Szyfrowanie dysku, TCG Opal i dyski samoszyfrujące – kompendium wiedzy o bezpieczeństwie danych

21.11.2018 | autor: Mariusz Ignar | Przeczytasz w 7 minut
Zwiększ rozmiar tekstu

Utrata, lub kradzież poufnych danych firmowych jest zawsze zdarzeniem stresującym, ale od tego roku globalne uregulowania, takie jak obowiązujące w UE rozporządzenie RODO dotyczące bezpieczeństwa danych, mogą dodatkowo skutkować karami pieniężnymi w razie niedbałości w odpowiednim zabezpieczeniu danych objętych specjalną ochroną.

Wiele organizacji, wyposażających swoich pracowników w laptopy, na których takie dane są przetwarzane, musi podjąć dodatkowe działania mające na celu zabezpieczenie danych na dysku, w przypadku zagubienia laptopa lub kradzieży.

Trzeba bowiem wiedzieć, że samo hasło do systemu Windows, niezależnie od tego jak będzie mocne, nie zabezpiecza przed dostępem do danych na dysku i odczytaniem wybranych informacji. Jedynym skutecznym rozwiązaniem na wysokie bezpieczeństwo danych jest całkowite szyfrowanie dysku SSD – najlepiej całego.

Z naszego poradnika dowiesz się wszystkiego, co musisz wiedzieć o szyfrowaniu danych na dysku:

  • Dlaczego warto szyfrować dane na dysku?
  • Bezpieczeństwo danych a RODO
  • Jak zabezpieczyć dane?
  • Szyfrowanie sprzętowe a programowe. Co wybrać?
  • Jak działa dysk SED?
  • Co to jest TCG Opal?
  • Jaki dysk samoszyfrujący wybrać?

Dlaczego warto szyfrować dane na dysku?

Dane na dysku warto szyfrować, aby zapobiec przedostaniu się w niepowołane ręce ważnych informacji prywatnych lub firmowych, znajdujących w systemie i aplikacjach zainstalowanych na komputerze. Korzyścią jest mniejszy stres i ewentualne problemy, gdyby laptop z takimi danymi został skradziony lub zgubiony.

Bezpieczeństwo danych a RODO

Od 2018 roku, zgodnie z rozporządzeniem RODO, organizacje mające do czynienia z danymi prywatnymi, muszą podejmować dodatkowe działania mające na celu zapobieganie wyciekom, utracie i kradzieżom danych.

  • Za wyciek danych osobowych – jak imiona, nazwiska, daty urodzenia, dane bankowe lub dokumentacja medyczna, kary pieniężne mogą sięgać 4% przychodów organizacji lub 20 milionów euro.
  • Niezależnie od kary, w każdym przypadku utraty ochrony danych osobowych należy informować zainteresowanych oraz organy nadzorcze. Zatem poza kosztami w formie kar pieniężnych, lub obsługi prawnej, można mieć też koszty pośrednie, jak negatywny rozgłos, utrata zaufania klientów, itp.

W takim kontekście, wdrożenie procedury szyfrowania dysków i dobre zabezpieczenie laptopa, nie wydaje się kosztem zbyt wysokim lub nieuzasadnionym kosztowo.

Warto zdawać sobie sprawę, że wiele istotnych danych, szczególnie tych objętych klauzulą poufności RODO, może być przechowywanych w pamięci podręcznej np.: przeglądarki internetowej lub w plikach programu pocztowego.

O ile konkretne pliki i dokumenty jak .doc .xls, .pdf, itp. można umieścić w specjalnie chronionej przestrzeni lub zaszyfrowanej partycji, to pliki tymczasowe, foldery cache, foldery systemowe, a nawet kosz z usuniętymi danymi – o którym często zapominamy, trudniej jest chronić osobie nie mającej specjalistycznej wiedzy i doświadczenia.

szyfrowanie dysku SSD

Jak zabezpieczyć dane?

Można szkolić pracowników, jak zabezpieczać służbowe laptopy. Można wdrożyć odpowiednie procedury reagowania w sytuacjach awaryjnych. Można prowadzić regularne kontrole. Jednak nawet najlepsze szkolenia nie dają całkowitej pewności i nie wyeliminują słabych ogniw. Dlatego najlepszym i najprostszym sposobem jest po prostu zaszyfrowanie całego dysku.

Szyfrowanie danych daje bardzo wysokie poczucie bezpieczeństwa, ponieważ kradzież laptopa, choć jest problemem, nie grozi wyciekiem danych i koniecznością zgłaszania do organów nadzorczych RODO (utrata laptopa nie jest jednoznaczna z utratą ochrony nad danymi, bo dane nadal są chronione).

Instalując w laptopie samoszyfrujący dysk SSD, duże organizacje mogą znacznie skrócić czas potrzebny personelowi IT na wdrożenie szyfrowania sprzętowego. Konserwacja laptopów może być mniej pracochłonna, a usługi na wyższym poziomie.

Dysk SSD automatycznie szyfruje dane, kiedy system jest bezczynny, a dział IT będzie mieć pełną kontrolę nad danymi, w systemie zarządzania punktami końcowymi.

Szyfrowanie sprzętowe a programowe. Co wybrać?

Do użytku prywatnego i w niewielkich firmach, gdzie łatwo kontrolować flotę sprzętu, może wystarczyć metoda szyfrowania programowego. Można w tym celu skorzystać z jednej z dwóch najpopularniejszych aplikacji do szyfrowania dysku: BitLocker zintegrowany w systemie Windows Pro (tylko dla systemu Windows) lub VeraCrypt dla systemów Windows i Linux (wiele dystrybucji systemu Linux również oferuje zintegrowane mechanizmy LUKS do szyfrowania partycji).

Aby dane były odpowiednio mocno chronione, minimalny zalecany poziom szyfrowania to algorytm AES z kluczem 256-bitowym.

  • W szyfrowaniu programowym, główny ciężar szyfrowania/odszyfrowania danych spada na CPU komputera. Obecnie nie jest to już duży problem, bowiem wszystkie stosowane procesory korzystają z dedykowanych instrukcji AES (np.: Intel® AES-NI), które umożliwiają szybkie i bezpieczne szyfrowanie i deszyfrowanie danych. Zaszyfrowany dysk nie stanowi już obciążenia dla systemu i cały proces jest nieodczuwalny dla użytkownika podczas działania komputera.
  • Szyfrowanie programowe można zastosować na każdym z dysków, SSD i HDD, choć w tym drugim przypadku szyfrowanie będzie miało znaczący wpływ na wydajność dysku. Nadaje się do szyfrowania tylko wybranych partycji, szczególnie na dyskach HDD o bardzo dużej pojemności – np. 4TB.
  • Szyfrowanie programowe nadaje się do zabezpieczenia dysków zewnętrznych USB i podpinanych do różnych komputerów (np.: jako backup danych). Sprawdzi się również, gdy w razie awarii laptopa planujemy szybkie przepięcie dysku do innego komputera lub laptopa.

Szyfrowanie sprzętowe

Drugim, nowocześniejszym rozwiązaniem, jest samoszyfrujący dysk SSD (SED, Self-Encrypting Drive), które zapewniają sprzętowe szyfrowanie danych 256-bitową metodą AES.

Zanim rozpoczęto prace nad szyfrowaniem dysków, amerykańska Agencja Bezpieczeństwa Narodowego (NSA) przeanalizowała temat bezpieczeństwa danych i stwierdziła, że najlepiej jeśli szyfrowanie będzie wykonywane na poziomie samego dysku. Powszechna zasada mówi, że strażnicy powinni znajdować się jak najbliżej chronionego obiektu. Zatem samoszyfrowanie SED w dysku SSD jest najskuteczniejszym rozwiązaniem, bo właśnie na nim znajdują się dane.

Do aktywacji szyfrowania może być konieczny moduł TPM, ale można również skorzystać z otwarto-źródłowych aplikacji, pozwalających skonfigurować i włączyć szyfrowanie na dysku SED. Jednym z przykładów jest aplikacja SEDUTIL.

szyfrowanie dysku SSD

Jak działa dysk SED?

Każdy nowy dysk SED losowo generuje fabryczny klucz szyfrowania, który jest zapisywany na dysku. Przed zapisem na dysku dane są szyfrowane (przy użyciu wbudowanego klucza szyfrowania). Podczas operacji odczytu zaszyfrowane dane są odszyfrowywane, zanim opuszczą dysk. Podczas normalnej pracy dysk SED jest dostępny dla systemu, podobnie jak każdy niezaszyfrowany dysk. Dysk SED nieustannie wykonuje operacje szyfrowania i nie można tej funkcji wyłączyć przypadkowo.

Dysk SED oferuje dwa tryby: automatycznego blokowania oraz szybkiego bezpiecznego wymazywania danych.

  • Technologia szybkiego bezpiecznego wymazywania danych – upraszcza przekazanie dysku do innych zastosowań i likwidację zużytego dysku. Wystarczy skasować klucz szyfrowania i zastąpić go nowym (wygenerowanym losowo), a nie będzie już można odczytać żadnych danych z dysku.
  • Tryb automatycznego blokowania – sprawia, że po wyłączeniu zasilania dysk zostanie zablokowany (nie można go odczytać na innym komputerze), a po ponownym włączeniu zasilania wymagane będzie uwierzytelnianie (klucz uwierzytelniania). W ten sposób dyski SSD SED zabezpieczają dane, jeśli firmware wykryje, że dysk został podłączony do komputera innego niż szyfrujący.

Szybkie wymazywanie umożliwia bezpieczny zwrot dysku, jego utylizację lub przeznaczenie do innego celu. W dużych organizacjach, dyski z funkcją samoszyfrowania ograniczają koszty związane z wycofywaniem dysków z użycia.

Zastępowanie danych na dyskach jest kosztowne i wiąże się z wykorzystaniem zasobów systemowych przez wiele dni. Niektóre firmy uznały, że jedyną metodą bezpiecznego wycofania dysków (bez funkcji SED) z użytku jest zachowanie ich pod własną kontrolą, tzn. przechowywanie bezterminowo w magazynach, lub całkowita likwidacja dysków.

Żadna z metod nie zapewnia jednak pełnej ochrony, ponieważ w przypadku znacznej liczby dysków nie można uniknąć zagubienia lub kradzieży niektórych z nich – szczególnie gdy utrata tylko jednego dysku może być źródłem strat na poziomie miliona euro, lub związanych z naruszeniem przepisów dotyczących ochrony danych.

W rezultatach studium przeprowadzonego przez firmę IBM ustalono, że 90% dysków zwróconych do IBM zawierało czytelne dane.

Co to jest TCG Opal?

Specyfikacji samoszyfrujących dysków SSD zazwyczaj towarzyszy informacja o zgodności ze standardem TCG Opal 2.0. Oto najważniejsze informacje.

  • TCG – specyfikacja Opal została opracowana przez TCG (Trusted Computing Group). Jest to standard opisujący tworzenie i zarządzanie uniwersalnymi dyskami samoszyfrującymi w celu ochrony danych w drodze i w spoczynku przed utratą, kradzieżą, zmianą przeznaczenia lub końcem eksploatacji dysku.
  • Trusted Computing Group – w jej skład wchodzą m.in. AMD, Dell, Fujitsu, Hitachi, HP, IBM, intel, GST, Google, Lenovo, LG, Seagate, Samsung, Toshiba i Western Digital, czyli najwięksi producenci sprzętu, oprogramowania i producenci dysków twardych
  • TCG Opal 2.0 – jeśli dysk lub oprogramowanie do zarządzania takimi dyskami jest zgodne z standardem TCG Opal 2.0, mamy 100% pewność, że będą ze sobą współpracowały. Obsługę rozwiązań do zarządzania zabezpieczeniami TCG Opal 2.0 umożliwia oprogramowanie między innymi takich dostawców jak Symantec, McAfee czy WinMagic.
  • Układ TPM -warunkiem korzystania z TCG Opal 2.0 jest laptop wyposażony w układ TPM (Trusted Platform Module). Istnieje jednak poważne ryzyko związane z korzystanie z modułu TPM. Gdy sprzęt się zepsuje, dysku nie będzie można odtworzyć na innym komputerze, a dane znikną na zawsze.

Jaki dysk samoszyfrujący wybrać?

Jednym z przykładowych rozwiązań w tym zakresie jest samoszyfrujący dysk UV500 SSD firmy Kingston, zgodny ze specyfikacją TCG-Opal 2.0, która umożliwia szyfrowanie danych „w locie”.

Dyski SED z serii UV500 są dedykowane dla organizacji, które planują zwiększyć zabezpieczenia systemów końcowych. SSD korzystają z technologii 3D NAND Flash i są zgodne ze standardem TCG Opal 2.0, opartym na szyfrowaniu danych 256-bitową metodą AES.

Dostępne są trzy formaty: klasyczny dysk w obudowie 2.5″, dysk do złącza M.2 i do złącza mSATA. To pozwala na wdrażanie rozwiązań we wszystkich typach komputerów stacjonarnych, laptopach lub tabletach.

szyfrowanie dysku SSD
Kingston UV500

Kingston UV500 to rozwiązanie umożliwiające działom IT lepszą ochronę danych firmowych – firmowe adresy IP i hasła, dane klientów, pracowników, czy wszystkie inne wrażliwe informacje, które w przypadku wycieku danych mogą narazić firmową sieć i bazy danych na ataki lub włamania.

Szeroka gama modeli o pojemnościach od 120GB od 1,92TB, pozwoli wybrać model odpowiadający potrzebom każdego użytkownika.

Zastosowanie kontrolera Marvell 88SS1074 w połączeniu z 64-warstwową pamięcią flash NAND 3D TLC nowej generacji, pozwoliło uzyskać prędkości odczytu 520MB/s i zapisu 500MB/s (z wyjątkiem dysku o pojemności 120GB, dla którego zapis wynosi 320MB/s).

Szacowana żywotność to 1 mln godz. MTBF, a 5-letnia gwarancja zawiera bezpłatną pomocą techniczną.


Może Cię zainteresować:

Autor
Mariusz Ignar
Od lat obecny w branży technologicznej. Trzyma rękę na pulsie wszelkich nowości i sprawdza zgodność marketingowych haseł z codziennością użytkowników. Docenia wartościową treść, szczególnie jeśli opakowana jest w atrakcyjną formę.
Dziękujemy, że przeczytałeś cały artykuł. Jak go oceniasz?

Czytaj więcej


Polecane produkty

HP No. 652 kolor
Cena od 57,90zł
Accura HDMI 1.8m
Cena od 39,90zł
Accura micro USB 1.5m czarny
Cena od 29,90zł
HP No. 652 czarny
Cena od 74,90zł
Samsung 860 Evo 500GB
Cena od 299,00zł
HP No. 650 czarny
Cena od 58,90zł
Woreczek do prania Fassino Veneto 2szt.
Cena od 9,99zł
Kingston SSD A400 480GB
Cena od 259,00zł
Accura Tule ACC-M1015
Cena od 39,90zł
Accura Napa ACC-M1204
Cena od 49,90zł
Accura Premium USB-B 1.8m czarny
Cena od 24,90zł
Accura ToledoPro ACC-K1414
Cena od 39,90zł
Accura HDMI 0.9m
Cena od 29,90zł
Accura Premium SATA 0.5m
Cena od 19,90zł
Accura micro USB 1.8m czarny
Cena od 6,90zł
Accura Yorba ACC-M1203
Cena od 29,90zł
Accura VGA - HDMI
Cena od 59,90zł
Accura USB-C czarny
Cena od 5,90zł
Accura micro USB 1.0m czarny
Cena od 5,90zł
Accura USB-C czarny
Cena od 34,90zł
Accura Ring ACC5115 black
Cena od 1,00zł
Accura HDMI 3.0m
Cena od 49,90zł
Kingston DataTraveler 100 G3 32GB USB 3.0
Cena od 30,90zł
Accura micro USB 1.0m czarny
Cena od 29,90zł
Fartuszek kuchenny Fassino Pelago 67x71
Cena od 19,99zł
CA Office Arcata CA-1007
Cena od 59,90zł
Accura Premium SATA III 0.5m
Cena od 24,90zł
CA Office Skytop CA-1208
Cena od 39,90zł
HP No. 650 kolor
Cena od 51,90zł
Xiaomi Mi Band 4
Cena od 119,00zł
Accura Premium 5.0m szary
Cena od 19,90zł
Accura Premium 2.0m szary
Cena od 15,90zł
Accura Zion ACC-M1009 Silent
Cena od 49,90zł
Accura Premium miniJack 1.2m
Cena od 16,90zł
Kingston microSDHC Canvas Select Plus 32GB 100R Class 10 UHS-I
Cena od 26,90zł
Rękawice do mycia Fassino Pelago (komplet)
Cena od 19,90zł
GOODRAM CX400 512GB
Cena od 259,00zł
Fartuszek kuchenny Fassino Rufina 89x60
Cena od 19,90zł
Accura Vista ACC-K1411
Cena od 29,90zł
Razer Goliathus Control Fissure Small
Cena od 49,00zł
HP No. 301 czarny
Cena od 81,90zł
Accura Triple 17W AccuQuick
Cena od 49,90zł
Kingston microSDXC Canvas Select Plus 128GB 100R Class 10 UHS-I
Cena od 66,90zł
Accura Premium VGA
Cena od 19,90zł
Accura Premium USB-B 3.0m czarny
Cena od 29,90zł
Accura Light 30W Quick Charge 3.0
Cena od 39,90zł
Accura Premium DVI/D 1.8m
Cena od 34,90zł
Accura Premium DisplayPort 1.8m
Cena od 79,90zł
Papier HP Home & Office
Cena od 19,90zł