×
QA trends 2019 PL miniatura

Pobierz nasz raport i bądź na bieżąco z najnowszymi trendami QA, Cyberbezpieczeństwa, IoT czy DevOps!

POBIERZ

5 dobrych praktyk szyfrowania dysków

Cyberbezpieczeństwo

W poprzednich artykułach podałem przykłady, dlaczego warto szyfrować dane oraz przedstawiłem uniwersalną i ergonomiczną metodę szyfrowania plików. Natomiast ten artykuł skupi się na szyfrowaniu dysków twardych i powodach, dla których warto skorzystać z tej technologii.

Utrata urządzenia a bezpieczeństwo danych

Gdy myślimy o cyberbezpieczeństwie, dość często skupiamy się zabezpieczaniu danych przed użytkownikami z Internetu, czyli hakerami. Dlatego konfigurujemy zapory, korzystamy z programów antywirusowych, szyfrujemy transfer danych lub korzystamy z weryfikacji dwuetapowej.

Warto jednak zwrócić uwagę na bezpieczeństwo fizyczne, ponieważ kradzież lub utrata jednego urządzenia może skutkować wyciekiem danych o takiej samej skali, jak atak hakerski. Przykładem tutaj może być organizacja opieki zdrowotnej Lifespan ACE, która w wyniku kradzieży jednego laptopa straciła ponad milion dolarów, lub lotnisko Heathrow, które w wyniku zagubionego pendrive’a spowodowało wyciek danych dotyczący protokołów i bezpieczeństwa królowej (zainteresowanych zapraszam do lektury). 

Niestety, przykłady można mnożyć, ponieważ w przeciwieństwie do danych podczas ruchu (data in transit), dane w stanie spoczynku (data at rest) mogą zostać wykorzystane przez praktycznie każdą postronną osobę. Wystarczy znaleźć pendrive’a, kupić używany komputer lub zwyczajnie ukraść urządzenie. W związku z tym, że nie szyfrowane dyski twarde są niesamowicie łatwe do odczytania (nawet gdy Windows posiada hasło), korzystanie z takich urządzeń grozi wyciekiem danych lub utratą prywatności nawet bez udziału hakerów.

Odczytywanie dysku nieszyfrowanego komputera Windows i resetowanie hasła przy użyciu HBCD

Kto powinien szyfrować dyski?

W niektórych branżach szyfrowanie dysków twardych jest wymagane przez prawo. Dla przykładu, każdy podmiot przetwarzający dane dotyczące stanu zdrowia obywateli USA musi dostosować się do wytycznych HIPAA (Health Insurance Portability and Accountability Act), które specyficznie wymagają szyfrowania wszelkich nośników danych. W innych sytuacjach korzystanie z szyfrowania dysków może być warunkiem otrzymania odpowiednich certyfikatów dotyczących gwarancji jakości – takich jak ISO lub dostosowania się do ogólnych wytycznych RODO (Rozporządzenia o Ochronie Danych Osobowych), jeżeli istnieje ryzyko fizycznej utraty nośnika.

Dobra wiadomość jest taka, że szyfrowanie dysków jest proste i może być wykorzystane w niemal każdym przedsiębiorstwie. Wystarczy komputer z systemem operacyjnym Windows 10 (każda wersja poza Windows Home), Mac lub Linux (instruktaż poniżej).

Jeżeli zaszyfrowanie wszystkich urządzeń nie jest możliwe, szczególną uwagę powinno się zwrócić na urządzenia osób podróżujących, pracujących zdalnie lub pracowników „w terenie”: przedstawicieli handlowych, menedżerów projektów lub konsultantów. Te osoby z definicji należą do grupy osób zagrożonych przypadkową utratą lub kradzieżą ze względu na wykonywanie pracy poza lokalem pracodawcy.

Szyfrowanie danych a szyfrowanie dysków – różnice

W poprzednim artykule skupiłem się na szyfrowaniu plików metodą ZIP przy użyciu AES-256. Jest to uniwersalny sposób na ochronę indywidualnych plików, które mogą później być przeniesione np. na pendrive’y. Jednak tego typu szyfrowanie nie powinno być mylone z szyfrowaniem dysków. 

Problem polega na tym, że szyfrowanie pojedynczych plików przynosi duże korzyści tylko w wypadku, gdy pliki są wysyłane mailem, przenoszone na chmurę lub indywidualnie zapisywane na nośniku danych, np. pendrive. Natomiast jeżeli zależy nam na pełnej ochronie danych np. podczas utraty lub kradzieży urządzenia, ta metoda jest niewystarczająca. Otóż Windows i różnego rodzaju oprogramowanie – takie jak Microsoft Office – tworzy wiele kopii zapasowych, zrzutów ekranu lub miniatur, które nadal posiadają dane, które mogą być poufne.

Lokalizacja plików tymczasowych na przykładzie LibreOffice

Podczas ponownego uruchomienia komputera lub programu z łatwością można trafić na opcję przywrócenia poprzedniej wersji dokumentu lub sesji, nawet jeżeli finalny dokument został zaszyfrowany. Ponadto komputery służbowe posiadają setki plików, programów i zapisanych haseł, które w nieodpowiednich rękach mogą stać się źródłem problemów. Dlatego jeżeli celem jest kompleksowe zabezpieczenie danych na wypadek utraty urządzenia, warto skorzystać z pełnego szyfrowania dysku twardego zamiast z szyfrowania indywidualnych plików lub folderów.

Jak szyfrować dyski? Najpopularniejsze metody i rozwiązania technologiczne 

Dobra wiadomość jest taka, że szyfrowanie dysków twardych jest wspierane przez niemal każdy współczesny komputer i system operacyjny – poza urządzeniami wyposażonymi w Windows 10 Home Edition.  

FileVault – wbudowanie narzędzie do szyfrowania dysków na platformie Mac (macOS Big Sur)

 

Szyfrowanie dysku podczas instalacji systemu Ubuntu Linux

Aby zaszyfrować system Windows 10, wystarczy skorzystać z rozwiązania przygotowanego przez firmę Microsoft – BitLocker. Otwierając Windows Explorer należy zaznaczyć dysk C:\ (lub np. odpowiednik litery nośnika pendrive) i wybrać „Włącz funkcję BitLocker”.

Włączanie funkcji BitLocker w systemie operacyjnym Windows 10 Professional

W kolejnym ekranie będziemy poproszeni o wybranie hasła i stworzenie pliku, który pozwala na odszyfrowanie danych w wypadku, gdyby hasło zostało zapomniane. (Uwaga: plik należy starannie zachować – więcej o dobrych praktykach poniżej.)

Tworzenie kopii klucza w systemie operacyjnym Windows 10 Professional

Po zaszyfrowaniu dysku twardego komputer nie wystartuje, jeżeli nie zostanie podane hasło do odszyfrowania dysku.

Szyfrowanie dysków w Windows 10 Home Edition

Jeżeli zakupiony komputer posiada system operacyjny Windows 10 w wersji Home Edition, można skorzystać  z komercyjnych lub otwartoźródłowych rozwiązań szyfrujących dyski twarde. 

Windows 10 Home Windows 10 (pozostałe) MacOS Linux
Wbudowane BitLocker FileVault EcryptFS, LUKS
Komercyjne Eset, McAfee, CheckPoint  Eset, McAfee, CheckPoint, Symantec Sophos Support np. od Canonical, RedHat
Open-source VeraCrypt VeraCrypt VeraCrypt, LUKS EcryptFS, LUKS

Przykłady rozwiązań szyfrujących dyski dla różnych systemów operacyjnych

Dobre praktyki szyfrowania dysków

  1. Przed szyfrowaniem należy zrobić kopię systemu i zweryfikować możliwość przywrócenia danych

Szyfrowanie dysków może skutkować utratą danych. Tak może się stać np. w sytuacji, kiedy zabraknie prądu lub system się zawiesi podczas procesu szyfrowania. Aby uniknąć utraty danych i licencji oprogramowania – choćby Windowsa, należy wykonać pełny backup systemu w postaci snapshota lub innego rodzaju kopii zapasowej. 

Warto pamiętać, że zrobienie kopii zapasowej to jedno, a odzyskanie danych to drugie. Przed zaczęciem szyfrowania należy upewnić się, że kopia zapasowa przeszła proces walidacji oraz testowo spróbować przywrócić dane z backupu. Tylko wtedy, gdy mamy pewność możliwości przywrócenia danych z backupu można bezpiecznie przejść do etapu szyfrowania dysku.

  1. Korzystaj z wbudowanych rozwiązań 

Firma Microsoft wyposażyła niemal każdą wersję Windowsa w rozwiązanie BitLocker. Apple posiada FileVault. Linux, natomiast, natywnie wspiera LUKS. W związku z tym, że wbudowane rozwiązania pochodzą od producentów systemów operacyjnych (bądź są przez nich wspierane), posiadają one największą szansę na gwarancję kompatybilności i stabilności. 

Rozwiązania pochodzące od producentów systemów operacyjnych z reguły są wszechstronnie testowane, wdrażane w różnych środowiskach i dobrze udokumentowane. W razie jakichkolwiek problemów istnieje możliwość skorzystania z ekspertyzy producenta lub uzyskania podpowiedzi w forach branżowych.

  1. Szyfrowanie powinno być wdrożone przez dział IT

Ze względu na to, że szyfrowane dyski twarde nie da się odszyfrować, hasła i klucze powstałe podczas procesu szyfrowania dysku powinny być przechowywane przez dział IT na wypadek zgubienia hasła przez użytkownika lub zdawania sprzętu na zakończenie współpracy. Pod żadnym wypadkiem urządzenie nie powinno być szyfrowane bez wiedzy Administratora, ponieważ utrata hasła spowoduje nieodwracalną utratę danych i licencji oprogramowania, które znajdowało się na systemie.

  1. Klucze i dane do odszyfrowania powinny być starannie zabezpieczone

W związku z tym, że szyfrowanie dysków jest nieodwracalne, warto jest się upewnić, że kopia hasła lub klucza znajduje się w zabezpieczonym miejscu. Z punktu widzenia fizycznego dostępu, nośniki lub druki powinny znajdować się na (najlepiej również szyfrowanych) nośnikach umieszczonych w ognioodpornym sejfie. (Niektóre certyfikacje ISO mogą również wymagać ulokowanie sejfu w innym budynku niż główna siedziba przedsiębiorstwa!) 

Naturalnie, nie można zapomnieć o bezpieczeństwie on-line. Dlatego najlepiej byłoby, gdyby zaszyfrowany nośnik przechowujący hasła lub klucze został sklonowany 1:1 i kopie pozostawały fizycznie odłączone od komputerów. Takie działanie uchroni nas przed utratą danych w razie ataku typu ransomware lub innej awarii, która może skutkować naruszeniem danych na nośniku.

  1. Dla maksymalizacji bezpieczeństwa korzystaj z AES-256

Algorytm AES-256 uchodzi za jeden z najbezpieczniejszych algorytmów na świecie i do tej pory nie został złamany. (Co prawda eksperci od kryptografii sugerują, że komputery kwantowe mogą w przyszłości to zmienić, ale ten etap rozwoju informatyki jest jeszcze daleko przed nami). Dlatego warto jest o nim pamiętać podczas wyboru rozwiązania, które zostanie wykorzystane do szyfrowania dysków.

Przeciwwskazania i uwagi

Nie ma wielkich przeciwwskazań dotyczących korzystania z szyfrowania dysków. Rzadko dochodzi do uszkodzenia dysku lub wycieków danych, gdy dysk został zaszyfrowany. Niemniej, warto jest mieć na uwadze pewne aspekty techniczne przed podjęciem decyzji o pełnym szyfrowaniu urządzenia.

  1. Utrata hasła lub klucza jest nieodwracalna

Jeżeli klucz lub hasło do zaszyfrowanego urządzenia zostanie zagubione, trzeba się liczyć z czasochłonną naprawą systemu. W najlepszym wypadku oznacza to przywrócenie poprzedniego snapshotu (obrazu systemu) z kopii zapasowej. 

W najgorszym wypadku może zaistnieć potrzeba ponownej instalacji Microsoft Windows włącznie z oprogramowaniem, które pierwotnie znajdowało się na urządzeniu. To natomiast, jest nie tylko czasochłonne, ale również może generować koszty związane z ponowną aktywacją licencji oprogramowania lub zakupieniem nowej, jeżeli umowa licencyjna nie zezwala na powtórną aktywację.

  1. Szyfrowanie danych (lekko) obciąża baterię

Każdy dodatkowy proces powoduje utratę energii; podobnie jest z szyfrowaniem. Ale nie ma potrzeby się martwić – szyfrowanie danych najczęściej skutkuje utratą 1 do 2% mocy baterii i jest praktycznie niezauważalne.

  1. Szyfrowany dysk może spowolnić zapis lub wczytywanie danych

W związku z ciągłym procesem szyfrowania i odszyfrowywania danych, rozwiązania takie jak BitLocker mogą spowodować minimalne opóźnienia w czytaniu i zapisywaniu danych na dysku twardym. Według dokumentacji firmy Microsoft, różnica pomiędzy szybkością zapisu i odczytu dysków nieszyfrowanych a szyfrowanych powinna mieścić się w kilku „jednocyfrowych” procentach i jest praktycznie niezauważalna przez użytkownika końcowego.

Reasumując

Szyfrowanie dysków twardych przy pomocy algorytmu AES-256 oferuje niepodważalny poziom bezpieczeństwa danych na wypadek zagubienia lub kradzieży urządzenia. Jeżeli szyfrowanie jest prawidłowo wykonane, utrata danych jest rzadkością a samo szyfrowanie niemal nie obciąża urządzenia podczas codziennego użytku. Innymi słowy, korzyści znacznie przewyższają potencjalne ryzyko lub wady. Zważywszy na fakt, że niemal każda wersja Microsoft Windows oraz inne popularne systemy operacyjne natywnie wspierają szyfrowanie dysków, warto skorzystać z tej technologii i zabezpieczyć się przed potencjalnym wyciekiem danych.

 

Oceń artykuł:

Paweł Wałuszko

Paweł Wałuszko 16.08.2021

Doświadczony administrator sieci i propagator rozwiązań IT ze środowiska Doliny Krzemowej. Absolwent Uniwersytetu Kalifornijskiego w Berkeley, Uniwersytetu Stanforda i RANEPA; współorganizował projekty transferu wiedzy takie jakie jak „Poland-Silicon Valley Entrepreneurship Exchange” oraz projekt „Recreating Silicon Valley” na Uniwersytecie Stanforda. Odpowiedzialny za rozwój produktów i ochronę danych, projektował i wdrażał rozwiązania informatyczne dla środowiska akademickiego i biznesu w Europie i USA. Obecnie zajmuje się biznesowymi powiązaniami Doliny Krzemowej z krajami Europy Środkowo-Wschodniej: wymianą wiedzy, rozwojem produktów i edukacją w zakresie bezpieczeństwa w cyberprzestrzeni. W Polsce i poza granicami kraju znany z licznych wykładów poświęconych przeciwdziałaniu atakom socjotechnicznym, kultywowaniu kultury bezpiecznej pracy z danymi poufnymi oraz wczesnego wykrywania anomalii. Pasjonat technologii open-source, współpracuje ze startupami w zakresie tworzenia i zabezpieczania rozwiązań geolokalizacyjnych.

Comments are closed.
Wyszukaj
Kategorie