Wszyscy wiemy, że liczba zagrożeń pochodzących z sieci przyrasta w ogromnym tempie, a jedyny spór dotyczy tego, czy jest to przyrost dwukrotny czy wielokrotny w ciągu roku oraz czy wszyscy atakujący bez wyjątku noszą stroje dostępne w każdym sportowym sklepie.

Wszyscy też wiemy, że wektory ataków są coraz bardziej przemyślne, a czas dostępny na reakcję skraca się do pojedynczych sekund. Jak mantrę powtarzamy, że dane to najcenniejszy zasób firmy czy organizacji, więc trzeba je chronić za wszelką cenę. Za drzwiami stoją kontrolerzy reprezentujący regulatorów rynku, którzy sprawdzają, co zamierzamy robić z powierzonymi danymi i czy nie narażamy naszych klientów na szczególne zagrożenia. Zadajemy sobie więc pytanie – szyfrować dane czy nie?

Odpowiedź jest oczywista – szyfrować. Czy nam to pomoże? Niekoniecznie, ale i tak szyfrować trzeba. Na początek choćby dlatego, że wszyscy jesteśmy w ruchu i nasze urządzenia tak jak my, są mobilne. Można je zgubić, można o nich zapomnieć, mogą zostać ukradzione. Możemy łączyć się z siecią w hotelu, na lotnisku, w kawiarni, a nie wiadomo, kto jeszcze jest z nami w tej sieci. Możemy dostać od znajomego pendrive z bardzo interesującym artykułem naukowym (plus w gratisie parę rzeczy, o których nie wiedzieliśmy) lub wchodząc na stronę, gdzie miał być reportaż o sikorkach bogatkach (ang. great tits), może okazać się, że mamy pecha, bo nie trafimy na stronę dla ptasiarzy. Szyfrować też trzeba, bo w firmie na pewno mamy najlepszych informatyków na świecie, którzy przestrzegają wszystkich znanych polityk bezpieczeństwa, ale przez zupełny przypadek pracujemy od pół roku na komputerze bez wgranych poprawek bezpieczeństwa. Można zatem powiedzieć, że szyfrowanie to kwestia higieny informatycznej. Podstawowa zasada. Admini powinni wymuszać, aby użytkownicy się do niej stosowali, bo każde urządzenie i każdy system operacyjny dają nieomal w pakiecie taką możliwość.

Szyfrowanie i dekryptaż odbywają się praktycznie w locie. To nie te czasy, kiedy zjadane były poważne zasoby maszyn. Dzisiaj cała operacja odbywa się w sposób praktycznie nieodczuwalny przez użytkowników. Można także powierzyć swoje pliki chmurze i tam je szyfrować, ale nawet jeśli tego nie będą wymagały od nas przepisy i jeśli mamy pełne zaufanie do dostawcy, to lepiej, aby wszelkie dane opuszczające urządzenie użytkownika były już zabezpieczone. Tak jak w projekcie JPK prowadzonym przez Ministerstwo Finansów. A skoro już mówimy o zewnętrznych kontrolach i panach w płaszczach z podniesionymi kołnierzami, mających zamiar przejrzeć nasze dane, to szyfrowanie nie pozwoli im zbyt łatwo dostać się do owych informacji, zwłaszcza przy niejawnych kontrolach operacyjnych (może to się zdarzyć każdemu, nigdy i w nic niezamieszanemu). Z drugiej strony będzie zawsze możliwość omówienia z nimi podstawy, dla której mielibyśmy im hasło ujawnić. Dodajmy do tego rzeczywiste wymagania przepisów – artykuł 32 rodo szyfrowanie wymienia w pierwszej kolejności, jako działanie administratora mające na celu adekwatną ochronę powierzonych danych osobowych. Szyfrowanie uznałbym zatem – powtarzam się, ale w dobrej intencji – za podstawowy wymóg, jaki powinien być wprowadzony w każdej firmie i organizacji.

[...]

Michał Jaworski – autor jest członkiem Rady Polskiej Izby Informatyki i Telekomunikacji. Pracuje od ponad dwudziestu lat w polskim oddziale firmy Microsoft.