;

Šifrování: Rizika versus náklady

9. 1. 2009
Doba čtení: 9 minut

Sdílet

Hackerské útoky, i obecně elektronické datové úniky, jsou čím dál tím častější záležitostí. Spolu s tím jsou stále aktivnější výrobci šifrovacích programů, kteří se snaží zákazníky přesvědčit, že právě s jejich aplikací se nemají (skoro) čeho obávat...

Nedávno publikovala výzkumná skupina z Univerzity v Princetonu (Princeton University) zprávu o tom, jak
se jim úspěšně podařilo získat data z šifrovaného notebookového disku. To vedlo zejména v USA k mediálnímu pozdvižení, novináři mimo obor pak vydávali zprávy s titulky jako „Vědci nalezli způsob jak ukrást šifrovaná
data“ (New York Times). Představme si situaci, že šéf firemního IT, což můžete být třeba vy, si klidně pije ranní
kávu (či čaj), když v tom k němu přijde „pan generální“ s tím, že na webu New York Times píší, že šifrování lze prolomit a zda teda má vůbec význam, aby se to v jejich firmě provádělo? V tu chvíli si musí CIO dobře rozmyslet
odpověď a nejlépe udělá, když si vzpomene na základy ekonomie – ať již je získal formálně ve škole či prostě praxí.

Jde o to zvážit náklady a užitek šifrování. Užitkem v tomto případě rozumíme snížení rizika plynoucího ze zcizení dat a jejich možného dešifrování jinou osobou. Riziko je dáno jako součin pravděpodobnosti nastání nežádoucího úniku dat a škody z toho plynoucí: Riziko = Pravděpodobnost nastání události × Škoda plynoucí z události.
Použijme názorného příkladu – PI N na platební kartě, v naprosté většině případů se jedná o čtyřmístné číslo. Pak je tu denní limit na výběr, řekněme 30 tisíc korun. Po třech špatných zadáních PINu automat kartu
zabaví.

To jsou výchozí podmínky. A teď si představte, že vám kartu někdo ukradne, či ji prostě ztratíte, každopádně někdo cizí se z ní pokusí nelegálně vybrat peníze. Pravděpodobnost, že uhodne PIN je bez dodatečných informací (nemáte ho napsaný na zadní straně karty, že ne?) 1 ku 10 tisícům. Má na to tři pokusy, čímž se šance zvyšuje
na 1 ku 3 333. Možná škoda je 30 tisíc (neukládáte přeci peníze do matrace, něco na účtu máte), takže ohodnocené riziko se rovná 9 korunám. Jinými slovy, banka může velmi zjednodušeně při svých výpočtech počítat
s tím, že průměrně se na každou kartu ukradne 9 korun.  Samozřejmě, kdybychom do analýzy přidávali
další údaje a proměnné, došli bychom k jiným hodnotám, ale pro rychlé hodnocení nákladů a užitků plynoucího z šifrování tento jednoduchý příklad plně postačuje. Jak můžeme příklad s platební kartou
aplikovat na šifrování dat? Zmíněná skupina výzkumníků z Princetonu nastínila ve svém projektu tuto situaci: Máte notebook a v něm uložená data šifrujete komerčním programem, jakým je Microsoft BitLocker nebo Apple FileVault.

Nějaký technicky zdatný útočník zatouží z toho či onoho důvodu po vašich binárníchúdajích, má dostatek zdrojů, specializovaný software a nákladné technické vybavení, mezi nímž nechybí lahev plynového čističe prachu, což je speciální inertní plyn (podobný těm užívaným v chladicích systémech), který má zároveň schopnost chladit
malá místa na velmi nízké teploty. Aby se mohl k údajům dostat, musí se zloduch nejprve dostat k počítači zapnutému, či přinejhorším jen několik minut vypnutému. Pak musí zchladit paměťové čipy v počítači
na -50°C, k čemuž použije zmíněný „čistič prachu“, a pak je dostat do svého hi-tech zločinného doupěte, kde je může přečíst. Použitím statistických metod a znalostí i šifrování disků pak může (a nemusí) najít potřebný
softwarový klíč k přečtení dat z notebooku.

Je to uskutečnitelné? Samozřejmě, že ano, na internetové stránce univerzity je dokonce dokumentační video. Jenže to vůbec není snadné a po pravdě jsou mnohem jednodušší metody jdoucí většinou skrze člověka (ala „Nainstalujte si tento přehrávač erotických filmů zdarma!“). Pokračujme nicméně v analýze. Jak vysoce byste si cenili uložená data? Použijme obehraný příklad, že někdo na notebook nahrál údaje o 5 tisících zákaznících, aby mohl o víkendu dohnat, co nestihl v práci kvůli špatnému plánování. Ona data jsou  dostatečněobsažná pro to, aby s nimi mohl nějaký nenechavec nekale naložit, například je použít jako falešnou identitu pro internetové obchody.

Při ztrátě dat by vaše společnost musela každému zákazníkovi pořídit bezpečnostní software, poslat omluvný dopis apod., dohromady řekněme za 600 korun (abstrahujeme od poškození pověsti firmy, od ceny notebooku atd.). Takže možná ztráta je pro firmu 3 miliony korun. Dále předpokládejme, že data nejsou vůbec šifrována a k jejich ztrátě/zcizení dojde průměrně jednou za 10 let, takže pravděpodobnost ztráty za jeden rok je 10 %, tedy možné riziko se rovná 300 tisícům korun, to jsou také průměrné roční náklady na ztrátu oněch nešifrovaných dat. Pokud ovšem předpokládáme šifrovaná data, situace se nám pozmění. Řekněme že jen 1 % krádeží notebooků realizuje dostatečně schopný zločinec, takový, jakého jsme zmínili již dříve. Místo aby notebook vymazal a odnesl do zastavárny pochybné pověsti, zanese ho do své laboratoře. Dále počítejme s tím, že v polovině případů je notebook ukraden v zapnutém stavu (například v režimu spánku, protože dotyčný zaměstnanec je líný počítač řádně vypnout).

ICTS24

Hodnota rizika je nyní 150 korun: 3 000 000 korun × 0,1 × 0,001 × 0,5 = 150 korun. CIO by tedy řediteli mohl odpovědět, že s šifrováním nás bude průměrně ročně stát ztráta dat 150 korun, zatímco bez něj by to bylo 300 tisíc. Nejjednodušší je tedy používat šifrování dat a dbát na to, aby byl počítač vždy řádně vypnut a ne jen hybernován, protože tak nezůstane v operační paměti softwarový klíč k rozluštění dat (a také tím šetříme energii). Tento postup je poměrně jednoduchý a lze ho použít v mnoha situacích, nejen těch spojených se zabezpečením dat. Pokud je zmenšení ohodnoceného rizika vyšší než náklady na toto snížení, pak se vyplatí do zabezpečení investovat. V případě šifrování dat lze například uvažovat i o speciálních discích, které automaticky data šifrují a nepotřebují k tomu dodatečný software.

Rozšíříme-li náš příklad, potom jestliže speciální disk učiní možné dešifrování 100 × obtížnější, klesnou očekávané průměrné náklady ze ztráty dat na přibližně jednu korunu a padesát haléřů. Jestli potřebný disk stojí po odečtení ceny šifrovacího softwaru více než cca 148,50 korun, potom se investice nevyplatí (na druhou stranu bychom mohli do analýzy započítat úsporu času zaměstnanců, kteří nemusejí administrovat šifrovací program, nicméně to už bychom se hodně zaplétali). Takže, až se vás ředitel zeptá, jestli se šifrovací software vyplatí, můžete mu to velmi rychle spočítat, ten bude koukat.