Ikke undervurder viktigheten av kryptering

I dagens datadrevne informasjonssamfunn er det kritisk å kryptere all lagret bedrift- og kundedata, være seg om det befinner seg i skyen eller på en annen form for digital lagringsenhet. Uten kryptering kan enhver med middels datakunnskap lese og kopiere lagrede filer i løpet av få minutter. Selv uten tilgang til påloggingspassordet. Med kryptering opprettes et sikkerhetsnett som gjør det praktisk talt umulig for uvedkommende å lese eller kopiere data uten påloggingspassord og/eller krypteringsnøkkel.

Kryptering er en viktig del av den digitale forsvarsstrategien. Med andre ord en sikkerhetsmessig tilnærming med en serie forsvarsmekanismer utviklet for å beskytte bedriftens data. Det betyr at dersom en mekanisme mislykkes eller slutter å fungere, er det minst en annen forsvarsmekanisme som fungerer. Når kryptering brukes korrekt gir det et ekstra lag med beskyttelse utover den vanlige tilgangskontrollen.

Forskjellige nøkler

Kryptering fungerer ved å bruke algoritmer med forskjellige nøkler som konverterer data til uleselig data, eller såkalt «chipertext. Data som kun kan leses med riktig nøkkel. For eksempel kan en setning som «Hello World!» se ut som “1c28df2b595b4e30b7b07500963dc7c” når den er kryptert. Det finnes flere forskjellige krypteringsalgoritmer, der alle bruker forskjellige nøkler. En sterk krypteringsalgoritme er avhengig av matematiske egenskaper for å produsere chipertext som ikke kan dekrypteres uten korrekt nøkkel. Derfor er beskyttelse og håndtering av nevnte nøkler kritisk.

Dersom bedriftens data er kryptert med en sterk nøkkel, og så lenge ikke dekrypteringsnøkkelen er lagret på samme sted, er det umulig for utenforstående å dekryptere dataene. Et godt eksempel er krypteringsstandarden standarden vi bruker i AWS, Advanced Encryption Standard (AES) med 256-bit nøkler (AES-256), som det vil ta en milliard år å knekke med dagens teknologi. Forskning viser at selv fremtidig kvantebasert databehandling ikke vil redusere tiden det vil å ta å bryte ned en slik kryptering.

Men hva hvis det feilaktig opprettes for enkel tilgangspolitikk til dataene? Et godt utviklet krypterings- og nøkkeladministrasjonssystem gjør problemet til en saga blott ettersom det skiller tilgangen til dekrypteringsnøkkelen fra dataene.

For å få mest mulig ut av en krypteringsløsning er det tre ting du må tenke på. Det første er å beskytte nøklene. Er systemene som bruker krypteringsnøkler sikret slik at de aldri kan brukes utenfor systemet? Et annet viktig spørsmål å stille er om det brukes riktige krypteringsalgoritmer for å produsere sterke chiffertekster? I tillegg må du tenke på at om autorisasjonen til å bruke kryptering er uavhengig av hvordan tilgangen til underliggende data styres.

Neste offer?

Kryptering er i dag et hett tema for enhver IT-sjef. Ingen ønsker å ende opp i nyhetene som neste offer for et brudd på personvern eller som neste selskap som ikke beskytter kunders informasjon. Dersom du søker på «sensitive data på avveie» vil du bli skremt over antallet tilfeller der personnummer og kredittkortnumre dette gjelder. Enten det er offentlige etater, forskningsinstitusjoner, bankinstitusjoner, kredittkortselskaper, sykehus eller bedriftens datamaskiner. 

Det er viktig å forstå at tap av data kan skje når som helst. Det er spesielt viktig å være forberedt med en plan som henger sammen med bedriftens katastrofeplan og at den er inkludert i bedriftens sikkerhetspolicy. Jo mer forberedt man er, dess bedre er sjansen for en rask og vellykket rekonstruksjon når et problem oppstår.

Johan Broman, Amazon Web Services