Je možné zaručit bezpečnost elektronických dokumentů?

Amon System
Jul 9, 2020 · 4 min read

Každému zaměstnanci, který má přístup k firemní agendě, projde rukama denně spousta citlivých dokumentů. Některé z nich se sdílí i s lidmi mimo firemní síť. Právě zde narůstá riziko, že se citlivé soubory ocitnou u někoho, kdo je může zneužít.

Bezpečnost elektronických dokumentů má svá specifika. Na to, co si při práci s nimi můžeme dovolit, si musíme nejprve zvyknout. Podívejme se na některé aspekty a možnosti zabezpečení firemních dokumentů.

Slabiny elektronických podpisů

Jedním z nejproblémovějších aspektů bezpečnosti digitálních dokumentů jsou elektronické podpisy, které je signují. To, jestli se dá potvrdit jeho pravost, záleží na tom, jestli jeho formát odpovídá referenčním formátům využitým při podpisu. Tedy jestli nese shodné znaky a šifrování, jaké byly použity při jeho vzniku.

Je zajímavé, že útočníci své útoky nesměrují na platformy, které digitální podpisy vytvářejí, ale na aplikace, které slouží k jejich ověřování. Cílem jsou programy pro zobrazení PDF dokumentů, u kterých předpokládají zranitelnosti v kódu a využívají je.

Padělání elektronického podpisu

Nejčastějším druhem útoku na digitální podpisy je snaha o padělání takového podpisu. Útok má za cíl zamezit správnému ověření manipulací s vlastním objektem podpisu, například přidáním neplatného obsahu nebo odebráním referencí.

Ověřovací software při takto napadeném dokumentu není schopný použít správné kryptografické operace potřebné k jeho ověření. Výsledkem je vizuálně správné ověření, ale nesprávné zobrazení informací o podepisující osobě zobrazené v informacích o výsledku ověření.

Útok přidáváním obsahu

Druhým nejběžnějším druhem útoků je ten, kdy se útočníci snaží využít legitimních a běžných vlastností PDF formátu, ve kterém je naprostá většina firemních dokumentů uložena. Během útoku se zločinci snaží o přidání dalšího obsahu do dokumentu, který pak při zobrazení mění jeho vizuální stránku. Po změnách ve struktuře souboru pak uživatel vidí jiný obsah než ten, který předchozí osoba podepsala. Protože je cílem obsah souboru, je samotný podpis nenarušený a validní.

Manipulace s offsety dokumentu

Jakkoliv je tento útok častý, je nejsofistikovanější. Každé podepsané PDF obsahuje ohraničené části, které jsou vyhrazené podpisu, takzvané offsety. Ve svém kódu pak soubor schovává informace, kde se tato plocha nachází. Útočník si manipulací s hodnotami souboru může hranice posunout za vyhrazenou část a vložit i další části. Spoléhá přitom na to, že většina aplikací nekontroluje vnitřní definice podpisových ploch.

Je velmi těžké některé z útoků na elektronické podpisy dokumentů odhalit. Bezpečnost je v tomto směru závislá na důvěře v software, který dokumenty podepisuje a edituje. Při práci s citlivými a důležitými dokumenty se nevyplatí využívat nelicencované aplikace. Zdaleka se také vyhněte cloudovým PDF editorům, které běžně najdete na webu a při pochybnostech věřte odborníkům.

Několik kroků k vyšší bezpečnosti e-dokumentů

Stejně tak jako každý aspekt kybernetické bezpečnosti i tento má svůj původ v práci a chování každého jednotlivého uživatele a zaměstnance firmy. Co pro vyšší bezpečnost svých dokumentů můžete udělat, pokud nedisponujete žádným systémem pro jejich správu?

Zaheslujte všechno!

I zcela standardní šifrování, které používají aplikace pro správu a editaci PDF odradí naprostou většinu útočníků, kteří by o vaše data projevili zájem. Zaheslovat soubor umí Adobe Acrobat nebo libovolný jiný program tohoto typu, stejnou funkci nabízí i MS Word, Excel a jiné textové editory.

Některé editory navíc dovolují kromě šifrování nastavit i kompatibilitu, takže pokud vaše firma využívá určitou verzi editoru, je možné zakázat, aby dokument uživatel otevřel k náhledu v jakémkoliv jiném programu nebo jeho verzi.

Využívejte důvěryhodných cloudů

Poskytovatelé cloudových služeb pro firemní účely za bezpečnost dat, která jim svěříte, ze zákona ručí a díky vyspělejší bezpečnostní architektuře jejich úložišť jsou vaše dokumenty ve větším bezpečí než na vlastním serveru. Poskytovatelé cloudu také pružněji reagují na trendy v kyberbezpečnosti a díky pokročilým technologiím se snaží útoky předvídat. Své dokumenty si před uložením do cloudu každopádně zašifrujte a ochraňte heslem.

Zálohujte a dělejte kopie

Zašifrované zálohy dokumentů, které nebudete využívat k denní práci, umístěte na vzdálené úložiště, aby se nenacházeli v hlavním úložišti, které je primárním cílem zločinců.

Kontrolujte metadata

V momentě, kdy se ukáže, že s dokumentem někdo neoprávněně manipuloval, bude možné informace a identitu dotyčného uživatele dohledat pomocí metadat. Zobrazit historii každého dokumentu jde v některých PDF prohlížečích nebo i textových editorech.

V některých případech, například, když posíláte dokument k náhledu mimo firemní síť zákazníkovi, je dobré údaje a historii o vzniku a úpravách dokumentu vymazat.

Zbavujte se nepotřebných e-dokumentů

Stejně tak jako je pro bezpečnostní integritu firmy dobré pravidelně skartovat staré a nepotřebné papírové smlouvy a jiné dokumenty, je třeba dbát i o ty v elektronické podobě. Mnoho DMS systémů se zbavuje starých souborů automaticky, o jejich definitivním odstranění dává vědět s předstihem podle toho, kdy jim projde časově omezená autorizace. Pokud se staráte o vlastní úložiště, budete muset staré archivy mazat ručně.

Dbejte na bezpečnostní politiku

Každý aspekt kybernetické bezpečnosti vždy začíná u chování řadového uživatele. Mělo by být každému zcela zřejmé, že posílat firemní dokumenty ze soukromé, nezabezpečené platformy je špatný nápad. Stejně tak by neměl být pochyb o tom, že vynášení citlivých dat na USB klíčence může skončit katastrofou. Osvěta je v tomto ohledu zřejmá, přibližně 42 % zaměstnanců malých a středních firem si uvědomuje, že ukládání dokumentů na USB patří k nejrizikovějším chováním, jakého se mohou dopustit. Stejně tak není dobré dokument k tisku posílat z vnější, nezabezpečené adresy.

Amon píše

Jsme tým specialistů na firemní IT.

Medium is an open platform where 170 million readers come to find insightful and dynamic thinking. Here, expert and undiscovered voices alike dive into the heart of any topic and bring new ideas to the surface. Learn more

Follow the writers, publications, and topics that matter to you, and you’ll see them on your homepage and in your inbox. Explore

If you have a story to tell, knowledge to share, or a perspective to offer — welcome home. It’s easy and free to post your thinking on any topic. Write on Medium

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store