A vállalatok körében népszerű ajándéktárgy is a pendrive, sokféle típust és méretet használunk céges környezetben belőlük. Ezeken osszuk meg a vállalkozás prospektusait, telepítjük át az anyagokat a céges asztali gépről a laptopunkra, backup-ot készítünk rá és így tovább. Megkérdezem, hogy hányunknak jutott eszébe az, mekkora gondot jelentene, ha a zsebében lapuló pendrive illetéktelen kezekbe kerülne?
Az ilyen kicsi, könnyen zsebre vágható eszközök hamar elveszhetnek - nem is kell ellopni őket. Például otthagyjuk valakinek a gépének USB portjában vagy a megbeszéléskor a partnerünk íróasztalán, a repülőtéren vagy egy kávézóban. De nem csak a pendrive marad ott, hanem a rajta levő összes adatunk is.
A vállalatok kezdik felismerni ennek veszélyét és különféle biztonsági előírásokat készítenek, hogy megelőzzék a bajt. Viszont gyorsan hajtani sem szabad, mégis - tisztelet a kivételnek - napi szinten szegjük meg a szabály. Pedig készülnek kimondottan olyan pendrive-ok is, amelyek megfelelő biztonságot nyújtanak a rajtuk tárolt adatokkal szemben. Kétféle mód van az adatok titkosítására, a szoftveres és a hardveres.
Szoftveres titkosítás
Gyakorlatilag bármilyen pendrive-val használható út, ezért elég közkedvelt. Azonban minden számítógépen, ahol a pendrive-unkat használni szeretnénk majd, a titkosító programnak installálva kell lennie. Ügyelni kell arra is, hogy ugyanaz a programváltozat legyen kéznél mindenütt.
A szoftveres megoldás csak akkora biztonságot jelent, amennyire maga a számítógép biztonságosnak mondható. A visszakódoláshoz jelszót használunk, ami feltörhető (brute force attack) vagy a gépen kifigyelhető (keylogger), ugyanis az adatok a pendrive-on kívül a számítógép memóriájában is megtalálhatóak, hiszen a program ott fut.
Nagy előny, hogy egyetlen szoftverrel több médián is titkosíthatjuk az adatainkat, így költséghatékony megoldást kapunk.
Hardveres titkosítás
Minden egyes hardver eszköz önállóan kezeli a titkosítási folyamatot. Az eszközben levő külön erre a célra telepített processzor csak a saját meghajtóját kezeli és fordítva, a meghajtó eltávolításával az adatok visszafejtése lehetetlenné válik.
A processzor egy véletlen szám generátorral állítja elő a titkosítási kódot, amit a felhasználónál levő kulcs, azaz jelszó nyit. Az titkosítás összes kritikus eleme a hardverben marad, a gépből szoftverrel nem elérhető. A tikosítás nem terheli a gazdagép erőforrásait sem, a gépre nem szükséges szoftver telepítése, bárhol, bármikor használható.
A hardveres titkosítás ellenáll a legelterjedtebb támadásokkal szemben, mint a boot attack, fertőző kódok vagy az előbb említett brute force attack.
A szoftveres megoldás olcsóbb, de kényelmetlenebb, ráadásul nem felel meg a manapság elvárható minimális vállalati biztonsági előírásoknak (FIPS-140) sem. A szoftveres titkosítás által használt kulcs erőssége és hossza a felhasználó jelszavának erősségének és hosszának felel meg.
A hardveres véletlen szám generátor a felhasználói jelszóból egy 256 bites AES szabványnak megfelelő kulcsot állít elő, ami kis- és nagybetűket, számokat és írásjeleket is tartalmaz. Ki tudna megjegyezni egy ilyen kódot? Annak, aki pedig fel akarja törni, a titkosító hardverre van szüksége, ami pár sikertelen (max. 10) kísérlet után törli a meghajtó tartalmát.
A hardveres megoldás tagadhatatlanul drágább, mert minden eszközzel, témánknál maradva, pendrive-nál meg kell vásárolni a titkosító technikát is. Ez azonban olyan a kényes vállalati anyagok számára, mint a páncélautó az értékeink szállítására, ha nem jobb annál.
Menedzselt biztonság
A gondos vállalkozásnak azonban ez sem lehet elegendő. Egy jelszó akkor biztonságos, ha csak az illetékesek ismerik. Egy kilépett kolléga magával viheti az összes kritikus jelszót a cégtől, ami nem kis kockázatot jelent. A központilag, meghatározott szabályokkal menedzselt jelszavak, hozzáférési szintek szerintem létkérdés még egy kis, családi vállalkozás esetében is. Az információ önmagában többet érhet, mint a cég eszközei összesen.
A Kingston szerver alapú, központilag kezelhető szoftvere, a Blockmaster SafeConsole for Kingston és a hardveres titkosítású, menedzselhető pendrive-ok együtt adják a legmagasabb védelmet az adatvesztés vagy vírusok okozta károkkal szemben. A vállalat rendszergazdája kezében három kritikus terület összpontosul: távolról tarthatja kézbe az egyes USB kulcsokra másolható adatokat, fájlokat; kezelheti azok hozzáférését a felhasználók szempontjából és egyúttal titkosíthatja (hardveres AES 256 bit) a felírt adatokat.
A pendrive-ok megnyitásától kezdődően az elvesztett flash tárolók nyilvántartásán át az illetéktelen hozzáférési kísérletekig naplózhatunk mindent a szerveren, melyekről rendszeres jelentések is készíthetőek. Akár a pendrive tartalma is törölhető a szerveren keresztül, amikor azt csatlakoztatják a hálózati gépekhez, illetve egyes fájltípusok másolását is megtilthatjuk.
Mi a különbség?
A most érkezett új pendrive-ok a korábbi modellekhez képest az előbbiekben leírt módon menedzselhetőek, ehhez a Blockmaster SafeConsole for Kingston szerverhez való hozzáférést kell biztosítani minden számítógépen, ahol használni szeretnénk őket. Ezen belül a Vault Privacy és a FIPS 140-2 közötti különbség pedig a FIPS 140-2-ben rejlik.
A kimondottan vállalati felhasználási környezetbe készített DT4000-M megfelel a FIPS 140-2 előírásainak (14 February 2011/ID Number: G00210377), ami céges szektor minimális biztonsági követelményeit foglalja össze. A központosított menedzselhetőség és a FIPS 140-2 együttesen az egyik legnagyobb biztonságot nyújtják ebben a kategóriában.
A Vault Privacy erős alumínium házban, a DT4000-M pedig ütésálló titán burkolatban van, mindkettő vízálló kivitel. A DTVP 24 MB /s olvasási- és 10 MB/s írási sebességgel, a DT4000 18 MB/s olvasási- és 10 MB/s írási sebességgel kommunikál USB 2.0 porton keresztül.