Utimaco: 5 področij informacijske varnosti, ki si v prihodnje zaslužijo naše pozornosti
Razmislek o naprednih tehnologijah, ki bodo v naslednjih dvanajst mesecih močno vplivale na področje informacijske varnosti, ne le v podjetjih, tudi na splošno v naših vsakodnevnih življenjih.
Razpravljanje o post-kvantni kibernetski varnosti
Post-kvantna kriptografija ali post-kvantna kibernetska varnost se nanašata na algoritme in rešitve, ki bi naj bile (bolj) odporne na napade s kvantnimi računalniki. Ne glede na trendovskost razglaševanja kvantnih računalnikov na tehnoloških konferencah in futurističnih okroglih mizah le-ti nikakor še niso praktična realnost. Nizi nekaj tisoč delujočih demonstracijskih super-prevodniških qbitov, testni čipi in preko strežniških oblakov dostopni na-pol simulatorji so pač še dokaj daleč od praktičnega računalnika. Realisti vemo, da ko raziskovalna ekipa s področja na primer medicine ali tudi elektronike v strokovni publikaciji objavi velik teoretični korak naprej, takrat je to predvsem za potrebe zbiranja financerjev in ne zato ker so rezultati že ali bodo hitro na razpolago, populistični tisk pa to pač populistično razglasi nekoliko drugače.
Ne glede na to pa je učinkovitost kvantnih algoritmov že dokazana. Eno izmed področij, na katerem se izkažejo za izredno učinkovite v primerjavi s trenutnimi tehnologijami, je kriptografija. In to tako v dobre kot v slabe namene. V kriptografiji se lahko zaradi veliko večje računske zmogljivosti uporabijo za veliko močnejše šifrirne algoritme in s tem veliko boljše varnostne rešitve, po drugi strani pa lahko tako izredno veliko računsko moč izkoristijo tudi računalniški kriminalci za veliko hitrejše razbijanje obstoječih tradicionalnih varnostnih mehanizmov. Zato je bolj pametno računati na to, da bodo kvantni računski sistemi povprečnežu na razpolago že v naslednjih deset letih kot pa v naslednjih petdeset letih.
Noben algoritem ni večen, pri varnostnih algoritmih je bolj vprašanje tega kdaj bodo razbiti kot ali bodo sploh razbiti. Zato se v strokovnih krogih že razpravlja o reševanju problematike razbijanja varnostnih rešitev s kvantnimi računalniki, letos pa pričakujemo, da se bodo pojavile že prve praktične rešitve. Seveda ne govorimo o kvantnih temveč o tradicionalnih rešitvah, ki pa bodo vključevale tehnologije bolj odporne na potencialne napade s kvantnimi sistemi.
Veriženi bloki – blockchain – izven primeža kriptovalut?
Lani je bil blockchain eden od najbolj modnih trendovski izrazov, za bitcoin-e je slišal že vsak vrtnar, informatik, ki ni rekel blockchain vsaj enkrat na pet stavkov pogovora, pa ni bil vreden prav dosti. Tehnologija, ki bo spremenila ne le internet, temveč kar cel svet, obljublja avtomatizacijo in decentralizacijo prav vsega, enostavnost in dostopnost za vse, uporabnost za kup opravil v poslovnih procesih prav vseh organizacij, izboljšanje globalne ekonomske situacije, ukinitev družbenih razredov in odpravo ogromnih socialnih razlik, goljufije in mahinacije bodo postale stvar preteklosti, politiki bodo poštenjaki in Trump bo le še redko omenjena zgodovinska osebnost. Na drugi strani pa imamo tudi strokovnjake, ki opozarjajo na v veliki meri trendovskost tehnologije, ki obljublja veliko, zmogla pa bo manj, v prenekateri situacijah pa niti naj ne bi bila dovolj praktična zamenjava namesto posodobljenih in izboljšanih obstoječih sistemov. Kakorkoli, to ni tema tega odstavka, tukaj govorimo o potencialu blockchainov izven platforme kriptovalut kot je Bitcoin, kjer so veriženi bloki pravzaprav prešli iz nekaj let stare teorije v zaresno in razširjeno praktično rabo. Če že ne povsod, potem pa je potencialnih koristi blockchain tehnologij prav gotovo veliko v tehnološko naprednih podjetjih in organizacijah. A previdno.
Mnogi potencialni uporabniki zmotno mislijo, da so veriženi bloki »neskončno« varni, nekateri so posledično napovedovali izginotje »tradicionalnih« kripto tehnologij kot je na primer HSM. A to ni res. Izvorno se lahko v tako verigo doda nov blok brez rabe digitalnega podpisa, torej praktično brez sledenja sprožilcev sprememb, veriga sama po sebi pa še vedno ostaja veljavna. Marsikje v poslovni rabi je to lahko zaskrbljujoče, zato se, presenetljivo, tradicionalne tehnologije letos zmagoslavno vračajo v ospredje. Verižni bloki bodo zanesljivo vodili nespremenljivo zgodovino podatkov, pogodb, transakcij ali sprememb, a s pomembno podporo HSMov za avtentikacijo in avtorizacijo obdelav na blokih ter podpisovanje in / ali hitro izvajanje kriptografskih funkcij pri vseh teh opravilih.
Končno nekaj več inovativnosti v tradicionalnih delih plačilnih sistemov
Finančne institucije, velike banke in tradicionalni mednarodni plačilni sistemi so sicer pripravljeni uvajati nove tehnologije, a le v posameznih odsekih in samo če je dovolj veliko potrošniških zahtev. Drugače je v teh vrstah organizacij še vedno ogromen razkorak med nekaj inovacijskimi centri, ki uvajajo dokaj novo tehnologijo, ter tradicionalnimi področji njihovega jedrnega poslovanja. Najbrž bomo pričeli opažati, da se ta razlika manjša, tudi najbolj toge organizacije se bodo pričele uklanjati prihajajočim inovacijam. Z letošnjim letom na primer mnoge banke »odpirajo vrata« v svoje plačilne sisteme za povezavo z zunanjimi ponudniki, tako se bo na primer omogočilo proženje transakcij iz socialnih omrežij ali spletnih trgovin brez neposredne prijave v elektronsko banko.
Racionalizacija procesov in vključevanje bolj prilagodljive tehnologije in predvsem tehnologije elektronske varnosti kaj hitro spreminjajo panoramo plačilnih sistemov, gre se za odmik od stare in toge opreme, ki je omejevala inovativnost in zaustavljala novo ponudbo. Treba bo implementirati razvijajoče se tehnologije, ki se lahko prilagajajo vsako leto prihajajočim novim digitalnim ponudbam kot so digitalni ali alternativni plačilni sistemi, kripto valute in podobno; brez dodajanja nepotrebnega trenja ob zagotavljanju strogih varnostnih standardov in skladnosti z najnovejšimi predpisi.
GDPR že, kaj pa… eIDAS???
Dolgo že razglašamo, da je 2018 leto EU odredbe GDPR. A to je tudi leto, ko morajo vse države članice kot je opredeljeno v eIDAS 910/2014 priznati elektronske identifikacije (eID) fizičnih in pravnih oseb vseh drugih držav članic EU. Ali poznamo eIDAS – Electronic IDentification, Authentication and trust Services? Ali vemo kaj so to eID oz. sredstva in storitve elektronske identifikacije in avtentikacije? Mnogi boste morda presenečeni, da sem ne spadajo samo neke elektronske identitete, z letom 2018 prihajajoče spremembe se nanašajo Storitve Zaupanja (Trust Services) kot so elektronski podpisi in žigi, časovni žig, storitev elektronske priporočene dostave, avtentikacija spletnih mest in podobno. Te storitve bo treba prepoznati preko nacionalnih meja in s pravnega stališča bodo imele enako veljavnost kot tradicionalni na papirnatih zapisih temelječi procesi. Na breme uvajanje uredbe GDPR smo se že navadili, v letu 2018 pričakujemo, da bo v marsikateri organizaciji vsaj enako velik izziv implementacija zahtev uredbe eIDAS.
Napredek avtonomnih vozil in posledično večji varnostni izzivi
V zadnjih letih smo videli kar nekaj praktičnih primerov potencialnih zlorab računalniških podsistemov v osebnih avtomobilih. Razen tu in tam morda pri kakšni kraji pa doslej v praksi takih zlorab ali vsaj omembe vrednih posledic ni bilo. Čeprav bi lahko recimo korupcija krmiljenja, zavornega sistema, morda tudi navigacije bila zlorabljena v potencialno zelo hude kriminalne namene ali po James Bondovsko državno sponzorirane tajne operacije. Ampak, kaj pa pri samodejnih vozilih? Ta imajo še več mnogo bolj sofisticiranih računalniških sistemov in posledično tudi mnogo več vrstic programske opreme z morebitnimi varnostnimi luknjami. Velik dejavnik je tudi medsebojna komunikacija med vozili, ki je pomembna tako za avtonomnost kot tudi za optimizacijo prometa in hitro obveščanje o stanju na cestišču. In spet – več komunikacijskih zmožnosti pomeni tudi več poti za sprožanje zlorab.
Na srečo strokovnjaki iz tega področja že dajejo veliko težnjo varnosti, sprejemajo regulacije, razvijajo tehnologije in preučujejo morebitne rešitve. Avtonomna vozila bodo za optimalno delovanje zahtevala ob cestah še dodatno podporno infrastrukturo, pričakuje se, da se bodo vanje implementirale tehnologije iz obstoječih platform, kot so na primer plačilni sistemi, ki prav tako zahtevajo veliko mero varnostnih elementov. Poznate kratici B2B in B2C? Spoznajte tudi V2V in V2I oziroma Vehicle-to-Vehicle ter Vehicle-to-Infrastructure. Obstoječi ponudniki kibernetične varnosti bodo pripravljali tehnologije za zaščito sporočilnih sistemov med dvema ali več avtonomnimi vozili ter med avtonomnimi vozili in pripadajočo infrastrukturo. To in obstoječe na izmenjavo podatkov vezane EU regulative tipa GDPR ter eIDAS predstavljajo dodaten zanimiv potencial za ponudnike tipa Utimaco. Prihodnost bo pestra!
Povezava do izvornega materiala:
https://hsm.utimaco.com/news/utimaco-five-cybersecurity-predictions-for-2018/
O podjetju Utimaco
Nemško podjetje Utimaco IS GmbH je vodilni ponudnik strojnih varnostnih / šifrirnih modulov HSM za varno hranjenje kriptografskih ključev korenskih potrdil certifikatskih agencij (CA) za vse industrijske panoge od finančnih organizacije prek vladnih agencij vse do zasebnih podjetij in ponudnikov strežniških oblakov. Paleta splošno uporabnih ter namenskih plačilnih ali HSM strežnikov za časovno žigosanje ter digitalno podpisovanje pokriva vse potrebe po zaščiti in optimalnem delovanju kritičnih kriptografskih podatkov ter operacij.
Podjetje ustanovljeno leta 1983 sedaj v HSM oddelku zaposluje več kot 170 vrhunskih inženirjev, čigar izdelkom za varovanje pred notranjimi in zunanjimi grožnjami zaupa že več tisoč podjetij in organizacij po vsem svetu. Cenovno ugodni a z nemško inženirsko natančnostjo izdelani Utimaco HSM moduli zagotavljajo visoke zmogljivosti za kriptografske operacije, so varnostno overjeni po standardu FIPS 140-2 in so seveda odporni proti nepooblaščenemu fizičnem odpiranju kakor tudi digitalnemu pristopu.
Več o Utimaco HSM najdete na spletnih straneh: https://hsm.utimaco.com/
Avtor / prevod: Robert Lubej
Dodatne informacije:
Daniel Bednjički, projektni vodja