Scenariusz, który zdarza się częściej niż myślisz
Pracownik wychodzi ze spotkania u klienta i zostawia laptopa na tylnym siedzeniu samochodu. Kładzie torbę na podłodze w kawiarni i na chwilę odwraca wzrok. Laptop znika z biura podczas włamania. Gubi się na lotnisku.
Laptopy giną - i w zdecydowanej większości przypadków właściciele bardziej martwią się o dane niż o sprzęt. Sprzęt można kupić następnego dnia. Danych odzyskać już nie.
Pytanie nie brzmi "czy mój laptop może trafić w niepowołane ręce". Brzmi: "co stanie się z danymi, gdy tak się stanie".
Hasło do Windows nie chroni danych
To jedno z najczęstszych nieporozumień w bezpieczeństwie IT. Hasło do systemu Windows chroni przed uruchomieniem systemu - nie przed dostępem do danych. Wystarczy wyjąć dysk i podłączyć go do innego komputera jako zewnętrzny nośnik, żeby odczytać wszystkie pliki bez żadnego hasła.
Zajmuje to kilkanaście minut i nie wymaga specjalistycznych umiejętności - wystarczy śrubokręt i przejściówka za kilkanaście złotych. Każdy, kto znajdzie lub ukradnie laptop, ma dostęp do wszystkich dokumentów, poczty, danych klientów i zapisanych haseł.
Czym jest szyfrowanie dysku i jak działa
Szyfrowanie dysku sprawia, że dane przechowywane na nośniku są nieczytelne bez klucza szyfrującego. Nawet jeśli ktoś wyjmie dysk i podłączy do innego komputera, zobaczy jedynie zaszyfrowany ciąg znaków - bez klucza bezwartościowy.
Klucz szyfrujący jest powiązany z kontem użytkownika lub z układem TPM wbudowanym w płytę główną. Dysk można odczytać tylko na tym konkretnym komputerze, przez zalogowanego użytkownika. Dla użytkownika szyfrowanie jest niewidoczne - komputer działa dokładnie tak samo jak wcześniej.
BitLocker - szyfrowanie wbudowane w Windows
W systemie Windows narzędziem do szyfrowania dysków jest BitLocker, dostępny w wersjach Professional i Enterprise. Szyfruje cały dysk algorytmem AES-256 - tym samym, który stosują banki i instytucje rządowe.
BitLocker jest dostępny domyślnie, ale nie jest domyślnie włączony. Wiele firmowych laptopów jeździ z wyłączonym szyfrowaniem - po prostu dlatego, że nikt go nie włączył.
Zarządzanie kluczami odzyskiwania
Szyfrowanie rodzi jedno poważne pytanie: co się stanie, gdy użytkownik zapomni hasło lub komputer ulegnie awarii? Bez klucza odzyskiwania dane są nie do odzyskania - nawet dla właściciela.
Przy samodzielnie wdrożonym BitLockerze klucz odzyskiwania, w najlepszym wypadku, trafia domyślnie na prywatne konto Microsoft użytkownika - firma nie ma nad tym żadnej kontroli. Często również nie jest zapisywany nigdzie ponieważ nie jest potrzebny do codziennej pracy.
Przy właściwie skonfigurowanym centralnym zarządzaniu klucze są przechowywane w bezpiecznym rejestrze administracyjnym. Firma zawsze może odzyskać dostęp do danych - nawet gdy pracownik odejdzie lub komputer ulegnie awarii.
A co z macOS?
Na komputerach Apple odpowiednikiem BitLockera jest FileVault - narzędzie do szyfrowania całego dysku algorytmem AES-256, dostępne na każdym Maku. Podobnie jak BitLocker, wymaga świadomego włączenia i przemyślanego zarządzania kluczami odzyskiwania. Zasada jest identyczna: bez aktywnego szyfrowania wyjęty dysk można odczytać bez żadnych przeszkód, niezależnie od hasła do systemu.
FileVault działa w oparciu o sprzętowy koprocesitor Secure Enclave, który jest częścią każdego urządzenia z Apple Silicon. To dobra podstawa - ale sama obecność technologii nie zastępuje polityki. Klucze odzyskiwania trzeba gdzieś bezpiecznie przechowywać, a szyfrowanie trzeba faktycznie wdrożyć i zweryfikować na każdym urządzeniu w firmie.
Jeśli korzystasz z mieszanej floty - część Windowsów, część Maków - warto upewnić się, że szyfrowanie dysków jest objęte umową z firmą IT. Dobra obsługa IT w Warszawie powinna obejmować audyt szyfrowania na obu platformach i centralnie zarządzane klucze odzyskiwania, do których firma ma dostęp niezależnie od tego, co się stanie z urządzeniem.
Szyfrowanie a RODO
Kradzież lub zgubienie niezaszyfrowanego laptopa z danymi osobowymi oznacza obowiązek zgłoszenia naruszenia do UODO w ciągu 72 godzin. Przy zaszyfrowanym dysku sytuacja jest zupełnie inna - skradziony sprzęt bez klucza nie stanowi realnego zagrożenia dla danych. W wielu przypadkach eliminuje to obowiązek zgłoszenia i - co ważniejsze - realnie chroni osoby, których dane były na dysku.
Szyfrowanie nośników zewnętrznych
Laptop to nie jedyne urządzenie, które może trafić w niepowołane ręce. Pendrive z dokumentami, zewnętrzny dysk, karta pamięci. BitLocker oferuje funkcję BitLocker To Go - szyfrowanie wymiennych nośników. Zaszyfrowany pendrive bez hasła jest bezwartościowy nawet dla osoby, która go znajdzie.
Podobnie jak w przypadku zarządzania rozszerzeniami przeglądarek, szyfrowanie nośników najskuteczniej wdraża się centralnie przez politykę systemową - tak żeby pracownicy nie mogli zapisywać danych firmowych na niezaszyfrowanych nośnikach.
Jak wygląda to w Helpwise IT
Włączamy BitLocker na wszystkich urządzeniach naszych klientów, przechowujemy klucze odzyskiwania w bezpiecznym, centralnym, rejestrze administracyjnym. Laptop - niezależnie od tego, gdzie się znajdzie - nie ujawni danych osobom nieuprawnionym.