Últimas notícias

Fique informado

Proteja suas chaves ou não perca tempo criptografando seus dados. Por André Machado

2 de outubro de 2020

Spotlight

Doc9 lança Guia Prático de Prompts para ChatGPT no Jurídico: Como Maximizar a Eficiência com a Inteligência Artificial

Para obter os melhores resultados com o ChatGPT no contexto jurídico, siga as dicas importantes do Guia Prático de Prompts da doc9.

28 de maio de 2024

Governo Federal apoia Rio Grande do Sul na emissão 2ª via da Carteira de Identidade Nacional

O mutirão coordenado pelo Governo do RS começou nos abrigos de Porto Alegre. Expedição da segunda via será imediata

20 de maio de 2024

Estudo Global de Tendências em Criptografia da nCipher indica que as Informações pessoais dos clientes são prioridade na proteção de dados

Novo relatório da nCipher em parceria com o Ponemon Institute revela que as empresas correm para se preparar e proteger dados confidenciais.

7 de abril de 2020

Os profissionais de TI estão totalmente cientes de que seus dados estão vulneráveis a ataques e que a criptografia é uma das melhores ferramentas disponíveis para a segurança e a proteção dos dados

Por André Machado

André Machado, gerente sênior de canais LATAM da nCipher Security

Como todos os CIOs e gerentes de TI sabem, a segurança dos dados é um processo contínuo. À medida que a sua segurança muda, a ameaça também muda. Por exemplo, se você criptografou seus dados corporativos, os segredos da sua empresa não podem ser interceptados.

Dispositivos perdidos contendo informação sensível não podem ser lidos. Agora, a ameaça mudou para a sua chave de criptografia. Ela é tão segura quanto precisa ser? Explico aqui a importância de proteger a sua chave ao analisarmos os métodos que os hackers usam para contornar a criptografia.

Ou como profetiza a Máxima de Shannon, um brilhante engenheiro eletricista, matemático e criptógrafo americano que desenvolveu a teoria da informação e transmissão de sinais digitais baseados em sequências de zeros e uns: “O inimigo conhece o sistema”.

As empresas criptografam dados por inúmeras razões: para proteger tanto os segredos corporativos, quanto as informações pessoais dos clientes, o que cumpre as regulamentações vigentes e mantém a confiança e o respeito dos clientes. Os profissionais de TI estão totalmente cientes de que seus dados estão vulneráveis a ataques e que a criptografia é uma das melhores ferramentas disponíveis para a segurança e a proteção dos dados.

A criptografia está listada no Artigo 32 do Regulamento Geral sobre a Proteção de Dados (GDPR) da União Europeia como uma medida técnica e organizacional apropriada para garantir a segurança dos dados, dependendo da natureza e dos riscos das suas atividades de processamento.

O Information Commissioner’s Office (ICO) aconselha seu uso para o armazenamento ou transmissão de dados pessoais e certas regulamentações específicas para cada indústria vão ainda mais longe e chegam a exigir a criptografia.

Ao mesmo tempo em que o custo de perder segredos comerciais seja mais difícil de quantificar – podendo ser demasiadamente grande e até mesmo fatal para uma empresa – as penalidades financeiras resultantes das violações de dados de clientes podem ser calculadas.

Embora o GDPR não contenha nenhuma multa explícita associada a não implementação da criptografia, a criptografia pode proteger as organizações das pesadas multas relacionadas à violação de dados.

Em uma das maiores multas já aplicadas, a Marriott International Hotels foi condenada a pagar 110,3 milhões de euros ao ICO do Reino Unido depois que uma invasão de seus sistemas expôs informações pessoais confidenciais, incluindo detalhes de cartão de crédito, números de passaporte e datas de nascimentos pertencentes a mais de 300 milhões de clientes, dos quais 30 milhões eram residentes na UE.

Ainda que as regulamentações e as multas elevadas tenham convencido as empresas da necessidade da criptografia, a mensagem sobre a segurança das chaves não foi tão clara. Um dos atuais desafios da proteção de dados é que, embora a maioria dos profissionais de segurança compreenda a força da criptografia eles não estão tão conscientes sobre a importância de manter a chave protegida.

Atualmente, a maioria dos profissionais de segurança não entende completamente as diferenças e implicações no uso das tecnologias de criptografia simétrica e assimétrica e acredita, sem questionar, que a criptografia está protegendo seus dados, enquanto a maior parte dos gestores quer proteger seus dados, mas tem um certo receio de usar a criptografia.

Os algoritmos criptográficos populares de hoje, como ECC, AES, 3DES e RSA, estão bem documentados e testados. Eles funcionam graças às chaves únicas e complexas que geram. Uma chave AES de 256 bits – o padrão usado pelo governo dos EUA – tem 1,15 x 1077 combinações possíveis. Isso é 115 com 75 zeros.

Com o atual poder de processamento, o tempo necessário para descriptografar os dados protegidos é medido em milhões de anos. Vistos de outro ângulo, os processos de criptografia agora são tão fortes que transformam a chave em um calcanhar de Aquiles. Mesmo considerando o poder de processamento futuro, a chave será a parte vulnerável da criptografia.

À medida que avançamos para a era da computação quântica, o primeiro padrão de criptografia pós-quântica fechará a porta para os hackers que usam a computação quântica para fortalecer os dados criptografados. Existe o risco de que quando a computação quântica estiver disponível para hackers, todos os dados criptografados com as chaves atuais fiquem desprotegidos.

Como o Instituto Nacional de Padrões e Tecnologia (NIST, na sigla em inglês) dos EUA diz em um relatório recente, “quando esse dia chegar, todas as chaves secretas e privadas protegidas usando os atuais algoritmos de chave pública – e todas as informações disponíveis protegidas por essas chaves – estarão sujeitas à exposição”. A nossa indústria já está trabalhando em assinaturas e chaves maiores (por exemplo, usando segmentação de mensagem) para encarar o desafio.

Ou seja: ninguém em sã consciência tentaria quebrar uma chave, o que deixa apenas uma opção disponível, roubar a chave. Á medida que tecnologias criptográficas se desenvolvem e o poder computacional aumenta, a única alternativa viável é proteger a chave. Supondo que os hackers transformarão o roubo de uma chave criptográfica em prioridade, como eles poderão fazer isso?

Uma forma conhecida é encontrar a chave armazenada em um software na sua rede. Se uma chave for armazenada dessa forma, ela estará vulnerável a roubo. Uma chave criptográfica pode ser reconhecida em uma varredura binária, usando programas relativamente pouco sofisticados. Ela aparecerá como um padrão aleatório que indicará que o intruso ganhou o prêmio acumulado.

Ao mesmo tempo em que eles não têm milhões de anos para usar a força bruta nos dados criptografados, eles terão o tempo necessário para testar as chaves nos seus dados. Com base em uma série de estudos, o tempo entre a invasão de um hacker e a sua detecção fica entre 160 e 260 dias. Mesmo o valor mínimo representa muitas horas. É provável que uma empresa tenha apenas alguns milhares de chaves, um número baixo o suficiente para um hacker trabalhar do início ao fim.

A maneira para proteger a chave e, assim, os seus dados, é armazená-la de maneira segura. Um módulo de segurança criptográfica (HSM) é um dispositivo físico especificamente desenvolvido e certificado para criar, proteger e gerenciar chaves digitais e executar outras funções criptográficas. Um HSM é projetado usando padrões rígidos desenvolvidos pelo NIST especificamente para fornecer a camada final de segurança para a criptografia dos dados.

Ao contrário do armazenamento de uma chave no software, que não está sujeito a nenhum padrão e onde ela pode ser copiada ou roubada, o HSM oferece controle sobre o acesso à chave. O controle fica no HSM. Para algumas indústrias, como a de cartões de pagamento, um HSM é uma das formas de cumprir os padrões de segurança de dados exigidos para operar. Para outras indústrias, usar um HSM demonstra que elas levam a sério os dados corporativos e de clientes.

De acordo com a 451 Research, as empresas gastam 87% do seu orçamento de segurança com soluções para proteger o perímetro, mas por que isso ocorre? Ao longo dos últimos 5 mil anos, a humanidade construiu muros para proteger seus bens. Apenas 1% da nossa história ocorreu na era digital e será preciso que reprogramemos o nosso DNA.

Como os perímetros corporativos são muito complexos e não podem ser completamente protegidos, é preciso que reprogramemos nosso DNA para não deixar as chaves embaixo do tapete. Nem em casa e nem no trabalho. A única opção dos hackers é encontrar e roubar as chaves. Por isso é cada vez mais importante proteger as chaves a qualquer custo!

Entrust Datacard troca sua marca

Para a nCipher Secutity, LGPD coloca o país na vanguarda da proteção de dados em nível internacional

Estudo Global de Tendências em Criptografia da nCipher indica que as Informações pessoais dos clientes são prioridade na proteção de dados

Cibersegurança: Cyber Security Summit divulga segunda lista de speakers do evento gratuito