Kryptografia a SZBI

Gospo­dar­ki i fir­my z całe­go świa­ta prze­twa­rza­ją dziś coraz wię­cej infor­ma­cji. Ale zwięk­sza się nie tyl­ko ilość infor­ma­cji, ale przede wszyst­kim jej war­tość. Dziś opo­wiem tro­chę o roli, jaką peł­ni kryp­to­gra­fia w Sys­te­mach Zarzą­dza­nia Bez­pie­czeń­stwem Infor­ma­cji (SZBI) wdra­ża­nych w przedsiębiorstwach.

SZBI to takie zasa­dy BHP  mówią­ce jak obcho­dzić się z infor­ma­cją w orga­ni­za­cji. Sys­te­my takie defi­niu­je się za pomo­cą spe­cjal­ne­go doku­men­tu – tzw. Poli­ty­ki Bez­pie­czeń­stwa Infor­ma­cji. Za pod­sta­wę do stwo­rze­nia SZBI przyj­mu­je się nor­mę ISO 27001 i pokrewne.

Moje doświad­cze­nia wska­zu­ją, że fir­my, któ­re wdro­ży­ły SZBI oczy­wi­ście ujmu­ją w nich kryp­to­gra­fię. W mniej­szym lub więk­szym stop­niu zawsze jakieś roz­wią­za­nia doty­czą­ce tego zagad­nie­nia w SZBI się znaj­du­ją (nikt poważ­ny ich nie igno­ru­je). Zazwy­czaj są one wpi­sa­ne do kon­kret­ne­go roz­dzia­łu mówią­ce­go o kon­tro­li dostę­pu czy bez­pie­czeń­stwie fizycz­nym i środowiskowym.

Jed­nak wrzu­ce­nie kryp­to­gra­fii do jed­ne­go roz­dzia­łu SZBI to nie­wy­ba­czal­ny błąd. Błąd popeł­nia­ny nagmin­nie przez oso­by pro­jek­tu­ją­ce SZBI, któ­re nie zna­ją się na zagad­nie­niu. Błąd, któ­ry może w przy­szło­ści skut­ko­wać zawod­no­ścią sys­te­mu, utra­tą dostę­pu do wła­snych infor­ma­cji (sic!) czy naj­gro­szym z moż­li­wych – utra­tą zaufa­nia przez klien­tów, któ­rych dane wyciek­ną… To tak jak­by prze­strze­gać  BHP tyl­ko na jed­nym z eta­pów pro­duk­cji w wiel­kiej fabry­ce. Może i taniej, ale bez sen­su. Takie dzia­ła­nie prę­dzej czy póź­niej będzie gene­ro­wać zbęd­ne kosz­ty w firmie.

Kryp­to­gra­fia jest nauką nie­ustan­nie roz­wi­ja­ją­cą się. Moja prak­ty­ka poka­zu­je, że czę­sto w SZBI okre­śla się jakieś jed­no kon­kret­ne roz­wią­za­nie kryp­to­gra­ficz­ne (np. BitLoc­ker). Potem Asy­stent Bez­pie­czeń­stwa Infor­ma­cji (ABI) trzy­ma się go twar­do i nie dopusz­cza do jakich­kol­wiek zmian. A to pro­wa­dzi do kata­stro­fy. Roz­wią­za­nia zmie­nia­ją się, nie­któ­re zosta­ją z bie­giem cza­su skom­pro­mi­to­wa­ne, w innych poja­wia­ją się sła­be punk­ty (tak było choć­by z pierw­sza wer­sją Fire­Vaul­ta na Mac­bo­oki). W SZBI trze­ba nauczyć się je eli­mi­no­wać i zawsze posia­dać alternatywę.

SZBI ma uchro­nić przed kom­pro­mi­ta­cją. Przed sytu­acją, w któ­rej pra­cow­nik przy­pad­ko­wo albo w akcie sabo­ta­żu zapo­mni hasła do wolu­me­nu danych i nagle oka­że się, że nic nie da się już z tym zro­bić. SZBI ma też uła­twić two­rze­nie trud­nych haseł, nie­moż­li­wych do zła­ma­nia, ale moż­li­wych do ści­śle kon­tro­lo­wa­ne­go obej­ścia. SZBI ma wyeli­mi­no­wać zapi­sy­wa­nie haseł na kar­tecz­kach przy biurku.

SZBI to SYSTEM. SYSTEM TO ORGANIZM, eko­sys­tem, któ­ry stwo­rzo­ny ma się dosko­na­lić, żyć wła­snym życiem, ewo­lu­ować w zależ­no­ści od potrzeb, nie­ustan­nie roz­wi­ja­jąc się i dosko­na­ląc. SYSTEM NIE MA GENEROWAĆ DODATKOWYCH KOSZTÓW. Jak każ­dy orga­nizm musi mieć zapew­nio­ne mini­mum egzy­sten­cji. Jeśli Twój praw­nik robi to ina­czej, to bądź­my szcze­rzy – nacią­ga Cię.

PS

Jak koń­czy się brak sys­te­mo­we­go podej­ścia do bez­pie­czeń­stwa infor­ma­cji, w tym brak kryp­to­gra­fii asy­me­trycz­nej w komu­ni­ka­cji (będę o niej pisał w przy­szło­ści) poka­zu­je przy­kład Obo­zu Radykalno-Narodowego, któ­re­go całe wewnętrz­ne forum zosta­ło wykra­dzio­ne i opu­bli­ko­wa­ne w sie­ci. Dzi­siaj może­my zało­żyć, że orga­ni­za­cja zosta­ła znisz­czo­na infor­ma­cyj­nie w spo­sób nie­od­wra­cal­ny. Wię­cej na ten temat tutaj.