Prawidłowo wdrożone szyfrowanie danych zapisanych w pamięci komputera, serwera, smartfonu, tabletu czy jakiegokolwiek innego urządzenia staje się praktycznie niemożliwą do pokonania barierą dla osoby próbującej uzyskać nieuprawniony dostęp do danych. Z moich obserwacji wynika, że często to proste i nie generujące kosztów rozwiązanie zapewniające naprawdę podstawową ochronę przetwarzanych w przedsiębiorstwie informacji nie jest w ogóle wdrażane. Co gorsza, często przedsiębiorcy kierują się wiarą, że zabezpieczenie stanowiska roboczego pracownika poprzez hasło konta użytkownika jest wystarczającym rozwiązaniem. To bardzo poważny błąd, który może nieść za sobą szereg konsekwencji. Znane podatności systemów z rodziny Microsoft pokazują, że hasło do konta użytkownika na typowym Windowsie XP można przełamać w czasie około minuty. Ale nawet takie posunięcie nie jest konieczne, gdyż dane zapisane na nośniku i bez tego zabiegu będą widoczne jak na dłoni. Natomiast przełamanie wolumenu danych zaszyfrowanych w standardzie AES dobrze sporządzonym hasłem będzie trwać miliardy (to nie żart!) lat. A czas ten to i tak wersja optymistyczna, która zakłada nieodpowiednie zabezpieczenie mechanizmu wprowadzania hasła. Dopóki nie dojdzie do przełamania hasła, dane zaszyfrowane będą dla potencjalnego napastnika nieczytelną sieczką przypadkowych wartości. I to jest właśnie największa zaleta stosowania kryptografii.
Firmowa infrastruktura środowiska przetwarzania danych bez wdrożonych odpowiednich rozwiązań kryptograficznych jest po prostu podatna na kompromitację. I nie chodzi tutaj wcale o to, że ktoś włamie się do siedziby Twojej firmy i ukradnie serwer czy dyski twarde (wbrew pozorom takie sytuacje się zdarzają). Ale pomyśl o tym w kontekście sprzętu, który czasami się psuje i wymaga ingerencji fachowca spoza Twojej firmy. Pomyśl również o tym, co może się stać ze skradzionym lub zgubionym laptopem, telefonem czy smartfonem posiadającym w pamięci choćby wiadomości z Twojej firmowej poczty… Na nic zdadzą się firmy ochroniarskie, najlepsze firewalle i inne urządzenia sieciowe, w które zainwestowała Twoja firma by dbać o bezpieczeństwo, gdy każda zainteresowana osoba będzie mogła odczytać przechowywane na urządzeniu dane.
Szyfrowanie wrażliwych danych w przedsiębiorstwie to konieczność, chociażby ze względu na wprowadzenie tzw. dobrych praktyk. Jeśli wykonujesz wolny zawód prawniczy, w szczególności jeśli jesteś adwokatem, to pamiętaj, że obowiązek szyfrowania danych wynika wprost z Kodeksu Etyki Adwokackiej, a dokładnie z § 19 ust. 5 („Adwokat posługujący się w pracy zawodowej komputerem lub innymi środkami elektronicznego utrwalania danych obowiązany jest stosować oprogramowanie i inne środki zabezpieczające dane przed ich niepowołanym ujawnieniem.”). Obowiązek szyfrowania danych w kancelarii adwokackiej jest więc ściśle związany z tajemnicą adwokacką. Tego, jakie konsekwencje niesienie naruszenie tajemnicy adwokackiej, zarówno celowe jak i wynikające z zaniechania, tłumaczyć chyba już nie muszę…
P.S.
Jeśli nadal nie wierzysz w skuteczność szyfrowania, to poczytaj pod tym linkiem o jednym z najnowszych wirusów typu ransomware o nazwie CryptoLocker, którego działanie opiera się na… zaszyfrowaniu plików na dysku ofiary. Największe firmy z branży IT nie potrafią obecnie znaleźć sposobu pozwalającego na odszyfrowanie danych bez zapłacenia okupu dla cyberprzestępców (a ten wynosi 300 euro!). Niech i to będzie dla Ciebie potwierdzeniem, że dobrze wdrożone szyfrowanie potęgą jest i basta!