Мир шифрования меняется как никогда. Сегодня многие малые предприятия впервые рассматривают возможность добавления шифрования, что обусловлено недавними нормативными актами, такими как GDPR, и теми, которые требуют шифрования как части механизмов обеспечения конфиденциальности. Однако наряду с преимуществами, которые предлагает шифрование, существуют и проблемы, с которыми сталкиваются эти малые предприятия, когда хотят принять решение.
Основываясь на опыте и отзывах, которые получил Бекрипт, я суммировал пять основных проблем, о которых следует подумать малым предприятиям с программным обеспечением, если они рассматривают возможность внедрения шифрования диска или более широкие развертывания диска. шифрование.
Простота использования
Организации должны искать продукты, которые просты в использовании, легко и быстро устанавливаются. Это очевидные требования, которые частично касаются сокращения времени и опыта, необходимых для установки продуктов в первую очередь. Важным последующим пунктом является также общая стоимость владения. Если продукт нелегко установить, он, как правило, является хорошим индикатором уровня сложности, который останется долгосрочным бизнесом.
Чем сложнее продукт, тем сложнее управлять. Это приводит к более высокому уровню необходимого опыта. Это также увеличивает вероятность возникновения проблем со временем. Это увеличивает общую стоимость владения продуктом для организации.
Доступная поддержка
Шифрование может быть критически важным для бизнеса активом управления, а также технологией, способствующей развитию бизнеса. Поэтому важно, чтобы вы работали с организацией, будь то поставщик или партнер поставщика, который может предложить хорошую и доступную техническую поддержку.
Даже если вы выбираете продукт, который прост в использовании, то есть это приведет к сокращению объема необходимой технической поддержки, вы все равно должны подумать о возможности требовать поддержки в течение всего срока службы продукта. Через пару лет вы, возможно, захотите сделать что-то немного по-другому, например, посмотреть на шифрование новых устройств, которые могут быть нестандартными (например, RAID-серверы малого бизнеса). Таким образом, вы хотите убедиться, что вы можете взять телефон и поговорить с кем-то с достаточным опытом.
Вариант поддержки по телефону важен; возможность перейти на вызов в разумные сроки и на самом деле поговорить с экспертом. Поэтому мы, безусловно, рекомендуем вам протестировать этот процесс с поставщиком или партнером, прежде чем приступить к закупке.
Доказательство шифрования
Это хороший первый шаг для шифрования бизнес-ноутбуков, так как организации всегда будут терять ноутбуки. Шифрование превращает то, что потенциально может привести к потере информации, просто в потерю физического актива. Он защищает информацию организации и рассматривает обязательства организации.
Однако в соответствии с такими правилами, как Общее положение о защите данных (GDPR), часто требуется доказать, что устройства фактически были зашифрованы в случае потери. Это касается некоторых требований к отчетности в рамках этих правил. Доказательство того, что потеря устройства не является потерей информации, и необходимость избежать уведомления о нарушении – это то, о чем вы хотите подумать заранее.
Если вы развертываете продукт, который включает в себя централизованное управление, эта функциональность уже должна быть. Но многие малые предприятия предпочтут развертывание в более автономной конфигурации. Развертывание с централизованной платформой управления увеличивает стоимость, но также увеличивает риск.
При автономной установке вы все равно должны убедиться, что этот продукт имеет возможность создания отчетов, например, онлайн. Это позволяет сообщать о состоянии шифрования вашего имущества устройств.
Расширяемость
В первом случае вы, возможно, смотрите на развертывание шифрования в пределах Windows устройства. Поскольку технологии меняются и обновляются, в течение года или двух могут возникнуть другие требования. Возможно, вам придется управлять шифрованием на устройствах Mac или smartphones и мобильные устройства в том же наборе продуктов.
Поэтому рекомендуется искать поставщиков, предлагающих мультиплатформенные решения, которые помогут вам в выборе технологий на будущее. Это гарантирует, что вы не привязаны к поставщику, но, по крайней мере, гарантируете, что ваш существующий поставщик является вариантом по мере роста ваших требований.
Использование продуктов сертификации и схем обеспечения
Это хороший шаг для шифрования устройств и возможности доказать, что вы их зашифровали. Тем не менее, существует растущее нормативное требование, чтобы продемонстрировать, что вы прошли через некоторый процесс обеспечения того, чтобы внедряемая вами технология представляла наилучшую практику. Например, GDPR прямо ссылается на «современную» технологию.
Чтобы в полной мере убедиться, что вы управляете обязательствами, вам необходимо доказать, что вы не просто внедряете технологию, но и что она является «современной». Достижение такого уровня уверенности может быть достигнуто только путем изучения технологий, которые проходят стороннюю валидацию, обычно путем обеспечения качества продукции или сертификации. Это обеспечивает независимую проверку того, что продукт имеет надлежащее качество.
Существует множество общих схем сертификации, относящихся к продуктам шифрования. Одним из них является американский стандарт Федеральный стандарт обработки информации (FIPS), который обеспечивает правильную реализацию алгоритмов. Тем не менее, организации должны с осторожностью относиться к внедрению технологии только потому, что она имеет сертификат FIPS. Большинство продуктов используют те же алгоритмы, как Advanced Encryption Standard (AES). FIPS гарантирует, что сторонние разработчики подтвердили, что поставщик правильно реализовал алгоритм. Однако поставщики могут и до сих пор делают продукты ненадлежащим образом, которые оставляют уязвимости.
Хорошим примером таких уязвимостей в продуктах шифрования являются твердотельные накопители (SSD). Недавнее исследование, проведенное Университетом Радбу в Нидерландах, выявило уязвимости не только у одного поставщика, но и у целого ряда SSD поставщиков. Поставщики могут использовать ярлыки, что означает обнаружение уязвимостей. В этом случае исследователи смогли обойти шифрование внутри SSD.
Организации лучше искать схемы сертификации, которые являются более всеобъемлющими. Одним из примеров является схема коммерческого обеспечения качества продуктов (CPA), управляемая Национальным центром кибербезопасности Великобритании (NCSC). CPA работает вместе с FIPS для проверки алгоритмов, но он говорит больше об общем качестве продукта и его реализации, рассматривая архитектуру безопасности, чтобы убедиться, что она была разработана и реализована разумным способом.
В нем также рассматриваются стандарты кодирования и сборки, разработанные поставщиком, что снижает риск возникновения уязвимости в продукте. Риск никогда полностью не уменьшается, но он, безусловно, сводится к тому, что вы, как организация, принимаете передовой опыт.
Важность должной осмотрительности при принятии шифрования
Организации, в частности МСП, должны рассмотреть эти пять ключевых шагов при принятии шифрования. Наряду с безопасностью и обязательствами, они также должны быть обеспокоены стоимостью обнаружения продуктов с публичными уязвимостями. Впоследствии им также нужно подумать о стоимости перехода на другое решение.
В конечном счете, принятие шифрования не является ракетостроением. В ходе своих исследований вышеупомянутые исследователи из Университета Радбуда подчеркнули, что хорошо реализовать шифрование непросто, и легко допустить ошибки. Однако большинство хороших поставщиков или их партнеров должны быть в состоянии проконсультировать вас по приведенным выше рекомендациям.
Add comment