Kibernetska varnost

Varnost podatkov in šifriranje

Število vdorov v računalniške sisteme in varnostnih groženj vztrajno narašča že leta.

Pred 15 leti je bilo letno poročano število vdorov 157 milijonov, do pričetka leta 2020 pa se je letno število kar 10krat povečalo. [1,2] V letošnjem letu smo zaradi COVIDa priča masivnemu premiku širokega nabora aktivnosti v virtualna in spletna okolja, ki še kar traja. S tem se je možnost napadov izjemno povečala, kar se tudi že zrcali v pospešeno naraščajočem številu uspešnih varnostnih vdorov. Varnost podatkov podjetij je ogrožena.

Koncept varovanja podatkov (Data Security) se nanaša na množico standardov in tehnologij, ki so posvečeni varstvu podatkov pred nepooblaščenim dostopom in spreminjanjem. Onemogočajo namerno ali nenamerno uničenje, spremembo ali razkritje podatkov. Vključujejo lahko tudi vidik fizične varnosti.

Eno od orodij, ki ga lahko uporabimo za zagotavljanje varnosti podatkov, je šifriranje oz. enkripcija. O simetričnem in asimetričnem šifriranju ter različnih scenarijih, v katerih ju lahko uporabimo, smo na blogu že pisali, lahko pa hitro osvežimo glavni mehanizem, ki ga obe uporabljata. Na eni strani imamo pošiljatelja in na drugi naslovnika, ki si želita izmenjati sporočilo, čistopis (plaintext) preko nezavarovanega kanala. Obe strani sta se pred tem zedinili, kateri šifrirni algoritem, šifro, naj uporabita, ter izmenjali zahtevane šifrirne ključe. Pošiljatelj z uporabo svojega ključa zašifrira čistopis (ciphertext), ga pošlje po nezavarovanem kanalu, prejemnik ga dešifrira in prebere sporočilo.

Ena pomembnejših stvari, ki jo moramo imeti v mislih, je, da moramo pred šifriranjem podatkov dobro razumeti, s kakšnimi podatki sploh delamo, kateri algoritmi so primerni za naše potrebe in kje bodo shranjeni šifrirni ključi. Želimo šifrirati data-at-rest? Bi z asimetrično kriptografijo želeli zagotoviti avtentičnost sporočila? Ali morda postavljamo End-to-End Encryption (EEE)? Kje in kako bodo shranjeni naši ključi?

Poleg tega je šifriranje le eno od orodij, ki nam lahko pomagajo pri zagotavljanju varstva podatkov. Poznamo tudi razpršilne funkcije (hash functions), tokenizacijo, avtentikacijske mehanizme in mehanizme za izmenjavo ključev, upravljanje ključev in druge komponente, ki jih mora strategija za zaščito podatkov upoštevati.

---
Viri:

[1] J.Clement, Statista, 10.3.2020
https://www.statista.com/statistics/273550/data-breaches-recorded-in-the-united-states-by-number-of-breaches-and-records-exposed/
[2] ITRC
https://www.idtheftcenter.org/2019-data-breaches/

Novice

Spletni seminar: Konsolidacija varnostnih rešitev v podjetju

CynetUdeležite se spletnega seminarja proizvajalca Cynet Security na temo konsolidacije varnostnih rešitev v manjših in srednje velikih podjetjih (MSP).

Več

Utimaco na konferenci RISK 2020

Utimaco presentation RISK 2020Podjetje Utimaco bo prisotno tudi na konferenci RISK 2020 s predavanjem "Trust the NEXT Digital Era".

Več

Predavanje o post-kvantni kriptografiji za ZIT

Technical Training Utimaco HSM BG May 2019 20190613 101217 smlPodjetje CREAplus je 6.11.2020 uspešno izvedlo spletno predavanje z naslovom "Spoznajte post-kvatno kriptografijo (PQC) - Kvantno računalništvo in kriptografija". 

Več

CREAplus uspešno izvedla izpopolnjevanje za Utimaco HSM

Technical Training Utimaco HSM BG May 2019 20190613 101217 smlPodjetje CREAplus, pooblaščeni izpopolnjevalni partner podjetja Utimaco, je v mesecu novembru 2020 uspešno izvedlo spletno dvodnevno praktično tehnično izpopolnjevanje za strojne varnostne module HSM Utimaco.

Več

Spletni seminar: Spoznajte post-kvantno kriptografijo (PQC)

PQCVstopite v svet kvantnega računalništva - udeležite se spletnega seminarja Spoznajte post-kvantno kriptografijo (PQC) v petek, 6.11.2020 ob 11:00 v organizaciji Združenja za informatiko in telekomunikacije (ZiT) Gospodarske zbornice Slovenije.

Več