględna ochrona klucza prywatnego

W szyfrowaniu asymetrycznym stosowany jest zestaw kluczy – prywatny i publiczny. Klucz prywatny powinien być zawsze bezwzględnie chroniony, ponieważ gwarantuje on poufność czy to komunikacji czy odpowiednią jakość szyfrowania. W wielu rozwiązaniach klucz ten opuszcza urządzenie użytkownika i jest przechowywany np. na serwerze dostawcy usługi. Tak, aby było wygodniej, ale nie jest bezpieczniej, ponieważ dostawca usługi w takim przypadku ma dostęp do klucza, co jednocześnie może oznaczać, że on albo ktoś w jego imieniu, za jego zgodą lub nie, może mieć dostęp do zaszyfrowanych danych. W Cypherdog klucz prywatny nie opuszcza urządzenia użytkownika. Aby zapobiec jego całkowitej utracie w przypadku uszkodzenia dysku twardego notebooka albo jego kradzieży, użytkownik powinien wykonać jego kopię (w postaci pliku zapisywanego na pendrive albo w postaci kodów QR) i przechowywać w bezpiecznym miejscu (np. fizycznym sejfie)

Gdzie warto stosować Cypherdog?

Odpowiedź jest w miarę prosta: wszędzie tam, gdzie wyciek danych niesie konsekwencje finansowe, wizerunkowe czy względem regulatora (czy to Komisja Nadzoru Finansowego czy to UODO). Wszędzie tam, gdzie możliwe jest szpiegostwo gospodarcze, gdzie w grę wchodzą pieniądze i informacja o planach czy strategii powinna być poufna, na tyle ile jest tylko możliwe. Na pewno warto zadbać o poufność w komunikacji zarządów i rad nadzorczych, czy w kancelariach prawnych. Warto chronić poufne dane w procesie ofertowania, przesyłania zamówień czy wysyłania faktur do klientów. W procesie przygotowania oferty należy zabezpieczać komunikację wewnętrzną, komunikację z podwykonawcami, kancelaria prawną i bankiem. Proces przygotowania sprawozdania finansowego, w który zaangażowanych jest kilka podmiotów (kancelaria prawna, audytor, biegły rewident, organizacja) powinien także być objęty poufną komunikacją. Wiele organizacji korzysta z usług zewnętrznych agencji rekrutacyjnych, biur rachunkowych, kancelariami prawnymi, warto zadbać o poufność komunikacji w procesach, w których biorą udział te podmioty. Praca dziennikarzy śledczych, polityków, administracja rządowa i samorządowa, działalność badawczo-rozwojowa, patenty, technologie powinny być bezwzględnie chronione.

Pamiętajmy o tym, że walutą XXI wieku są dane i zadbajmy o ich bezpieczeństwo w każdym aspekcie, zarówno ich utraty, jak i wycieku. Każdy z incydentów cyberbezpieczeństwa niesie ze sobą konsekwencje: czy to przegranego przetargu, odrzucenia oferty, fiaska akcji marketingowej, przegranej w sądzie, utraty przewagi technologicznej, kary regulatora, odejścia klientów z powodu utraty wiarygodności. Warto o tym pamiętać naciskając przycisk „wyślij” albo „zapisz”.

Uwaga

Więcej informacji nt. Cypherdog znajdziesz tutaj>>

Autor: Przemysław Kucharzewski

VP Sales w Cypherdog - producent rozwiązań cyberbezpieczeństwa. Członek ISSA Polska, IT Corner i Rady Biznesu WSH, redaktor w BrandsIT oraz podcaster w Akademia IT. Od 25 lat w branży IT, związany z dystrybucją przez blisko 20 lat (JTT Computer,VP Sales w Cypherdog - producent rozwiązań cyberbezpieczeństwa. Członek ISSA Polska, IT Corner i Rady Biznesu WSH, redaktor w BrandsIT oraz podcaster w A Incom, AB, Eptimo), Interim Manager u integratorów i producentów rozwiązań IT (Xopero, Newind), skupiony na budowie świadomości z zakresu cyberzagrożeń i rozwijania kanałów sprzedaży rozwiązań z obszaru cyberbezpieczeństwa.

Czytelnicy tego artykułu skorzystali również z poniższych narzędzi

Nasi partnerzy i zdobyte nagrody


© Portal Poradyodo.pl

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

SPRAWDŹ »

x
wiper-pixel