Vazamentos de Chaves Criptográficas e o que eu tenho a ver com isso?

As corporações estão cada vez mais conscientes dos prejuízos causados pelo vazamento ou furto de informações e se preocupam cada vez mais com sua proteção. Dois fatores principais contribuíram para esta crescente preocupação: a explosão de dados armazenados em sistemas digitais e o aumento das opções disponíveis para utilizar estes dados em transações eletrônicas

Bancos de dados são os repositórios mais significativos de informações relevantes para uma empresa como por exemplo: dados de cartões de crédito, informações competitivas/confidenciais e propriedade intelectual. Dentro deste cenário, a criptografia é sabidamente a estratégia mais eficiente de proteção de dados armazenados. No entanto, de nada vale a criptografia se as chaves de segurança utilizadas nesses processos forem geradas, utilizadas ou mesmo armazenadas de forma insegura. E essa é a grande falha cometida pelos gestores corporativos atualmente, por falta de conhecimento, ou mesmo por negligenciar os riscos envolvidos.

Este mês mais de 40 aplicativos com mais de 100 milhões de instalações foram encontradas com vazamento de informações, que tinham chaves privadas de um importante player de mercado codificadas neles. Com isso, milhares de dados de suas redes internas e de seus usuários em risco suscetíveis a ataques cibernéticos. As chaves codificadas em um código-fonte de aplicativo móvel, por exemplo, podem ter sido um grande problema, especialmente se a função (Gerenciamento de identidade e acesso) tiver tido amplo escopo e permissões. As possibilidades de uso indevido são infinitas, uma vez que os ataques podem ser encadeados e o invasor pode obter mais acesso a toda a infraestrutura, até mesmo a base de código e configurações. Muitas Instâncias são configuradas incorretamente e acessíveis a partir da Internet, o que podem causar muitas violações de dados no mundo inteiro.

Desta forma, operações envolvendo chaves de segurança devem ocorrer em ambiente altamente seguro, ou seja, em Hardware Security Module (HSM). Equipamentos servidores são projetados para uso geral e não oferecem a proteção necessária – além disso, operações criptográficas demandam um grande poder de processamento e podem consumir preciosos recursos computacionais concorrendo com regras de negócio caso sejam realizadas servidores de aplicação.

O uso do HSM garante a segurança, através da separação entre dados criptografados e chaves de segurança, provê dupla custódia de chaves, segregação de papeis, trilhas de auditoria, desempenho e conformidade com as normativas de segurança em todos os segmentos da indústria. Suas características de gerenciamento, disponibilidade e desempenho proporcionam o menor custo de propriedade do mercado. Além disso, as APIs de criptografia em HSM, cada vez mais utilizadas pelo mercado por ser simples e de fácil utilização, irão se conectar a outras aplicações da empresa, integrando-se facilmente ao Microsoft SQL Server. Essas API´s de criptografia disponibilizam cada vez mais funções de alto nível aos desenvolvedores, trazendo economia de tempo e de recursos, e já faz parte do dia-a-dia das organizações. Se sua empresa deseja evitar vazamento de dados e roubo de informações essas são dicas importantes, que podem evitar muitos prejuízos financeiros e de imagem para o seu negócio. Proteção de Chaves deve ser feita em HSM.

Marco Zanini, ´é CEO da DINAMO Networks

Contate-nos

Envie-nos sua dúvida, crítica ou sugestão. Responderemos o mais rápido possível.

Not readable? Change text. captcha txt