A segurança de dados requer ir além. Uma vez que há o hackeamento das credenciais do usuário, ID e senha, a criptografia é de pouca ajuda. Mas não é por isso que vamos desprezá-la
Por Hu Yoshida *
Nos últimos doze meses, observamos a enorme ocorrência de violações de segurança de dados nos Estados Unidos.
A lista abaixo reúne as empresas com os números mais altos de clientes que tiveram prejuízos com a exposição de seus dados:
Anthem – 80 milhões
Home Depot – 56 milhões
JP Morgan Chase – 76 milhões
EBay – 145 milhões
Target – 70 milhões
Living Social – 50 milhões
A perda de informações privadas em escala assim tão massiva é o pior pesadelo de qualquer executivo. No caso da Target, seu CEO, Gregg Steinhafel, foi demitido em decorrência da perda de informações relativas a cartão de crédito de seus clientes. Ao mesmo tempo em que os valores de multas relativas às violações podem ser altos, o custo de recuperação da reputação (e da confiança) do mercado e dos próprios clientes pode, de uma certa forma, ser incalculável.
O custo da exposição de dados pessoais
Em muitos desses relatórios, se revelou que os dados que foram comprometidos não estavam criptografados.
No caso de dados pessoais, as empresas devem notificar cada pessoa cujos dados foram expostos. Pode-se imaginar os custos envolvidos no caso do hackeamento do Anthem para notificar 80 milhões de pessoas e oferecer serviços de monitoramento de crédito e proteção de identidade sem custos para todas as vítimas.
A principal lei federal americana, de privacidade em saúde, de 1990 – o Ato de Portabilidade e Responsabilidade de Seguros de Saúde, ou HIPAA, na sigla em inglês – encoraja a criptografia, mas não a exige. No entanto, mesmo que a lei não especifique o uso da criptografia, ele pode oferecer um “porto seguro”, já que se os dados estiverem criptografados, o envio de notificações pode não ser necessário (verificar com seu departamento jurídico).
O HuffingtonPost observa que “a falta de um padrão claro de criptografia enfraquece a confiança pública, mesmo que o governo siga incentivando o uso de registros médicos computadorizados e o compartilhamento de informações eletrônicas entre hospitais, médicos e seguradoras.”
Legislação aponta para a Criptografia
Notícias como essa atraem cada vez maior conscientização quanto às consequências de falhas na segurança e vazamento de dados. A resposta se dará por meio de leis e regulações que exigirão a implementação de medidas de segurança específicas e multas para quem não cumpri-las.
Regulações pendentes quanto à proteção de dados na União Europeia podem impor multas de até 1 milhão de Euros ou, no caso de empresas – até 2% de seu faturamento anual mundial! Enquanto a segurança exige uma abordagem completa que inclui autenticação e controle de acesso, acesso baseado em função, proteção contra vírus e malware, log de auditoria, particionamento de recursos, limpeza de mídia e gerenciamento de chaves, bem como criptografia de dados ativos e inativos, a indústria parece estar chegando a um consenso a respeito da necessidade de criptografia como ferramenta primária para a proteção de dados.
No Brasil, o governo também prepara uma legislação específica para a proteção de dados pessoais. A consulta pública sobre o anteprojeto de lei foi prorrogada. A sociedade tem até 30 de abril de 2015 para fazer críticas e sugestões ao documento. As intervenções poderão ser enviadas acessando o endereço participacao.mj.gov.br
Por que os dados não são criptografados
Há muitas razões pelas quais as companhias relutam para criptografar seus dados. Entre elas estão custos, impacto no desempenho, o peso que o gerenciamento de chaves e arquivos criptografados representa para as operações do dia a dia e a necessidade de se aumentar a força da criptografia à medida que a tecnologia avança. Muitas escolhem confiar na defesa perimetral para proteger seus dados e deduzem que a criptografia dos dados em si não é necessária.
Muitas dessas preocupações e questões a respeito da criptografia estão ultrapassadas e foram superadas com recentes avanços no gerenciamento de criptografia e chaves criptográficas. A criptografia de hardware eliminou os custos da criptografia de software e novas técnicas de criptografia permitem que a mesma seja feita em tempo real. Capacidades do sistema de armazenamento, como provisionamento dinâmico, particionamento de recursos e o novo protocolo de intercâmbio de gerenciamento de chaves, KMIP, ajudam a aliviar o impacto nas operações do dia a dia. O novo Padrão de Criptografia Avançada (AES), com uma senha de criptografia de 256 bits, tornará muito mais difícil para um computador fazer um ataque de força bruta em 2.256 combinações, comparadas ao antigo Padrão de Criptografia de Dados (DES) com uma chave de criptografia de 56 bits.
Destruição
Destruir os dados antigos também é importante para a segurança de dados. A criptografia oferece uma medida extra de proteção e confidencialidade em casos de perda, roubo ou deslocamento de mídia que possa conter informações sensíveis por meio de destruição criptografada, a exclusão de chaves de criptografia.
A especificação DoD para destruição com uma série de substituições, com diferentes padrões de bits, pode exigir tempo e recursos de armazenagem, enquanto a destruição criptografada envolve apenas deletar uma chave. Sobrescrever/substituir não é eficiente para mídia flash já que as gravações sempre são feitas em um novo bloco. Já que as matrizes de armazenamento da Hitachi podem criptografar qualquer unidade SSD ou flash que se conecte com o controlador, elas podem destruir os dados em unidades flash por meio da cripto-destruição.
Gerenciamento de chaves
O Gerenciamento de chaves pode ser um dos aspectos mais difíceis da criptografia de dados inativos. Assim, pode tornar-se um impedimento para a utilização da criptografia, ou pior, causar a perda de dados por erros ou falta de ação dos operadores.
A Hitachi, por exemplo, implementou sua função de criptografia de tal forma que pouca intervenção humana é necessária. Essa abordagem ajuda a garantir que os dados não sejam comprometidos devido ao gerenciamento errado de chaves. A opção foi por uma abordagem simplificada de gerenciamento de chaves para proteção, backup e recuperação de chaves para as empresas que não possuem infraestrutura de gerenciamento de chaves já estabelecida. Para as organizações que já têm infraestrutura de gerenciamento de chave formalizada, por exemplo, a solução da companhia trabalha com o Protocolo de Interoperabilidade de Gerenciamento de Chaves (KMIP), que suporta a geração, backup e recuperação de chaves de criptografia de dados, bem como operações de fontes confiáveis que se integrarão com diversos produtos para o gerenciamento de chaves disponíveis atualmente no mercado.
Parcerias com as fabricantes líderes de mercado em soluções para o gerenciamento de chaves, como Thales e-Security e SafeNet, facilitam o lançamento de soluções de criptografia em larga escala.
Mais que criptografia
A segurança de dados requer mais que criptografia. Uma vez que há o hackeamento das credenciais do usuário, ID e senha, a criptografia é de pouca ajuda.
Algumas soluções do mercado oferecem uma abordagem única para a criptografia de dados em seus sistemas de armazenamento, o que torna muito fácil implementar e gerenciar a criptografia de dados inativos. A Hitachi também oferece um conjunto de soluções que atendem as necessidades quanto à segurança de dados em nível de gerenciamento de armazenamento.
Ou seja, os hackers constantemente buscam maneiras de explorar qualquer vulnerabilidade que possam encontrar para obter acesso a dados. A criptografia de dados inativos deve ser fundamental, já que a tecnologia de hoje facilita a criptografia de dados por meio de controladores de armazenamento com pouco impacto no desempenho e com a integração de ferramentas de armazenamento e gerenciamento de chaves como a KMIP para reduzir a complexidade operacional.
Podemos não ter muita escolha num futuro próximo, em virtude das crescentes necessidades regulatórias. O Padrão de Proteção de Dados (DSS) da Indústria de Cartões de Pagamento (PCI) já requer a criptografia de dados inativos para garantir que todas as companhias que processem, armazenem ou transmitam informações de cartão de crédito mantenham um ambiente seguro. Após o hackeamento da Anthem, há um movimento para se demandar a criptografia da HIPPA. Reguladores ao redor do mundo parecem estar chegando a um consenso a respeito da criptografia.
E você, não acha que a criptografia de dados deveria ser parte integrante de sua estratégia de proteção hoje?
(*) Hu Yoshida é Vice-presidente e CTO Global da Hitachi Data Systems
Fonte: cio.com.br/tecnologia