Szyfrowanie dysku, TCG Opal i dyski samoszyfrujące – kompendium wiedzy o bezpieczeństwie danych

Utrata, lub kradzież poufnych danych firmowych jest zawsze zdarzeniem stresującym, ale od tego roku globalne uregulowania, takie jak obowiązujące w UE rozporządzenie RODO dotyczące bezpieczeństwa danych, mogą dodatkowo skutkować karami pieniężnymi w razie niedbałości w odpowiednim zabezpieczeniu danych objętych specjalną ochroną.

Wiele organizacji, wyposażających swoich pracowników w laptopy, na których takie dane są przetwarzane, musi podjąć dodatkowe działania mające na celu zabezpieczenie danych na dysku, w przypadku zagubienia laptopa lub kradzieży.

Trzeba bowiem wiedzieć, że samo hasło do systemu Windows, niezależnie od tego jak będzie mocne, nie zabezpiecza przed dostępem do danych na dysku i odczytaniem wybranych informacji. Jedynym skutecznym rozwiązaniem na wysokie bezpieczeństwo danych jest całkowite szyfrowanie dysku SSD – najlepiej całego.

Z naszego poradnika dowiesz się wszystkiego, co musisz wiedzieć o szyfrowaniu danych na dysku:

  • Dlaczego warto szyfrować dane na dysku?
  • Bezpieczeństwo danych a RODO
  • Jak zabezpieczyć dane?
  • Szyfrowanie sprzętowe a programowe. Co wybrać?
  • Jak działa dysk SED?
  • Co to jest TCG Opal?
  • Jaki dysk samoszyfrujący wybrać?

Dlaczego warto szyfrować dane na dysku?

Dane na dysku warto szyfrować, aby zapobiec przedostaniu się w niepowołane ręce ważnych informacji prywatnych lub firmowych, znajdujących w systemie i aplikacjach zainstalowanych na komputerze. Korzyścią jest mniejszy stres i ewentualne problemy, gdyby laptop z takimi danymi został skradziony lub zgubiony.

Bezpieczeństwo danych a RODO

Od 2018 roku, zgodnie z rozporządzeniem RODO, organizacje mające do czynienia z danymi prywatnymi, muszą podejmować dodatkowe działania mające na celu zapobieganie wyciekom, utracie i kradzieżom danych.

  • Za wyciek danych osobowych – jak imiona, nazwiska, daty urodzenia, dane bankowe lub dokumentacja medyczna, kary pieniężne mogą sięgać 4% przychodów organizacji lub 20 milionów euro.
  • Niezależnie od kary, w każdym przypadku utraty ochrony danych osobowych należy informować zainteresowanych oraz organy nadzorcze. Zatem poza kosztami w formie kar pieniężnych, lub obsługi prawnej, można mieć też koszty pośrednie, jak negatywny rozgłos, utrata zaufania klientów, itp.

W takim kontekście, wdrożenie procedury szyfrowania dysków i dobre zabezpieczenie laptopa, nie wydaje się kosztem zbyt wysokim lub nieuzasadnionym kosztowo.

Warto zdawać sobie sprawę, że wiele istotnych danych, szczególnie tych objętych klauzulą poufności RODO, może być przechowywanych w pamięci podręcznej np.: przeglądarki internetowej lub w plikach programu pocztowego.

O ile konkretne pliki i dokumenty jak .doc .xls, .pdf, itp. można umieścić w specjalnie chronionej przestrzeni lub zaszyfrowanej partycji, to pliki tymczasowe, foldery cache, foldery systemowe, a nawet kosz z usuniętymi danymi – o którym często zapominamy, trudniej jest chronić osobie nie mającej specjalistycznej wiedzy i doświadczenia.

szyfrowanie dysku SSD

Jak zabezpieczyć dane?

Można szkolić pracowników, jak zabezpieczać służbowe laptopy. Można wdrożyć odpowiednie procedury reagowania w sytuacjach awaryjnych. Można prowadzić regularne kontrole. Jednak nawet najlepsze szkolenia nie dają całkowitej pewności i nie wyeliminują słabych ogniw. Dlatego najlepszym i najprostszym sposobem jest po prostu zaszyfrowanie całego dysku.

Szyfrowanie danych daje bardzo wysokie poczucie bezpieczeństwa, ponieważ kradzież laptopa, choć jest problemem, nie grozi wyciekiem danych i koniecznością zgłaszania do organów nadzorczych RODO (utrata laptopa nie jest jednoznaczna z utratą ochrony nad danymi, bo dane nadal są chronione).

Instalując w laptopie samoszyfrujący dysk SSD, duże organizacje mogą  znacznie skrócić czas potrzebny personelowi IT na wdrożenie szyfrowania sprzętowego. Konserwacja laptopów może być mniej pracochłonna, a usługi na wyższym poziomie.

Dysk SSD automatycznie szyfruje dane, kiedy system jest bezczynny, a dział IT będzie mieć pełną kontrolę nad danymi, w systemie zarządzania punktami końcowymi.

Szyfrowanie sprzętowe a programowe. Co wybrać?

Do użytku prywatnego i w niewielkich firmach, gdzie łatwo kontrolować flotę sprzętu, może wystarczyć metoda szyfrowania programowego. Można w tym celu skorzystać z jednej z dwóch najpopularniejszych aplikacji do szyfrowania dysku: BitLocker zintegrowany w systemie Windows Pro (tylko dla systemu Windows) lub VeraCrypt dla systemów Windows i Linux (wiele dystrybucji systemu Linux również oferuje zintegrowane mechanizmy LUKS do szyfrowania partycji).

Aby dane były odpowiednio mocno chronione, minimalny zalecany poziom szyfrowania to algorytm AES z kluczem 256-bitowym.

  • W szyfrowaniu programowym, główny ciężar szyfrowania/odszyfrowania danych spada na CPU komputera. Obecnie nie jest to już duży problem, bowiem wszystkie stosowane procesory korzystają z dedykowanych instrukcji AES (np.: Intel® AES-NI), które umożliwiają szybkie i bezpieczne szyfrowanie i deszyfrowanie danych. Zaszyfrowany dysk nie stanowi już obciążenia dla systemu i cały proces jest nieodczuwalny dla użytkownika podczas działania komputera.
  • Szyfrowanie programowe można zastosować na każdym z dysków, SSD i HDD, choć w tym drugim przypadku szyfrowanie będzie miało znaczący wpływ na wydajność dysku. Nadaje się do szyfrowania tylko wybranych partycji, szczególnie na dyskach HDD o bardzo dużej pojemności – np. 4TB.
  • Szyfrowanie programowe nadaje się do zabezpieczenia dysków zewnętrznych USB i podpinanych do różnych komputerów (np.: jako backup danych). Sprawdzi się również, gdy w razie awarii laptopa planujemy szybkie przepięcie dysku do innego komputera lub laptopa.

Szyfrowanie sprzętowe

Drugim, nowocześniejszym rozwiązaniem, jest samoszyfrujący dysk SSD (SED, Self-Encrypting Drive), które zapewniają sprzętowe szyfrowanie danych 256-bitową metodą AES.

Zanim rozpoczęto prace nad szyfrowaniem dysków, amerykańska Agencja Bezpieczeństwa Narodowego (NSA) przeanalizowała temat bezpieczeństwa danych i stwierdziła, że najlepiej jeśli szyfrowanie będzie wykonywane na poziomie samego dysku. Powszechna zasada mówi, że strażnicy powinni znajdować się jak najbliżej chronionego obiektu. Zatem samoszyfrowanie SED w dysku SSD jest najskuteczniejszym rozwiązaniem, bo właśnie na nim znajdują się dane.

Do aktywacji szyfrowania może być konieczny moduł TPM, ale można również skorzystać z otwarto-źródłowych aplikacji, pozwalających skonfigurować i włączyć szyfrowanie na dysku SED. Jednym z przykładów jest aplikacja SEDUTIL.

szyfrowanie dysku SSD

Jak działa dysk SED?

Każdy nowy dysk SED losowo generuje fabryczny klucz szyfrowania, który jest zapisywany na dysku. Przed zapisem na dysku dane są szyfrowane (przy użyciu wbudowanego klucza szyfrowania). Podczas operacji odczytu zaszyfrowane dane są odszyfrowywane, zanim opuszczą dysk. Podczas normalnej pracy dysk SED jest dostępny dla systemu, podobnie jak każdy niezaszyfrowany dysk. Dysk SED nieustannie wykonuje operacje szyfrowania i nie można tej funkcji wyłączyć przypadkowo.

Dysk SED oferuje dwa tryby: automatycznego blokowania oraz szybkiego bezpiecznego wymazywania danych.

  • Technologia szybkiego bezpiecznego wymazywania danych – upraszcza przekazanie dysku do innych zastosowań i likwidację zużytego dysku. Wystarczy skasować klucz szyfrowania i zastąpić go nowym (wygenerowanym losowo), a nie będzie już można odczytać żadnych danych z dysku.
  • Tryb automatycznego blokowania – sprawia, że po wyłączeniu zasilania dysk zostanie zablokowany (nie można go odczytać na innym komputerze), a po ponownym włączeniu zasilania wymagane będzie uwierzytelnianie (klucz uwierzytelniania). W ten sposób dyski SSD SED zabezpieczają dane, jeśli firmware wykryje, że dysk został podłączony do komputera innego niż szyfrujący.

Szybkie wymazywanie umożliwia bezpieczny zwrot dysku, jego utylizację lub przeznaczenie do innego celu. W dużych organizacjach, dyski z funkcją samoszyfrowania ograniczają koszty związane z wycofywaniem dysków z użycia.

Zastępowanie danych na dyskach jest kosztowne i wiąże się z wykorzystaniem zasobów systemowych przez wiele dni. Niektóre firmy uznały, że jedyną metodą bezpiecznego wycofania dysków (bez funkcji SED) z użytku jest zachowanie ich pod własną kontrolą, tzn. przechowywanie bezterminowo w magazynach, lub całkowita likwidacja dysków.

Żadna z metod nie zapewnia jednak pełnej ochrony, ponieważ w przypadku znacznej liczby dysków nie można uniknąć zagubienia lub kradzieży niektórych z nich – szczególnie gdy utrata tylko jednego dysku może być źródłem strat na poziomie miliona euro, lub związanych z naruszeniem przepisów dotyczących ochrony danych.

W rezultatach studium przeprowadzonego przez firmę IBM ustalono, że 90%  dysków zwróconych do IBM zawierało czytelne dane.

Co to jest TCG Opal?

Specyfikacji samoszyfrujących dysków SSD zazwyczaj towarzyszy informacja o zgodności ze standardem TCG Opal 2.0. Oto najważniejsze informacje.

  • TCG – specyfikacja Opal została opracowana przez TCG (Trusted Computing Group). Jest to standard opisujący tworzenie i zarządzanie uniwersalnymi dyskami samoszyfrującymi w celu ochrony danych w drodze i w spoczynku przed utratą, kradzieżą, zmianą przeznaczenia lub końcem eksploatacji dysku.
  • Trusted Computing Group  – w jej skład wchodzą m.in. AMD, Dell, Fujitsu, Hitachi, HP, IBM, intel, GST, Google, Lenovo, LG, Seagate, Samsung, Toshiba i Western Digital, czyli najwięksi producenci sprzętu, oprogramowania i producenci dysków twardych
  • TCG Opal 2.0 – jeśli dysk lub oprogramowanie do zarządzania takimi dyskami jest zgodne z standardem TCG Opal 2.0, mamy 100% pewność, że będą ze sobą współpracowały. Obsługę rozwiązań do zarządzania zabezpieczeniami TCG Opal 2.0 umożliwia oprogramowanie między innymi takich dostawców jak Symantec, McAfee czy WinMagic.
  • Układ TPM -warunkiem korzystania z TCG Opal 2.0 jest laptop wyposażony w układ TPM (Trusted Platform Module). Istnieje jednak poważne ryzyko związane z korzystanie z modułu TPM. Gdy sprzęt się zepsuje, dysku nie będzie można odtworzyć na innym komputerze, a dane znikną na zawsze.

Jaki dysk samoszyfrujący wybrać?

Jednym z przykładowych rozwiązań w tym zakresie jest samoszyfrujący dysk UV500 SSD firmy Kingston, zgodny ze specyfikacją TCG-Opal 2.0, która umożliwia szyfrowanie danych „w locie”.

Dyski SED z serii UV500 są dedykowane dla organizacji, które planują zwiększyć zabezpieczenia systemów końcowych. SSD korzystają z technologii 3D NAND Flash i są zgodne ze standardem TCG Opal 2.0, opartym na szyfrowaniu danych 256-bitową metodą AES.

Dostępne są trzy formaty: klasyczny dysk w obudowie 2.5”, dysk do złącza M.2 i do złącza mSATA. To pozwala na wdrażanie rozwiązań we wszystkich typach komputerów stacjonarnych, laptopach lub tabletach.

szyfrowanie dysku SSD
Kingston UV500

Kingston UV500 to rozwiązanie umożliwiające działom IT lepszą ochronę danych firmowych – firmowe adresy IP i hasła, dane klientów, pracowników, czy wszystkie inne wrażliwe informacje, które w przypadku wycieku danych mogą narazić firmową sieć i bazy danych na ataki lub włamania.

Szeroka gama modeli o pojemnościach od 120GB od 1,92TB, pozwoli wybrać model odpowiadający potrzebom każdego użytkownika.

Zastosowanie kontrolera Marvell 88SS1074 w połączeniu z 64-warstwową pamięcią flash NAND 3D TLC nowej generacji, pozwoliło uzyskać prędkości odczytu 520MB/s i zapisu 500MB/s (z wyjątkiem dysku o pojemności 120GB, dla którego zapis wynosi 320MB/s).

Szacowana żywotność to 1 mln godz. MTBF, a 5-letnia gwarancja zawiera bezpłatną pomocą techniczną.


Kingston SSDNow UV500 Dyski SSD
szyfrowanie dysku SSD szyfrowanie dysku SSD

Szyfrowanie dysku, TCG Opal i dyski samoszyfrujące – kompendium wiedzy o bezpieczeństwie danych
5 (100%) 2 głosów