Tradicionalna tehnologija koja se koristi kako bi se osigurali podaci je enkripcija – upotreba kompleksnih algoritama za kodiranje informacija koja se ustalila kao industrijski standard koji poÄiva na Äinjenici da iako je moguće dekriptirati kriptirane informacije, većina napadaÄa nema pristup znanju, algoritmima ili procesorskoj snazi koja je potrebna za dekriptiranje kodiranih informacija.
Tehnika kriptiranja podataka u raznim oblicima i tehnoloÅ¡kim rjeÅ¡enjima primjenjuje se na podatke sadržane na mrežama, na podatke koji se nalaze u tranzitu unutar komunikacijskih kanala od izvora do primatelja, te na osobnim raÄunalima i “pametnim” telefonima.
Međutim, ukoliko se gleda razvojnost informacijskih sustava, možemo lako posumnjati da li je enkripcija pravi odgovor na pitanje kako osigurati sigurnost podataka. Razlozi su sljedeći:
1. Upravljanje kljuÄevima
Za dekodiranje enkriptiranih datoteka korisnik treba enkripcijski kljuÄ. Upravljanje velikim brojem takvih kljuÄeva može biti problematiÄno – iako postoje rjeÅ¡enja za korporativno upravljanje kljuÄevima (EKM – Enterprise Key Management) koja obećavaju mogućnost upravljanja i promjene kljuÄeva tijekom njihovog životnog ciklusa – ona su viÅ¡e “flaster na otvorenoj rani” cjelokupnog sustava. PoÅ¡to je lanac jak koliko je jaka najjaÄa karika, korporativno upravljanje kljuÄevima sigurno je toliko koliko su sigurni integrirani sustavi upravljanja kljuÄevima. Ako je kljuÄ kompromitiran u hijerarhijski nižem sustavu od sigurnog managera kljuÄeva ili neki sistem nije dizajniran da bi adekvatno adresirao odreÄ‘enu prijetnju, Äitav sustav upravljanja kljuÄevima postaje nesiguran.
2. Zakonska regulativa
U mnogim državama postoje zakoni koji zahtijevaju od raznih organizacija, poduzeća i državnih tijela da obavijeste pojedince o tome kako postoji sumnja ili saznanje da su njihove osobne informacije kompromitirane od neautoriziranih osoba. U praksi to Äesto rezultira medijskim aferama koje su noćna mora za sve pogoÄ‘ene organizacije. Dobro razumijevanje tehnika enkripcije zasigurno može pomoći u tome da odgovorne osobe budu sigurne kako su podaci zaÅ¡tićeni, no to ne pomaže javnom mnijenju. Jednom kada su osobni podaci postali ranjivi ili lako dostupni, izgubljeno je povjerenje onih na koje se oni odnose i javnosti općenito. Stoga enkripcija nije dovoljna mjera za adresiranje poslovnih zahtjeva za sigurnost podataka.
3. RaÄunalna moć
Temeljna postavka klasiÄne tehnologije enkripcije, kao Å¡to je reÄeno, je nesrazmjer izmeÄ‘u procesorske moći potrebne za enkripciju i dekripciju podataka te odvraćanje onoga tko pokuÅ¡ava kompromitirati podatke kompleksnošću postupka. MeÄ‘utim, porast procesorske snage je tako eksponencijalan da je posve izvjesno kako ono Å¡to je danas sigurno, sutra viÅ¡e neće biti. Iz tog razloga već danas su mnoge organizacije prisiljene sistematski vrÅ¡iti re-enkripciju kako bi ostale sigurne od potencijalnih hakera. Sustavna je pak enkripcija problematiÄna, skupa, povezana s dodatnih problemima po pitanju sigurnosti sadržanih podataka i zahtijeva puno ljudskog rada, odnosno direktnih intervencija.
Jedna od tehnika kojom se ova problematika može donekle rijeÅ¡iti je tehnika rasapa (disperzije) koja dijeli podatke na dijelove (“tranÅ¡e”) koje su spremljene na razliÄitim logiÄkim ili geografskim lokacijama. Svaki djelić sadrži premalo informacija da bi bio koristan sam za sebe ili da bi mogao kompromitirati sadržane podatke, no sve podatke moguće je rekreirati iz inicijalno zadanog broja dislociranih tranÅ¡i. Nadalje, u sluÄaju ispada nekog od servera ili lokacija na kojima su sadržani podaci, ne dolazi do njihovog gubitka jer se mogu rekreirati iz preostalih lokacija i sadržanih tranÅ¡i. Neovisno o napretku procesorske snage, maliciozni hakeri ne mogu na jednostavan naÄin doći do podataka a tehnika disperzije ne zahtijeva znaÄajno vrijeme i rad u postupak re-enkripcije kako bi podaci bili dodatno zaÅ¡tićeni.
Zanimljivo je da norma ISO 27001:2005 u okviru Aneksa A *ne predviÄ‘a* kontrole vezane uz tehniku disperzije niti adresira temeljni koncept “cloud computinga”.