Medzi administrátormi zodpovednými za údaje vo firmách stále prevláda presvedčenie, že sieť SAN alebo iné riešenia prepojenia serverov s externým diskovým poľom patria k bezpečnejším častiam infraštruktúry IT podniku. Teoreticky sa toto tvrdenie zdá byť pravdivé, ale aj najlepšie zariadené serverovne a zabezpečené systémy majú veľa slabých bodov, prostredníctvom ktorých môže dôjsť k úniku údajov.

V minulosti bola bezpečnosť údajov na diskoch garantovaná bezpečnosťou samotného hostiteľského počítača, doplnená, samozrejme, o fyzickú separáciu počítača v stráženej serverovni. V prípade modelu DAS (Direct Attached Storage) išlo tiež o overený postup. Zariadenie typu JBOD (Just a Bunch Of Disks, čiže kláster diskov vnímaný ako jeden

diel, ale nie RAID) alebo lokálna knižnica sú tiež zabezpečené pred prístupom zvonka prostredníctvom ich umiestnenia v bezprostrednej lokalizácii servera. Žiaľ, ináč je to v prípade používania siete SAN. Pred fyzickým prístupom dobre chránená serverovňa je spojená so stráženou miestnosťou pre diskové polia, avšak komunikácia medzi nimi je uskutočňovaná prostredníctvom rozhodne slabšie chráneného spojenia FC alebo SCSI. Samozrejme, zdravý úsudok napovedá, že je málo pravdepodobné, aby sa vo firme objavil zlodej údajov, vybavený napr. prenosným počítačom s rozhraním Fibre Channel a pokúsil sa o pripojene medzi servermi a dátovým úložiskom. Avšak... spôsobov na vstup k slabo zabezpečeným údajom je mnoho a čím hodnotnejšie sú tieto údaje, tým väčšia je pravdepodobnosť, že sa nakoniec ktosi rozhodne urobiť

bezočivý krok a vnikne do podniku za účelom vykradnutia hodnotných informácii (až 80 % neautorizovaných prístupov pochádza z vnútornej strany sietí...).

Najslabší prvok - človek...

Kritické body zabezpečenia údajov sa nachádzajú tak v styku firemnej siete s internetom, ako aj vo vnútri podniku. Samozrejme, predpokladáme, že neautorizovaný prístup ku kritickým údajom nie je možný pre bežných, nezasvätených pracovníkov. Avšak vždy sa nájde niekoľko takých, ktorí - napriek tomu, že nie sú bezprostredne angažovaní do procesu tvorby a narábania s informáciami vo vnútri rôznych oddelení firmy - majú úplný prístup k celku alebo aspoň k časti archívov. Sú to napríklad administrátori siete, ľudia, ktorí strážia tvorbu záložných kópii a pod. Každý z nich sa môže stať najslabším prvkom reťazca bezpečnosti (napr. v dôsledku korupcie alebo obyčajnej zákernosti). Iným nebezpečenstvom je napríklad likvidácia pevných diskov alebo záložných kópií. Iste si všetci pamätajú škandál, aký vyvolal pred niekoľkými mesiacmi nepoctivý administrátor, ktorý za haliere predal na počítačovej burze niekoľko diskov, ktoré vyniesol zo sídla Ministerstva zahraničných vecí Poľskej republiky. Ľahko môžeme konštatovať, že neexistuje taký spôsob zabezpečenia údajov, ktorý by zaistil plné utajenie, okrem... šifrovania. Informácia zabezpečená prostredníctvom silnej šifry nie je prístupná pre cudzie osoby, dokonca ani vtedy, keď omylom alebo kvôli nepoctivosti pracovníkov sa do rúk cudzích osôb dostanú nosiče, ktoré takéto informácie obsahujú.

Decru DataFort - strážca údajov

V takýchto prípadoch americká firma Decru navrhuje použitie zariadenia DataFort - druh špeciálneho počítača, vybaveného veľmi výkonným procesorom SEP (Storage Encryption Processor) a príslušným programom so špeciálnym generátorom pseudonáhodných čísiel na generovanie kľúčov. DataFort je pripájaný pomocou výkonných sieťových rozhraní medzi servery a diskové pole, zaisťujúc pre užívateľa úplne priezračné pôsobenie šifrujúceho "stroja". Vďaka vysokému matematickému výkonu procesora sú údaje okamžite kódované, bez viditeľného meškania transferu. DataFort využíva silný šifrujúci algoritmus AES-256, považovaný v súčasnosti za prakticky neprekonateľný. Architektúra zariadenia dovoľuje nielen šifrovať údaje, ale

tiež tvoriť virtuálne servery, nazývané v nomenklatúre Decru "cryptainer". Vďaka tomu je možné oddeliť od seba kritické údaje (šifrované) a také, ktoré šifrovanie nepotrebujú. Riadenie, ako aj obsluha DataFort, sa uskutočňuje prostredníctvom rozhrania WWW, alebo pomocou vstavanej dotykovej LCD obrazovky. Celé zariadenie je zabezpečené systémom čipových kariet. V prípade potreby obnovenia údajov alebo vygenerovania kľúčov s cieľom "klonovania" konfigurácie zariadenia, sa najskôr musí stretnúť vytypovaná skupina pracovníkov, ktorí disponujú vhodnými kartami. Ináč povedané, zabezpečenie pripomína potrhanú bankovku z akčných románov - každá karta obsahuje akýsi fragment kódu na odblokovanie zabezpečenia, aby jeden pracovník nebol schopný odistiť DataFort. DataFort je zatvorený v chránenej skrinke, zabezpečenej zámkom a elektronickým čidlom, registrujúcim každé otvorenie. Zariadenie zapisuje každú činnosť vo vnútorných logoch, v ktorých sú kritické informácie zabezpečené elektronickým podpisom. DataFort je hodnotný ochranca údajov - odporúčaná inštalácia obsahuje dve "dupľujúce" sa zariadenia, stojí okolo 120 tisíc Euro. Avšak po zohľadnení prípadných výdavkov, aké môžu vzniknúť po neautorizovanom prístupe k zvlášť kritickým údajom (napr. osobným údajom bankových zákazníkov alebo používateľom mobilných telefónov) je vhodné zvážiť jeho nákup, pretože DataFort zaručuje veľmi efektívne zabezpečenie, prakticky eliminujúce všetky slabé miesta firemnej siete so SAN-om. n