Súlad s GDPR a šifrovanie

Prečo treba začat brať ochranu údajov vážne

GDPR ochrana údajov

Ako vám šifrovanie pomáha byť v súlade s GDPR

Ak podnikáte v EÚ, nové všeobecné nariadenie o ochrane osobných údajov (GDPR) sa s veľkou pravdepodobnosťou týka aj vás. Do platnosti síce vstúpi až v máji 2018, avšak vzhľadom na jeho komplexnosť a vysoké pokuty za nesplnenie požiadaviek, je včasná príprava na tento dátum veľmi dôležitá.

Šifrovanie osobných údajov, ktorými disponujete, môže byť dôležitým obranným nástrojom pre vašu firmu či organizáciu v prípade neželaného napadnutia systému. Ak sú totiž počas úniku vaše údaje riadne šifrované, pravdepodobnosť, že príslušné úrady posúdia takýto bezpečnostný incident ako nesplnenie súladu s GDPR, je podstatne nižšia. ESET Endpoint Encryption využíva kombináciu verejného a súkromného kľúča, ktorá robí šifrovanie jednoduchým a výkonným riešením pre organizácie akejkoľvek veľkosti.

Čo je šifrovanie?

Šifrovanie je proces kódovania informácií tak, aby ich neoprávnené osoby nedokázali prečítať.

Dĺžka kľúča a sila šifrovania

Sila šifrovania zvyčajne zodpovedá dĺžke kľúča (v bitoch) a použitému šifrovaciemu algoritmu. Najjednoduchší spôsob, ako prelomiť šifrovanie, je vyskúšať všetky možné kľúče. Tento postup sa nazýva útok hrubou silou (brute force attack), používaním dlhších kľúčov sa však stal neúčinným. Preto sa útočníci zvyčajne nepokúšajú spätne rekonštruovať algoritmus alebo prelomiť kľúč hrubou silou. Namiesto toho hľadajú zraniteľnosti šifrovacieho softvéru, alebo sa pokúšajú infikovať systém škodlivým kódom, ktorý dokáže odchytávať heslá alebo kľúče v čase ich použitia.

Ak chcete minimalizovať tieto riziká, mali by ste využívať overený šifrovací produkt a zároveň pokročilé a aktualizované riešenie na ochranu proti škodlivému kódu.

Čo by som mal/a od šifrovania vyžadovať?

Aj keď sú dĺžka kľúča a funkcie ponúkané aplikáciou dôležité, samy o sebe vám nepovedia, ako dobre bude produkt fungovať z pohľadu používateľa alebo správcu systému.

Validácia podľa FIPS-140

Najširšie akceptovaným nezávislým validačným štandardom je FIPS-140. Ak výrobok spĺňa požiadavky normy FIPS-140, je bezpečnejší ako je vyžadované vo väčšine situácií, a možno ho používať v súlade s nariadením GDPR a ďalšími predpismi.

Vzdialená správa kľúčov, nastavení a bezpečnostných politík

Aby vaši zamestnanci nemuseli rozhodovať o zabezpečení dát, môžete používanie šifrovania vynucovať všade – to však môže viesť k obmedzeniu legitímnych firemných procesov a zníženiu produktivity. Využívanie vzdialenej správy – takej, ktorá umožňuje meniť šifrovacie kľúče, funkcionalitu alebo bezpečnostné politiky vzdialených používateľov, ktorí zvyčajne predstavujú najväčšie bezpečnostné riziko – znamená, že predvolené nastavenia používaného šifrovania a bezpečnostné politiky možno nastaviť prísnejšie bez toho, aby to obmedzovalo bežné procesy inde vo firme.

Jednoduché ovládanie aj pre bežných používateľov

Vždy sa môžu vyskytnúť situácie, keď sa vaši zamestnanci budú musieť rozhodnúť, či dokument, e-mail a pod. treba alebo netreba zašifrovať. Je preto veľmi dôležité, aby dokázali používať softvérovú aplikáciu, ktorú majú k dispozícii, a aby mali istotu, že šifrovaním nestratia oni ani oprávnení príjemcovia prístup k údajom.

Správa šifrovacích kľúčov

Jednou z najväčších výziev z hľadiska použiteľnosti je spôsob, akým si majú používatelia vymieňať šifrované informácie. Existujú dva bežne používané spôsoby:

Zdieľané heslá doplácajú na to, že sú buď ľahko zapamätateľné, ale nie bezpečné, alebo nezapamätateľné a bezpečné, avšak používatelia si ich buď zapisujú, alebo ich zabudnú.

Šifrovanie pomocou verejných kľúčov, ktoré dobre funguje v rámci malých pracovných skupín, kde dochádza len k veľmi zriedkavej alebo nulovej výmene zamestnancov. Vo väčších a dynamicky sa meniacich tímoch je však použitie tohto systému príliš zložité a problematické.

Pomocou centrálne spravovaných zdieľaných šifrovacích kľúčov sa možno týmto problémom vyhnúť, pričom tento systém kopíruje spôsob, akým fyzickými kľúčmi zamykáme naše domy, byty, autá a pod. Zamestnanci už tento systém poznajú, stačí im ho vysvetliť len raz. V spojení s prémiovým, na diaľku spravovaným systémom, poskytujú zdieľané šifrovacie kľúče optimálnu rovnováhu medzi bezpečnosťou a praktickosťou použitia.

Jednoduché riešenia ESET

Zašifrovaním osobných údajov uložených vo vašich systémoch splníte mnohé požiadavky nariadenia GDPR. Riešenie spoločnosti ESET je výkonné, možno ho jednoducho nasadiť, a dokáže bezpečne zašifrovať pevné disky, vymeniteľné médiá, súbory a e-maily.

ESET Endpoint Encryption vám umožní splniť povinnosti v oblasti zabezpečenia dát jednoduchým zavedením šifrovacích politík pri zachovaní maximálnej produktivity. Vďaka nízkym nárokom na podporu a rýchlemu nasadeniu nedokáže z hľadiska flexibility a jednoduchosti používania systému ESET Endpoint Encryption konkurovať žiaden iný produkt.

Na strane klienta je potrebná iba minimálna interakcia zo strany používateľa, vďaka čomu sa okamžite zvýši úroveň dodržiavania politík a bezpečnosti vo vašej spoločnosti – to všetko pomocou jediného inštalačného balíčka MSI. Na strane servera systém ponúka jednoduchú správu používateľov a pracovných staníc, pričom rozširuje ochranu vašej spoločnosti aj za hranice vašej podnikovej siete.

Súlad s GDPR a šifrovanie