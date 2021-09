Flash paměti jsou pro nás zcela běžné médium, ale málokdo si uvědomuje, jak zranitelné toto médium je. Nosíme na nich fotky, dokumenty, zálohy i databáze a nedochází nám, že i tato data budou muset být zabezpečená. Stačí někde flash paměť zapomenout položenou, nebo si nevšimnout, že nám vypadla při vyndání klíčů z kapsy a problém je na světě. Víc než 99% prodaných flash pamětí značky Kingston není zabezpečených (viz obchodní výsledky Kingston v ČR 2017). V západní Evropě je poměr mnohonásobně vyšší ve prospěch zabezpečených disků. Firma Kingston v roce 2017 společně s firmou ESET provedla průzkum uživatelů týkající se flash pamětí a společně došly k šokujícím výsledkům (podrobnosti o průzkumu můžete najít zde). Třetina Čechů se setkala se ztrátou nebo krádeží své „flešky“. Každá tato ztráta může znamenat horentní pokuty, pokud na paměťovém čipu zařízení byla jakákoliv citlivá nebo důvěrná data.

Jak tedy zabezpečit data na cestách?

Každý občas nějaká data potřebujeme přenést. Jistě, pokud se jedná o osobní fotky z dovolené, asi nemusíme řešit šifrování. Pokud se ale na paměti nachází například seznam kontaktů na dodavatele nebo obchodní kontakty, faktury a v podstatě cokoliv pracovního, řešit bychom to měli. Každá pracovní flash paměť by měla být zabezpečená. Softwarově, nebo hardwarově. Podle uoou.cz paměti nemusejí být povinně zašifrované, ale silně se to doporučuje, protože zašifrovaná ztracená paměť se nepovažuje za tak velké bezpečnostní riziko a podle úrovně zabezpečení paměti se takový incident ani nemusí hlásit.

Softwarové a hardwarové šifrování

To je asi klíčová otázka pro každou firmu nebo podnikatele. Obě řešení mají svá pro i proti a zkusíme si je nyní vysvětlit. Softwarové šifrování v podstatě po zadání hesla umožní zašifrovat data nebo celou paměť zařízení. Jednoznačnou výhodou je možnost použít stávající flash paměti. Takové softwary jsou většinou placené a potřebují licenci, která se obvykle obnovuje na roční bázi. Jsou rozličné a některé mohou být problematické, pokud jde o integraci do stávajících firemních programů. V případě cílené krádeže dat pak je pak situace pro útočníka snadnější, protože může rozkopírovat data mezi více pamětí a snažit se prolomit šifru najednou na několika strojích. Nejslabším článkem ale není samotná šifra, nýbrž uživatel. Laxnost, lenost a nutnost pravidelného šifrování může u mnohých zaměstnanců vést k ignorování tohoto postupu nebo jeho obcházení. Roli hraje i prosté opomenutí. Hardwarová šifra nezapomíná. Veškerá data jdou skrz šifrovací čip přímo uvnitř paměti a před uložením na samotné médium se zašifrují automaticky. Uživatel pouze po připojení zadá své heslo a nemusí se o víc starat. Vše se děje automaticky. Nevýhodou je pořizovací cena, která je o něco vyšší než u nešifrovaných pamětí. Nicméně při dlouhodobějším používání uživatel ušetří, protože nemusí každý měsíc/rok platit za licenci. Při cíleném útoku je pak útočník v problému, že nemá jak data rozkopírovat a musí používat jen jedno zařízení. Jeho obsah se navíc při několika špatně zadaných heslech vymaže.

Řešení pro podnikání všech velikostí

V portfoliu firmy Kingston si vybere každý, kdo chce svá data chránit. Nemá smysl, aby malí podnikatelé, živnostníci nebo firmy s několika málo zaměstnanci investovali do dedikovaného serveru za tisíce dolarů. Velmi dobře jim postačí například DataTraveler2000. Tato paměť je vhodná zejména pro advokáty, lékaře, majitele obchůdků a řadu dalších profesí. Jednoduchá fyzická klávesnice na povrchu odolného těla z kovové slitiny slouží k odemčení flash paměti a po vložení do počítače nebo jakéhokoliv jiného zařízení umožní nahrát jakákoliv data. Po vysunutí se automaticky sama ihned zamkne a do nového zadání pinu zůstanou data zašifrovaná. Po deseti špatných pokusech se sama vymaže.

Střední firmy a rozsáhlejší řešení

Větším firmám více než s deseti zaměstnanci potom Kingston nabízí hlavně DataTraveler4000G2 nebo VaultPrivacy 3.0. Nutnost vybavit více zaměstnanců zabezpečeným médiem s sebou totiž nese i potřebu vést evidenci těchto zařízení. Díky tomu, že má každá flash paměť unikátní sériové číslo, je snadno použitelná do firemního systému. Od padesáti kusů pak Kingston nabízí i řešení na míru pro firmu. Hlavními argumenty pro tato řešení jsou vlastní logo, nastavení dialogových oken po připojení paměti, složitost vyžadovaného hesla i dalších faktorů, jako po sobě jdoucí sériová čísla, která usnadní práci v device managementu. DataTraveler4000G2 je pouze v managovatelné variantě, VaultPrivacy 3.0 má variantu samostatnou i s managementem. Management probíhá přes portál a prostředí SafeConsole.

Velké firmy

Právě management zařízení na dálku je tím hlavním, proč velké firmy využívají tuto možnost. SafeConsole dává možnost správci vynutit mnohá pravidla a případně flash paměť vzdáleně znehodnotit nebo uzamknout. Umožňuje například zadat pravidlo, že se flash paměť musí před každým odemknutím skrytě připojit k serveru a zkontrolovat svůj stav. A ten umí administrátor na dálku nastavit. Například umí na flash paměť poslat vzkaz, že je paměť ztracená a uzamčená, a pokud ji případný nálezce připojí do počítače, pak se mu zobrazí zpráva, kam ji má vrátit. Umožňuje také například vynutit používání pouze v určené síti nebo lokalitě. Pokud uživatel zapomene heslo, umožní to administrátorovi poslat příkaz k obnově a uživatel si zadá heslo nové.

Extrémní zabezpečení

Pro vládní sektor, armádní složky a instituce s nutností extrémního zabezpečení, jako banky, má Kingston svojí nevyšší řadu, IronKey. Flash paměť má nejvyšší certifikace a bytelná schránka bezpečně chrání elektroniku uvnitř. Kdyby snad někdo chtěl schránku otevřít a čip odpájet, ten se při prvním pokusu o otevření roztrhne. IronKey má svojí vlastní formu managementu, která je ještě daleko detailnější než standartní SafeConsole. Navíc umožňuje i instalaci vlastního rackového serveru přímo ke klientovi, ke němuž se bude každá flash paměť hlásit. V extrémním případě má management IronKey i funkci zvanou „silver bullet“, tedy stříbrná kulka. V situaci, kdy firma zjistí, že její zaměstnanec zkopíroval ze sítě citlivá data a odnáší je konkurenci, může paměť na dálku smazat. Paměť se bez kontroly přes internet neotevře a s první kontrolou zlikviduje celý čip uvnitř (tzv. „brickne“ zařízení). Není tedy divu, že tyto paměti mají certifikaci NATO a řadí se mezi nejlepší svého druhu vůbec. U řady IronKey300 je i model bez vzdálené zprávy a ten mohou používat jednotlivci jako bankovní poradci, IT experti i ti, co požadují maximum.

Flash paměti se ztrácejí a budou se ztrácet i nadále. A taky se budou i nadále se používat… Ale! Budeme muset přemýšlet nad jejich používáním a zabezpečením.