Kryptera mera

Om du hanterar personuppgifter i ditt arbete är det bra att känna till lite fakta om kryptering och de allt högre kraven på att skydda känslig information.

Future Lab rapporterade nyligen att dyra dataintrång blir allt vanligare och att många länder nu inför olika krypteringsmetoder för att förhindra att obehöriga personer tar sig in i byggnader. I artikeln tog vi också upp det faktum att mobila enheter ökar risken för att data och lösenord hamnar i fel händer.

Men du kanske vill ha lite mer kött på benen – vad är kryptering egentligen och var kommer det ifrån? Hur kommer det sig att många företag lägger allt mer resurser på kryptering? Vad finns det för olika typer av kryptering? Och vilka termer bör man känna till för att ta reda på hur det egna företagets befintliga eller planerade krypteringsmetoder kan påverka den fysiska säkerheten?

Kryptering är olika metoder för att omvandla vanlig text till oläsliga mönster (chiffer), vilket gör att texten inte kan läsas eller användas av obehöriga personer. Mottagaren av den krypterade texten använder en ”nyckel” för att kunna se texten i sin ursprungliga form. Vid kryptering med öppen nyckel, som utgör grunden för olika internetstandarder (se TLS och PGP nedan), används ett asymmetriskt nyckelpar. Den ena nyckeln är hemlig och den andra är ”öppen”, vilket betyder att den kan användas av vem som helst. Kryptering med öppen nyckel används i många elektroniska banktjänster för att skapa digitala signaturer.

Enligt dokumentet ”Foundations of Cryptography”, som finns att läsa på SecurityDocs.com, har den här teknologin många år på nacken – speciellt inom politiken och militären, där man i alla tider har använt olika krypteringsmetoder för att skydda hemliga pappersdokument. I dag är det oftast person- eller företagsuppgifter i digital form som behöver skyddas:

”Kryptografins utveckling har pågått under en lång tid – från enklare chiffer, där man bara kastade om bokstäverna, till dagens matematiskt säkra chiffer. Det har uppstått nya metoder och möjligheter i den ständiga strävan efter att utveckla nya användningsområden. Med kryptografins hjälp kan man exempelvis säkra data i ett osäkert nätverk eller skydda privat information på en persondator. Man kan till och med stoppa biltjuvar genom att integrera krypteringssystem i fjärrupplåsningen.”

Företaget PGP Corporation har fått sitt namn efter krypteringsprogrammet Pretty Good Privacy som utvecklades på 1990-talet och är en ledande leverantör av krypteringsprogram för e-post och data. PGP erbjuder en rad krypteringsverktyg på sin hemsida och sponsrar dessutom olika artiklar och skrifter, till exempel ”The Critical Need for Encrypted Email and File Transfer Solutions”, som är skriven av Michael Osterman och Linda Leung och som finns att läsa på Osterman Research.

Enligt Osterman och Leung är det nu bara fem amerikanska delstater som inte har infört bestämmelser om intrångsrapportering, något som kan vara bra att känna till om ditt företag gör affärer i USA. Dessutom ställs det allt högre krav på att skydda känslig information – både i USA och i andra länder. Exempel på relevanta amerikanska lagar är Health Insurance Portability and Accountability Act (HIPAA) som reglerar datahantering inom hälsovården, Gramm-Leach-Bliley Act (GLBA), Privacy of Consumer Financial Information (Regulation S-P), Payment Card Industry Data Security Standard (PCI DDS) och Personal Information Protection and Electronics Act (PIPEDA). Alla dessa förkortningar bör du känna till om du arbetar med finansiella tjänster eller hanterar kreditkortsinformation. För bestämmelser i andra länder, läs analysföretaget Ponemon Institutes kostnadsfria rapporter om de senaste krypteringstrenderna.

Osterman och Leung ger också en detaljerad översikt över de vanligaste krypteringsmetoderna. Dessa kan vara bra att känna till även om du inte råkar vara krypteringsansvarig på din arbetsplats:

Nu när du har fått lite grundläggande kunskaper om kryptering kan du ta reda på vilka av ovanstående metoder ditt företag använder. Sedan kan du diskutera med ledningen om detta är tillräckligt och om eventuella förändringar av krypteringsmetoderna skulle kunna innebära nya risker för den fysiska säkerheten.

Av Derek Scheips

* Anger obligatoriskt fält


Comment

You must be logged in to post a comment.