Kas ir datu šifrēšana?

Q: Vai mākoņpakalpojumos dati ir automātiski šifrēti?

Lielākie mākoņu pakalpojumu sniedzēji piedāvā šifrēšanu miera stāvoklī pēc noklusējuma, taču ar pakalpojuma sniedzēja pārvaldītām atslēgām. Augstākai drošībai ieteicams izmantot klienta pārvaldītas atslēgas.

Datu šifrēšana (angliski — encryption) ir kriptogrāfisks process, kurā lasāmi dati (vienkāršais teksts) tiek pārveidoti nesakārtotā, nelasāmā formā (šifrētais teksts), ko var atšifrēt tikai ar pareizo atslēgu. Šifrēšana ir viens no fundamentālākajiem datu aizsardzības mehānismiem — pat ja uzbrucējs iegūst piekļuvi šifrētiem datiem, tie paliek nelietojami bez atšifrēšanas atslēgas.

Šifrēšanas nozīme mūsdienu biznesa vidē ir grūti pārvērtēt. GDPR (Vispārīgā datu aizsardzības regula) tieši nosauc šifrēšanu kā piemērotu tehnisko pasākumu personas datu aizsardzībai, un NIS2 direktīva iekļauj kriptogrāfiju un šifrēšanu kā obligātu drošības elementu. DVI (Datu valsts inspekcija) Latvijā vērtē šifrēšanas ieviešanu kā pozitīvu faktoru datu pārkāpumu izmeklēšanā.

Šajā rakstā detalizēti apskatīsim šifrēšanas veidus, algoritmus, praktisko pielietojumu uzņēmumā un regulatīvās prasības, kas nosaka šifrēšanas obligātu izmantošanu.

Simetriskā un asimetriskā šifrēšana

Simetriskā šifrēšana izmanto vienu un to pašu atslēgu gan datu šifrēšanai, gan atšifrēšanai. Visplašāk izmantotais simetriskais algoritms ir AES (Advanced Encryption Standard), kas ir pieejams ar 128, 192 un 256 bitu atslēgas garumu. AES-256 ir uzskatīts par praktiski neuzlaužamu ar mūsdienu tehnoloģijām — pat ar visātrāko superdatoru pilnīga atslēgas pārmeklēšana prasītu triljoniem gadu.

Simetriskās šifrēšanas galvenā priekšrocība ir ātrums — tā ir efektīva lielu datu apjomu šifrēšanai. Trūkums — atslēgas pārvaldības problēma: kā droši nodot šifrēšanas atslēgu otrai pusei, ja saziņas kanāls nav drošs?

Asimetriskā šifrēšana risina šo problēmu, izmantojot atslēgu pāri — publisko atslēgu (šifrēšanai) un privāto atslēgu (atšifrēšanai). Populārākais asimetriskais algoritms ir RSA, kā arī eliptisko līkņu kriptogrāfija (ECC). Ikviens var šifrēt datus ar saņēmēja publisko atslēgu, bet atšifrēt tos var tikai privātās atslēgas īpašnieks.

Praksē simetriskā un asimetriskā šifrēšana tiek kombinēta. Piemēram, TLS protokolā asimetriskā šifrēšana tiek izmantota, lai droši apmainītos ar simetrisko sesijas atslēgu, ar kuru pēc tam tiek šifrēta visa pārējā saziņa. Šāda hibrīdā pieeja apvieno asimetriskās šifrēšanas drošību ar simetriskās šifrēšanas ātrumu.

Šifrēšana miera stāvoklī un tranzītā

Šifrēšana miera stāvoklī (encryption at rest) aizsargā datus, kas tiek glabāti — cietajos diskos, datubāzēs, rezerves kopijās, mākoņu krātuvēs. Ja fiziska ierīce tiek nozagta vai nesankcionēti piekļūta, šifrēšana nodrošina, ka dati paliek aizsargāti. Pilna diska šifrēšana (FDE — Full Disk Encryption) ir visizplatītākais veids — Windows BitLocker, macOS FileVault un Linux LUKS šifrē visu diska saturu.

Šifrēšana tranzītā (encryption in transit) aizsargā datus to pārsūtīšanas laikā starp diviem punktiem. TLS/SSL protokoli nodrošina šifrētu saziņu interneta pārlūkprogrammā (HTTPS), e-pasta pārsūtīšanā, VPN savienojumos un API izsaukumos. Bez šifrēšanas tranzītā dati var tikt pārtverti tīklā (man-in-the-middle uzbrukums).

Trešais līmenis ir šifrēšana lietošanas laikā (encryption in use) — datu aizsardzība to apstrādes brīdī. Tehnoloģijas kā konfidenciālā skaitļošana (confidential computing) un homomorfā šifrēšana ļauj veikt darbības ar šifrētiem datiem, tos neatšifrējot. Šīs tehnoloģijas vēl nav plaši izplatītas, bet attīstās strauji.

Latvijas uzņēmumiem minimālā prasība ir šifrēšana miera stāvoklī visām galiekārtām (portatīvajiem datoriem, viedtelefoniem) un šifrēšana tranzītā visai ārējai saziņai. CERT.LV šīs prasības iekļauj savos kiberdrošības minimālajos standartos.

TLS/SSL — interneta saziņas šifrēšana

TLS (Transport Layer Security) ir kriptogrāfisks protokols, kas nodrošina šifrētu saziņu internetā. TLS ir SSL (Secure Sockets Layer) pēctecis — lai gan terminu «SSL» joprojām lieto sarunvalodā, mūsdienu sistēmās izmanto tikai TLS (versijas 1.2 un 1.3). Vecākas SSL un TLS versijas (SSL 3.0, TLS 1.0, TLS 1.1) ir atzītas par nedrošām un ir jāatspējo.

Kad lietotājs apmeklē vietni ar HTTPS, notiek TLS rokasspiediens (handshake) — process, kurā pārlūkprogramma un serveris vienojas par šifrēšanas parametriem, verificē servera sertifikātu un izveido šifrētu savienojumu. TLS 1.3 šo procesu ir būtiski optimizējis, samazinot rokasspiedienam nepieciešamo laiku.

TLS sertifikāti (bieži saukti par SSL sertifikātiem) ir digitāli dokumenti, kas apliecina vietnes identitāti un satur publisko atslēgu šifrēšanai. Let's Encrypt piedāvā bezmaksas sertifikātus, un to izmantošana ir kļuvusi par standartu. Taču sertifikāta esamība vien nenozīmē, ka vietne ir uzticama — pikšķerēšanas vietnes arī var izmantot HTTPS.

Uzņēmumiem TLS ir kritisks ne tikai vietnēm, bet arī e-pasta serveriem (STARTTLS), VPN savienojumiem, API integrācijām un iekšējiem pakalpojumiem. NIS2 un GDPR prasa šifrētu datu pārsūtīšanu, un TLS ir standarta veids, kā to nodrošināt. securIT palīdz konfigurēt un uzturēt TLS infrastruktūru, nodrošinot atbilstību mūsdienu drošības standartiem.

GDPR un šifrēšanas regulatīvās prasības

GDPR 32. pants nosaka, ka personas datu pārzinis un apstrādātājs ievieš atbilstošus tehniskos un organizatoriskos pasākumus, tostarp «personas datu pseidonimizāciju un šifrēšanu». Šifrēšana ir vienīgais konkrētais tehniskais pasākums, ko GDPR nosauc tieši — tas norāda uz tās fundamentālo nozīmi datu aizsardzībā.

GDPR 34. pants paredz būtisku atvieglojumu uzņēmumiem, kas izmanto šifrēšanu — ja notiek datu pārkāpums, bet dati bija šifrēti, organizācijai nav pienākuma individuāli paziņot katram skartajam datu subjektam. Tas var ietaupīt milzīgus resursus un reputācijas kaitējumu pārkāpuma gadījumā.

NIS2 direktīva un NKDL iekļauj kriptogrāfiju un šifrēšanu savu obligāto drošības pasākumu sarakstā. Organizācijām jāievieš šifrēšanas politika, kas definē, kuri dati tiek šifrēti, ar kādiem algoritmiem un kā tiek pārvaldītas atslēgas.

Latvijā DVI (Datu valsts inspekcija) savos lēmumos un ieteikumos regulāri atsaucas uz šifrēšanu kā nepieciešamu pasākumu. Datu pārkāpuma gadījumā DVI vērtē, vai organizācija bija ieviesusi atbilstošus aizsardzības pasākumus — šifrēšanas esamība vai neesamība var būtiski ietekmēt lēmumu par soda sankcijām.

Svarīgi saprast, ka šifrēšana nav tikai tehnisks jautājums — tā ir arī organizatorisks process. Atslēgu pārvaldība, šifrēšanas politikas, darbinieku apmācība un regulāra audits ir tikpat svarīgi kā pats šifrēšanas algoritms.

Pilna diska un e-pasta šifrēšana praksē

Pilna diska šifrēšana (FDE) ir viens no vienkāršākajiem un efektīvākajiem veidiem, kā aizsargāt uzņēmuma datus. Windows vidē BitLocker nodrošina pilna diska šifrēšanu ar AES-256, un to var centralizēti pārvaldīt ar Microsoft Intune vai Active Directory Group Policy. macOS piedāvā FileVault, kas šifrē visu startēšanas disku.

FDE ir īpaši kritiska portatīvajiem datoriem un mobilajām ierīcēm. Ja nešifrēts klēpjdators tiek nozagts, visi tā dati — klientu informācija, finanšu dokumenti, personas dati, intelektuālais īpašums — ir brīvi pieejami uzbrucējam. Ar FDE nozagts klēpjdators ir tikai aparatūra — dati paliek aizsargāti.

E-pasta šifrēšana ir sarežģītāka, jo ietver vairāku pušu sadarbību. S/MIME un PGP/GPG protokoli nodrošina end-to-end šifrēšanu, bet prasa sertifikātu vai atslēgu apmaiņu starp sūtītāju un saņēmēju. Praksē biežāk tiek izmantota transporta līmeņa šifrēšana (TLS starp e-pasta serveriem) un portālu šifrēšana (saņēmējs piekļūst šifrētajam ziņojumam caur drošu tīmekļa portālu).

Microsoft 365 un Google Workspace piedāvā iebūvētas e-pasta šifrēšanas iespējas, taču tās jākonfigurē un jāaktivizē — pēc noklusējuma e-pasts bieži tiek sūtīts nešifrēts. securIT palīdz Latvijas uzņēmumiem ieviest un konfigurēt gan diska, gan e-pasta šifrēšanu, nodrošinot atbilstību GDPR un NIS2 prasībām.

Šifrēšanas ieviešana uzņēmumā — praktiski soļi

Šifrēšanas ieviešana sākas ar datu klasifikāciju — jāidentificē, kuri dati ir visjutīgākie un prasa obligātu šifrēšanu. Personas dati (GDPR kontekstā), finanšu informācija, intelektuālais īpašums un biznesa noslēpumi ir pirmās prioritātes kategorijas.

Otrais solis ir šifrēšanas politikas izstrāde — dokuments, kas definē šifrēšanas prasības katrai datu kategorijai, pieļaujamos algoritmus (AES-256 simetriskajā, RSA-2048 vai ECC asimetriskajā šifrēšanā), atslēgu pārvaldības procedūras un atbildīgos darbiniekus.

Trešais solis ir tehniskā ieviešana. Minimālais kopums Latvijas uzņēmumam ietver: pilna diska šifrēšanu visiem klēpjdatoriem (BitLocker/FileVault), TLS 1.2+ visai ārējai saziņai, šifrētas rezerves kopijas, VPN attālinātajai piekļuvei un e-pasta transporta šifrēšanu.

Ceturtais solis ir atslēgu pārvaldība — šifrēšanas atslēgas ir tikpat vērtīgas kā paši dati. Atslēgām jābūt droši glabātām (HSM — Hardware Security Module vai drošā mākoņu pakalpojumā), regulāri rotētām un ar skaidrām atjaunošanas procedūrām.

Piektais solis ir nepārtraukta uzraudzība un audits — regulāra pārbaude, vai šifrēšana darbojas korekti, vai nav ierīču ar atspējotu šifrēšanu, vai atslēgas tiek rotētas. Sazinieties ar securIT komandu — [email protected] vai +371 27555221 — lai saņemtu šifrēšanas auditu un ieviešanas plānu jūsu uzņēmumam.

Biežāk uzdotie jautājumi

Vai šifrēšana palēnina datora darbību?

Mūsdienu procesori ietver aparatūras AES akselerāciju (AES-NI instrukcijas), kas padara šifrēšanu praktiski nemanāmu ikdienas lietošanā. BitLocker un FileVault pilna diska šifrēšana samazina diska veiktspēju par aptuveni 1–5% — lielākā daļa lietotāju atšķirību nemana. Vecākos datoros bez AES-NI ietekme var būt lielāka, taču šādi datori ir reta izņēmuma situācija mūsdienu uzņēmumu vidē.

Ko darīt, ja aizmirstu šifrēšanas atslēgu vai paroli?

Tieši tāpēc atslēgu pārvaldība ir kritiska. BitLocker atkopšanas atslēgas var centralizēti glabāt Active Directory vai Microsoft Entra ID (Azure AD), nodrošinot, ka IT administrators var atbloķēt ierīci. Uzņēmumiem jāizstrādā atslēgu atkopšanas procedūras pirms šifrēšanas ieviešanas. Bez atkopšanas atslēgas šifrēti dati ir neatgriezeniski zaudēti — tas ir šifrēšanas drošības garantija, kas vienlaikus ir arī risks.

Vai GDPR prasa obligātu datu šifrēšanu?

GDPR tieši nenorāda šifrēšanu kā obligātu prasību, bet nosauc to kā piemērotu tehnisko pasākumu (32. pants). Praksē DVI un citu ES uzraudzības iestāžu lēmumi rāda, ka šifrēšanas neesamība tiek vērtēta kā nopietns trūkums datu pārkāpuma gadījumā. Turklāt GDPR 34. pants atbrīvo no individuālas paziņošanas pienākuma, ja pārkāpumā skartie dati bija šifrēti. Faktiski šifrēšana ir de facto obligāta.

Kāda ir atšķirība starp AES un RSA šifrēšanu?

AES ir simetriskais algoritms — viena atslēga gan šifrēšanai, gan atšifrēšanai. Tas ir ātrs un piemērots lieliem datu apjomiem (disku šifrēšana, faili, datubāzes). RSA ir asimetriskais algoritms — publiskā atslēga šifrēšanai, privātā atšifrēšanai. RSA ir lēnāks, bet risina atslēgas apmaiņas problēmu. Praksē tos kombinē: RSA droši apmainās ar AES sesijas atslēgu, ar kuru šifrē pašus datus.

Vai mākoņpakalpojumos dati ir automātiski šifrēti?

Lielākie mākoņu pakalpojumu sniedzēji (AWS, Azure, Google Cloud) piedāvā šifrēšanu miera stāvoklī pēc noklusējuma, taču ar pakalpojuma sniedzēja pārvaldītām atslēgām. Tas nozīmē, ka pakalpojuma sniedzējs tehniski var piekļūt datiem. Augstākai drošībai ieteicams izmantot klienta pārvaldītas atslēgas (customer-managed keys) vai šifrēt datus pirms augšupielādes. GDPR kontekstā svarīgi saprast, kas pārvalda šifrēšanas atslēgas.

Vai jūsu uzņēmuma dati ir droši šifrēti? Sazinieties ar securIT un saņemiet šifrēšanas auditu un ieviešanas plānu, kas atbilst GDPR un NIS2 prasībām — [email protected], +371 27555221.