Усвоить урок 2005 года: нельзя пренебрегать шифрованием резервируемых данных

В 2005 году организациям стало предельно ясно: во избежание потрясших как потребителей, так и корпоративных директоров по информационным технологиям логистических и пиар-кошмаров, необходимо повышать безопасность хранения данных. Недавних событий достаточно, чтобы специалисты по системам резервного копирования данных потеряли сон. В одном широко известном случае по вине внешней компании, специализирующейся на хранении данных, крупная организация потеряла магнитные ленты с персональной информацией о нынешних и бывших сотрудниках. В другом аналогичном случае крупная финансовая организация по вине компании, осуществлявшей ночную курьерскую доставку магнитных лент, потеряла несколько резервных лент с записями, содержащими финансовую информацию членов правительства. А всего за несколько дней до конца года произошел еще один инцидент кражи резервных магнитных лент с нешифрованными данными. Все эти случаи привели к потере компаниями миллионов долларов. Они говорят о необходимости более эффективных приемов обеспечения безопасности носителей данных, особенно резервных магнитных лент, которые покидают стены корпоративных вычислительных центров или хранятся вне их.

Повышенное внимание и беспокойство по поводу потери корпорациями данных о потребителях вызывает заметный рост числа случаев «кражи личности». С 2002 по 2004 год их число выросло на 52%. Пробелы в онлайновой защите, атаки на серверы и кражи или потери компьютеров или носителей с конфиденциальными данными — лишь некоторые из путей, по которым персональная и корпоративная информация попадает в чужие руки. Такие законы как California Information Practice Act (Senate Bill 1386) привлекли дополнительное внимание к этой проблеме и усилили беспокойство потребителей по поводу кражи личности и защиты персональных данных.

Калифорнийский закон требует, чтобы организации, хранящие персональную информацию о жителях Калифорнии, информировали людей в том случае, если их персональная информация будет раскрыта. Закон требует от компаний уведомлять жителей Калифорнии об известных или потенциальных нарушениях безопасности любой системы или носителя, которые могут привести к попаданию нешифрованной персональной информации в неавторизованные руки. До этого не существовало закона, который требовал бы от корпораций раскрытия сведений о подобных инцидентах. В результате компаниям по всей стране приходится сообщать о случаях нарушения безопасности постольку поскольку они затрагивают жителей Калифорнии. Ужесточение требований по раскрытию информации о секьюрити-инцидентах привело к повышенной озабоченности по поводу частоты таких случаев и, что еще важнее, отсутствия законов или согласованных процедур для защиты информации корпораций и граждан. Число инцидентов, случившихся в этом году, ускорило создание новых законов, подобных калифорнийскому, который был принят в 2002 году, как на государственном уровне, так и на уровне штатов.

Для многих компаний резервные магнитные ленты с нешифрованными данными представляет собой крупную и по большому счету не решенную проблему. Сегодня на одной такой ленте легко помещаются миллионы записей. Физическая емкость резервных лент может составлять от 40 до 500 Гбайт. Ввиду высокой плотности данных одна утерянная лента способна раскрыть больше персональной информации, чем многие онлайновые вторжения этого года. В случае с одной финансовой организацией небольшое число утерянных резервных лент содержало информацию по 1,2 млн счетам — это гораздо больше, чем объем информации, фигурировавший в недавних сообщениях об онлайновых вторжениях. Более пристальный взгляд на случаи нарушения безопасности в 2005 году показывает, что по числу пострадавших людей (а не числу инцидентов) первенство принадлежит не пробелам в онлайновой защите, а потерянным или украденным резервным лентам.

Применение шифрования к резервным лентам, особенно тем, которые хранятся вне стен организации, уменьшает риск раскрытия информации. Упомянутый выше закон штата Калифорния требует публичного отчета только в том случае, если потеряны нешифрованные данные (содержащие персональную информацию). К сожалению, сегодня мало компаний шифруют свои резервные ленты. В 2004 году аналитическая фирма Enterprise Strategy Group провела опрос специалистов по системам хранения данных и обнаружила, что 60% из них никогда не шифруют резервные ленты и всего 7% делают это регулярно. В 2005 году после серии сообщений о потере данных фирма выпустила дополнение к этому отчету, в котором утверждает, что 42% специалистов по системам хранения данных и резервного копирования не изменили своих правил даже после недавних событий. Аналогично, DISUK в недавнем исследовании пишет, что только 34% респондентов сказали, что в их правила корпоративной безопасности входит шифрование резервных копий, и всего 23% действительно соблюдают эти правила. Хотя шифрование кажется очевидным шагом, многие профессионалы по хранению данных отмечают, что время, трудозатраты и стоимость шифрования резервных лент — которые могут содержать данные, которые трудно прочесть без исходного приложения — не оправданы. К сожалению, трудность чтения данных с ленты служит плохим оправданием и методом защиты корпоративных данных, а может быть и номеров социального страхования ваших соседей и другой персональной информации. К бездействию приводят и страхи по поводу невозможности восстановить зашифрованные данные из-за потери ключей шифрования или механизма дешифрации (например, если этот НМЛ списали три года назад). Конечно, опасения по поводу шифрования — особенно в отношении восстановления данных — справедливы, но их надо рассматривать в контексте достигнутых результатов, а не вносимой задержки. Можно добиться баланса между доступностью и безопасностью резервируемых данных. Поиск точки равновесия лучше, чем решение вообще не защищать резервные данные на магнитной ленте.

Для принятия любых мер защиты данных потребуются дополнительные усилия по управлению и ИТ-ресурсы. Однако если вы решили, что резервные данные, выходящие за стены предприятия, необходимо защищать, то вместо того, чтобы рассуждать о «цене» безопасности, нужно оценить и отрегулировать существующие процессы с целью повышения безопасности резервных данных, хранящихся вовне. Очевидно, что шифрование играет важную роль в решении задачи обеспечения безопасности данных и жизненно необходимо в применении к таким носителям, как резервные ленты.

Решение о шифровании данных на сменных носителях, выносимых за пределы организации, лишь первый шаг к более эффективной практике обеспечения безопасности хранения данных. Не удивительно, что ни следующим, ни последним шагом не должен быть выбор инструмента для решения этой задачи (например, доступной технологии ускоренного шифрования). Наиболее длительная и важная часть процесса заключается вовсе не в этом, а в том, чтобы оценить и подготовить среду резервного копирования к применению шифрования.

Существуют два подхода к шифрованию — с применением аппаратного устройства в сети или в ленточном массиве и с использованием программного обеспечения, установленного на клиентской машине или сервере. Шифрование резервных лент может осуществляться в разных местах по всему процессу — в клиенте до начала резервного копирования, в сетевом устройстве при передаче данных к носителю, на сервере, который выполняет резервное копирование и переводит данные на ленту, или в процессе записи данных на ленту. Выбор наилучшего подхода зависит от ваших уникальных потребностей. Вот некоторые важные факторы, которые необходимо учитывать при оценке механизма шифрования для среды резервного копирования:

Масштабируемость: Сколько данных сможет обработать устройство или сервер с программным обеспечением шифрования без снижения производительности и не понадобится ли еще одно устройство?
Производительность: Сколько дополнительного времени займет процесс шифрования? Использует ли процесс шифрования ресурсы процессоров сервера? Процесс шифрования на базе ПО, естественно, использует дополнительные обрабатывающие ресурсы, так как собственной аппаратуры у него нет. Тем не менее программные решения более портативны, просты в управлении и доступны по стоимости по сравнению с аппаратными решениями.
Безотказная работа: Что вы будете делать в случае отказа механизма шифрования в процессе резервного копирования или восстановления? Легко ли локализовать механизм шифрования на участке послеаварийного восстановления? Легко ли использовать этот механизм шифрования в зарубежных филиалах?
Управление ключами: Ключ шифрования позволяет расшифровать резервную копию. Без нужного ключа эти данные бесполезны. Можно ли использовать одни и те же ключи шифрования во всей своей среде и на разных участках? Как часто необходимо менять ключи шифрования? Где хранить эти ключи — в клиентской рабочей станции, на сервере или в устройстве? Будут ли они доступны через пять или десять лет? У кого есть доступ к ключам на случай катастрофы? Поставщик или консультант может сказать вам, что нужно иметь разные, часто меняющиеся ключи по всему предприятию, однако при повышении уровня безопасности таким способом повышается также и степень сложности системы, усложняется ее техническое обслуживание и увеличиваются расходы.
Управление: Можно ли при помощи существующих инструментов определить, какие данные вы зашифровали в своей среде резервного копирования? Ведется ли журнал регистрации шифрования данных и замены ключей шифрования? Использование существующего решения резервного копирования для шифрования может помочь вам в решении этих вопросов.
Стоимость: Сколько денег вы израсходовали на механизм шифрования? Какими ресурсами вы воспользуетесь для установки, тестирования и эксплуатации механизма шифрования в вычислительном центре (центрах) и на участке (участках) послеаварийного восстановления? Можно ли выполнять шифрование при помощи имеющегося у вас решения резервного копирования?

Если эти факторы кажутся непомерными, начните с определения объема и расположения данных, которые вы хотите шифровать, а затем начните отвечать на эти вопросы и определять их приоритетность. Как и любой процесс формулирования новых требований, этот процесс будет итерационным, и вам придется пересматривать свои первоначальные предположения и ожидания. Несколько корпоративных продуктов для защиты данных предлагают дополнительную возможность шифрования.

Используя свое ПО резервного копирования для шифрования носителей может упростить управление и внедрение шифрования. При оценке подходящего для своей компании метода установите баланс между простотой внесения изменений в процесс и дополнительными расходами и сложностью. Например, вместо того, чтобы шифровать все данные, поступающие на магнитную ленту, почему бы не уменьшить число данных, сохраняемых на ленте, или не шифровать только те данные, которые содержат конфиденциальную информацию о компании или заказчиках? Объем данных, передаваемых на другие участки на магнитной ленте, можно уменьшить, сохраняя их на дисках и реплицируя на другой безопасный участок. Уменьшив таким образом объем данных, выходящих за стены предприятия и подлежащих шифрованию, вы можете обеспечить себе дополнительную гибкость при внедрении решения.

Если вы решили, что хранящиеся вне организации резервные ленты должны шифроваться, то вы можете начать подходить к решениям творчески. Еще важнее, что начав этот процесс в 2006 году, вы достигните краткосрочной цели — шифрования вывозимых резервных лент — в контексте более крупной задачи — создания среды резервного копирования, гарантирующей безопасность и безотказную работу.

Автор: Питер Эллиман (Peter Elliman), менеджер по маркетингу продуктов защиты данных Symantec Corporation.