Z razvojem zavedanja o upravljanju s tveganji informacijske varnosti ter zakonodajnimi zahtevami glede kibernetske varnosti in odpornosti se povečujejo naložbe v rešitve za informacijsko varnost. Strojni varnostni moduli predstavljajo osnovo resnih sistemov kibernetske varnosti, ki izpolnjujejo pričakovanja regulative, poslovnih partnerjev in kupcev.
»Mnoga podjetja in organizacije, zlasti tista v strogo reguliranih panogah, kot so finance, zdravstvo in državna uprava, se zavedajo ključnih značilnosti in prednosti strojnih varnostnih modulov. Te organizacije imajo pogosto stroge varnostne zahteve in predpise o skladnosti z zakonodajo, zaradi katerih je treba uporabljati napredne kriptografske rešitve, kot so HSM,« je povedal Manish Upasani, vodja rešitev Utimaco za plačilno varnost, varnost podatkov in upravljanje šifrirnih ključev.
V okviru informacijske varnosti imajo strojni varnostni moduli (HSM) ključno vlogo in se običajno nahajajo tam, kjer se začne vzpostavljanje zaupanja.
Kot ugotavlja Upasani se ozaveščenost in razumevanje v različnih sektorjih in velikostih podjetij močno razlikujeta. Manjša podjetja ali podjetja v manj reguliranih panogah zato niso tako dobro seznanjena s posebnimi zmogljivostmi in prednostmi HSM.
Katere panoge prednjačijo pri uporabi HSM
Poleg bank, obdelovalcev kartic, ponudnikov identitete in certifikacijskih agencij več panog vse bolj uporablja strojne varnostne module za povečanje varnosti in zaščito občutljivih podatkov. Med primeri, ki jih je podal Upasani, so:
- zdravstvo – zaščita elektronskih zdravstvenih zapisov ter varovanje medicinskih pripomočkov;
- telekomunikacije – varovanje komunikacij in omrežij 5G;
- ponudniki storitev v oblaku – ponudba storitev šifriranja in zagotavljanje varnosti podatkov;
- avtomobilska industrija – varnost povezanih in avtonomnih vozil;
- internet stvari (IoT) – preverjanje pristnosti naprav in varovanje podatkov interneta stvari;
- vlada in obramba – zaščita tajnih podatkov in varnih komunikacij;
- energetika in komunalne storitve – varnost pametnih omrežij in industrijskih nadzornih sistemov;
- finančna tehnologija (FinTech) – varstvo transakcij s kripto valutami in aplikacij na osnovi veriženja blokov;
- trgovina na drobno in e-trgovanje – varnost spletnih plačil in podatkov o strankah;
- mediji in zabava – zaščita digitalnih vsebin in zagotavljanje varne distribucije.
Slovenska podjetja počasi na pot uporabe HSM
Glede razvoja uporabe HSM-jev v Sloveniji Utimacov produktni vodja potencialov nikakor ne zanemarja. »Gospodarstvo v regiji raste, kar posledično pripomore k rasti podjetij, ki se ob tem prilagajajo globalnim standardom,« je dodal Upasani.
Za razliko Slovenije in drugih regionalnih držav recimo v Franciji uporabo HSM zahteva združenje bank GIE-CB. V Nemčije pa odbor za bančništvo pričakuje celo prilagajanje rešitev HSM njihovim standardom. Podjetju Utimaco in drugim globalnim akterjem je tako nastop v Sloveniji in širši jadranski regiji enostavnejši in omogoča rast poslovanja brez dodatnih prilagoditev.
Kljub temu, da organizacije v Sloveniji, razen certifikacijskih agencij, ponudnikov storitev zaupanja in nekaterih finančnih ustanov, HSM-jev še niso usvojile, ima Utimaco v Ljubljani enega glavnih partnerjev za razvoj. »Naš odnos s podjetjem CREAPLUS ni omejen le na u.trust 360, našo platformo za spremljanje in upravljanje naprav HSM. Podjetje CREAPLUS je za Utimaco zaupanja vreden partner. Naš odnos smo še poglobili, saj ta ekipa prinaša učinkovite zamisli in širok nabor znanj,« je še povedal Manish Upasani.
Kje vse tiktakajo strojni varnostni moduli?
V okviru informacijske varnosti imajo strojni varnostni moduli (HSM) ključno vlogo in se običajno nahajajo tam, kjer se začne vzpostavljanje zaupanja. Kot orodje za zanesljivo upravljanje odgovornosti imajo ključno vlogo pri uveljavljanju skladnosti, tako z zakonodajo kot z notranjimi varnostnimi politikami organizacij.
Skladnost in zaščita podatkov s šifriranjem
HSM je temelj številnih sestavnih delov resnih sistemov informacijske varnosti. Uporablja se za šifriranje in dešifriranje podatkov v mirovanju in med prenosi. K zaščiti podatkov dodatno prispeva z zmožnostmi za upravljanje ključev, kar obsega varno generiranje, shranjevanje in upravljanje kriptografskih ključev. Pri zaščiti podatkov organizacijam omogoča, da izpolnijo zakonske zahteve in priporočila standardov, na primer GDPR, PCI-DSS in FIPS 140-2. Zagotavljanje skladnosti poenostavlja še z beleženjem in revizijsko sledljivostjo kriptografskih operacij.
Preverjanje pristnosti in nadzor dostopa
Strojni varnostni moduli so nepogrešljivi pri ustvarjanju in preverjanju digitalnih podpisov, ki so osnova za zagotavljanje celovitosti podatkov. Uporabljajo jih certifikacijske agencije za izdajanje in upravljanje digitalnih potrdil v sistemih PKI.
V organizacijah, kjer si želijo zanesljivega nadzora dostopa, naprave HSM uporabljajo za varno shranjevanje ključev in občutljivih informacij. Poleg tega skrbijo za večfaktorsko avtentikacijo, vključno s sistemom ničelnega zaupanja.
Varnost omrežja in aplikacij
Pri varovanje omrežnih komunikacij se HSM-je lahko izkoristi za razbremenitev spletnih strežnikov pri procesiranju protokolov TLS/SSL. Brez njih tudi ni varnih navideznih zasebnih omrežjih VPN, saj skrbijo za upravljanje njihovih kriptografskih ključev. HSM-ji so idealna rešitev tudi za podpisovanje programske kode, kar zagotavlja celovitost programske opreme. Sledenje v okviru ukrepa za upravljanje varnosti dobavne verige narekuje tudi že direktiva NIS 2. Pri varnosti aplikacij so nepogrešljivi pri šifriranju občutljivih podatkov znotraj podatkovnih zbirk.
HSM so kot storitev dostopni za vsa podjetja
Podjetja lahko storitve naprav HSM tudi najemajo (HSMSaaS). »Ker HSM velja za kritično komponento informacijske varnosti, se mnoge organizacije še vedno ne znajo prilagoditi in sprejeti te zamisli,« je izpostavil Upasani. Med privlačnimi scenariji uporabe HSMaaS so po njegovem mnenju:
- razširljive kriptografske operacije, ki omogočajo začetnim ter majhnim in srednjim podjetjem stroškovno učinkovito varnost;
- centralizirano upravljanje ključev za hibridna in več oblačna okolja;
- izpolnjevanje zakonov o varstvu podatkov, kot je GDPR, in industrijskih standardov, kot je PCI-DSS;
- obnavljanje poslovanja po nesreči ali kibernetskem incidentu – na primer za zagotavljanje varnega varnostnega kopiranja in dostopa do kriptografskih ključev;
- integracija v DevSecOps za varno upravljanje ključev v cevovodih CI/CD.
Pristop HSMaaS prinaša prilagodljivost, razširljivost in stroškovno učinkovitost, zato predstavlja smotrno rešitev za različne scenarije in panoge.
Trendi in prihodnost HSM
V podjetju Utimaco opažajo tudi vse pogostejšo uporabo strojnih varnostnih modulov kot storitve v oblaku (HSMaaS) ter varnost podatkov, ki se nahajajo v več oblačnih okoljih. Upasani vidi ključno vlogo tudi pri postkvantni kriptografiji, tako v smislu podpore kvantno odpornim algoritmom za zaščito pred prihodnjimi grožnjami kot tudi za zaščito pred zlorabami vrste »shrani zdaj in dešifriraj pozneje«. Tovrstne zaščitne tehnologije se vse bolj uporablja pri varovanju umetne inteligence in strojnega učenja, predvsem za varno usposabljanje modelov ter za zaščito podatkov med postopki sklepanja.
Med novimi trendi, ki spodbujajo naložbe v zanesljive, razširljive in skladne varnostne rešitve HSM, je Manish Upasani izpostavil še zagotavljanje celovitosti podatkov, ustvarjenih v internetu stvari, ter izboljšano upravljanje ključev, podpiranje osrednjega upravljanja ključev in implementacije v oblaku, avtomatizirano rotacijo ključev ter suverenost podatkov. Navsezadnje uporabo HSM-jev spodbujajo vse strožji predpisi o zasebnosti podatkov, uveljavljanje interneta stvari ter povečevanje uporabe veriženja blokov in kripto valut.
Glede razvoja uporabe HSM-jev je Upasani zaključil, da ima direktiva NIS 2, ki poudarja kriptografijo, pomembne posledice za ponudbo na trgu in za same organizacije. Pričakujem, da bo povečala povpraševanje po kriptografskih rešitvah, po napravah HSM in po storitvah šifriranja ter po kriptografski programski opremi.