Pamięć flash jest pamięcią EEPROM (Electrically Erasable Programmable Read-Only Memory), umożliwiającą zapisywanie lub kasowanie wielu komórek podczas jednej operacji, bez utraty zapisanych danych po odłączeniu zasilania. Wykorzystywana jest m.in. w kartach MultiMedia i w pamięciach USB (pendrive). Czy dane zapisane na nich mogą być bezpieczne?

Utrata nośnika

Na kartach i pendrivach przechowywane są różne dane, zarówno związane z pracą, jak i zupełnie prywatne. Zapewne nikt nie życzyłby sobie, aby dostały się one w niepowołane ręce. Konsekwencje utraty nośników mogą być dotkliwe. Dlatego warto zabezpieczyć znajdujące się na nich dane. Najlepiej zrobić to poprzez szyfrowanie. Jest to także rozwiązanie, zdejmujące odpowiedzialność z firmy, której pracownik utracił kartę lub pendrive, w świetle RODO. Rozporządzenie przewiduje wysokie kary finansowe dla firmy i jej pracowników w przypadku naruszenia bezpieczeństwa danych. Jeżeli dojdzie do tego naruszenia na poziomie zabezpieczeń, a nie samych danych, firma nie musi zgłaszać tego faktu organowi nadzorczemu. Zaszyfrowanie danych daje taką pewność. Utrata nośnika może przytrafić się wszędzie i w różnych okolicznościach, dlatego zaszyfrować dane należy zawsze przed przemieszczeniem nośnika – np. zabraniem go w delegację.

Narzędzia szyfrujące

Coraz częściej producenci dostarczają rozwiązania szyfrujące wraz z nowo zakupionym nośnikiem danych. Jeżeli nie jest on wyposażony w narzędzie do szyfrowania, można skorzystać z dostępnych w sieci.

VeraCrypt działa w systemach operacyjnych Windows, Linux i macOS. Po zainstalowaniu odpowiedniej wersji wykonuje się polecenie Utwórz nowy wolumen, następnie Zaszyfruj niesystemową partycję lub dysk, klika się Dalej, po czym w polu Wybierz urządzenie odszukuje się pamięć USB i wprowadza hasło zabezpieczające. Ważne jest, aby operację tę przeprowadzić przed zapisaniem danych, bowiem kolejną czynnością jest formatowanie nośnika wraz z szyfrowaniem, a jest to czynność usuwająca bezpowrotnie zapisane dane. Dostęp do zaszyfrowanych danych uzyskuje się klikając Wybierz urządzenie. Należy wybrać nośnik, kliknąć Podłącz i wprowadzić hasło.

BitLocker jest narzędziem przeznaczonym dla komputerów z systemem Windows Enterprise, Pro lub Ultimate, w wersjach 7, 8 i 10 z wyjątkiem Home. BitLockera można aktywować, klikając prawym przyciskiem myszy na Eksplorator Windows, następnie w polu Właściwości zakładkę Zaawansowane i Szyfrowanie zawartości w celu ochrony danych i potwierdza przyciskiem OK. Pojawi się zalecenie utworzenia kopii zapasowej certyfikatu szyfrowania danych i klucza – jego utrata uniemożliwi dostęp do zaszyfrowanych danych. Najlepiej więc kliknąć Utwórz kopię zapasową teraz, a w oknie Zabezpieczenie ustawić hasło. Po uruchomieniu szyfrowania plików wybiera się Start -> Właściwości -> System. W informacjach można zmienić ustawienia Bitlockera. Następnie podłącza się nośnik do komputera. Obok ikony z dyskiem pokazuje się Włącz funkcje BitLocker. Należy kliknąć Dalej, określić miejsce zapisu utworzonej kopii zapasowej klucza i część nośnika, która ma być zaszyfrowana, po czym kliknąć Rozpocznij szyfrowanie.

Zrozumiałe jest, że pamięć USB i klucz deszyfrujący należy przechowywać w różnych miejscach i uważać, aby nie zgubić klucza.

Rozwiązania sprzętowe

Firma Kingston oferuje kilka rozwiązań szyfrowania sprzętowego 256-bitowym kluczem AES. Wszystkie są kompatybilne ze standardem USB 3.0.

DataTraveler Vault Privacy 3.0 (DTVP 3.0) wymaga od użytkownika wprowadzenia rozbudowanego hasła, ponadto po dziesięciu nieudanych próbach jego wpisania blokuje i formatuje pamięć. Istnieje także opcja dostępu tylko do odczytu, aby uniemożliwić zainfekowanie nośnika złośliwym oprogramowaniem. Można też wymusić zastosowanie podwójnego hasła, ustalić jego minimalną liczbę i rodzaj znaków oraz liczbę prób wpisania.

DataTraveler 2000 uniemożliwia dostęp do pamięci bez wprowadzenia kodu PIN z klawiatury. Po odłączeniu pamięci od urządzenia włącza się jej automatyczna blokada, natomiast po dziesięciu nieudanych próbach wprowadzenia hasła klucz deszyfrujący ulega wymazaniu. Odbywa się to niezależnie od używanego systemu operacyjnego, ponieważ szyfrowanie odbywa się nie w komputerze, a w urządzeniu.

IronKey D300 jest nowym urządzeniem, posiadającym dodatkowe zabezpieczenia konstrukcyjne, uwidaczniające próby ingerencji, a także oprogramowanie, zapewniające odporność na próby odczytania metodą BadUSB. Urządzenie wymusza stosowanie skomplikowanego, rozbudowanego hasła. Podobnie jak w poprzednich rozwiązaniach, pamięć jest blokowana po dziesięciu nieudanych próbach wpisania hasła, po czym następuje formatowanie.

Wszystkie powyższe rozwiązania są dostępne w Polsce u autoryzowanych dystrybutorów firmy Kingston. Warto rozważyć stworzenie kopii danych na różnych nośnikach, gdyż nawet dopilnowanie wszystkich procedur bezpieczeństwa nie chroni przed wypadkami ekstremalnymi – jak choćby poważnymi uszkodzeniami mechanicznymi, które mogą uniemożliwić późniejsze odzyskanie danych.
Posiadanie co najmniej dwóch nośników tych samych danych drastycznie zmniejsza ryzyko.

Autor: Konrad Bielawski, specjalista ds. odzyskiwania danych w firmie DATA Lab. Informatyk z wykształcenia. Pasjonat sportów motorowych i brytyjskiego kina.