Новости,  

October 7, 2020

| by

На подходе – сквозное шифрование данных

 

Из-за пандемии и удаленной работы  корпоративными клиентами начинают все более интенсивно использоваться решения для мониторинга активности пользователей и учета рабочего времени.
В результате наиболее популярные SaaS-решения для отслеживания времени могут стать мишенью для вредоносных программ, киберпреступников или инсайдерских угроз. В ответ мы хотели бы сообщить, что функция сквозного шифрования скоро станет доступной для всех клиентов StaffCounter.

При включенном «сквозном» шифровании данные будут зашифрованы агентами StaffCounter перед загрузкой в облако staffcounter.net, а затем расшифрованы в вашем web-браузере прямо в тот момент, когда вы просматриваете отчеты или данные о производительности сотрудников. Это обеспечивает высочайший уровень конфиденциальности, поскольку данные доставляются в облачное хранилище в зашифрованном виде. Используя этот принцип, применяемый в нашем облачном хранилище, технически даже наши сотрудники не смогут читать и изучать данные о производительности, полученные с компьютеров, любыми средствами и на любом уровне. Это позволит безопасно использовать решения для мониторинга сотрудников (анализа поведения пользователей) в любой среде, даже с самыми строгими политиками и требованиями соответствия и безопасности. После того, как эта функция будет включена клиентом, сервер StaffCounter.net или локальный сервер будут хранить только зашифрованные блоки данных для каждого компьютера или сотрудника.  Следите за этой статьей, скоро в ней появится более подробная информация.

Для этой цели мы использовали протоколы шифрования с открытым ключом, которые позволяют безопасно передавать главный ключ на все подключенные компьютеры, не раскрывая его серверу StaffCounter.

Как будет работать сквозное шифрование в StaffCounter

После того как функция сквозного шифрования будет включена для учетной записи пользователя, обновленное приложение Staffcounter Agent будет использовать протоколы шифрования с открытым ключом (рис. 1). Уникальный главный ключ шифрования для учетной записи пользователя будет передаваться прямо из web-браузера соответствующего владельца учетной записи. Начиная с этого момента, приложение-агент будет шифровать имя устройства (имя сотрудника) и другие конфиденциальные данные внутри журнала производительности с помощью алгоритма AES-256 (и уникального ключа шифрования), а затем передавать их на сервер Staffcounter. К конфиденциальным данным относятся: название компании, названия приложений, заголовки окон, имена и адреса веб-сайтов, имена файлов, данные о системных событиях, имя учетной записи Windows (имя пользователя), снимки экрана, аудио данные.

На следующем рисунке показано, как зашифрованные данные будут храниться на сервере Staffcounter.net (с отключенным кодом расшифровки JScript в приложении web-браузера).

На следующем рисунке показан отчет «Веб-сайты» с зашифрованными данными URL, закодированными по стандарту base64:

 

Как видно, сервер Staffcounter сможет продолжать доставлять отчеты, уведомления и другие аналитические данные сотрудников, используя тот же принцип: обработка и сортировка строк, что позволяет вам определять правила продуктивности, используя текстовые данные в зашифрованном виде.

Преимущества “сквозного” шифрования в решениях для отслеживания сотрудников и учета рабочего времени

 
В настоящее время на рынке доступны десятки решений для отслеживания времени, которые работают по модели «Программное обеспечение как услуга»(SAAS). Модель SaaS означает, что вы доверили свои конфиденциальные данные стороннему поставщику. Мы знаем, что изначально облачные решения “User Time-Tracking”, “Employee Monitoring”, а также Asset Management используют текстовые данные для предоставления дополнительных услуг, таких как: отчетность, измерение производительности, категоризация, Фильтрация, оповещения, уведомления и другие умные функции с помощью машинного обучения. В большинстве случаев ваши данные защищены четко определенным производственным процессом, указанным в стандартах безопасности, таких как ISO-27001. Многие поставщики используют только инструменты низкоуровневого шифрования, которые физически хранят данные в зашифрованном виде (шифрование данных в состоянии покоя). Но эти меры безопасности по-прежнему уязвимы для инсайдерских угроз, атак на цепочку поставок, а также APT / вредоносных программ и программ-вымогателей. StaffCounter.net будет первым решением с функцией сквозного шифрования, которое защищает ваши данные с помощью шифрования на лету.

Преимущества “сквозного” шифрования:

  • Самый высокий уровень конфиденциальности и защиты данных для SaaS / локальных клиентов по дизайну, совместим с GDPR.
  • Предотвращение инсайдерских угроз. Дамп базы данных SQL или запущенный экземпляр содержит зашифрованные данные. Ключи шифрования не хранятся в производственной / тестовой / резервной серверной части SaaS.
  • Безопасное резервное копирование: поскольку база данных содержит зашифрованные данные в работающем экземпляре, резервная копия теперь содержит наиболее конфиденциальные данные, зашифрованные по умолчанию.
  • Снижение риска атак на цепочку поставок.
    Атрибуция клиента зашифрована и не может использоваться для идентификации корпоративной идентичности для таргетинга на этапе сдерживания успешной атаки.
  • Защита от APT / вредоносных программ.
    Данные о производительности, хранящиеся на локальном компьютере в зашифрованном виде, защищены от вредоносных программ / инструментов APT (продвинутых постоянных угроз), которые нацелены на популярное приложение User Monitoring (особенно снимки экрана и журнал нажатий клавиш).
  • Соответствие политикам Хранения Данных (Data Retention Policy) включая безопасную утилизацию старых данных.
    По умолчанию Staffcounter хранит данные о производительности и снимки экрана на локальном компьютере в зашифрованном виде. Компьютеры, возвращенные для утилизации, не будут содержать конфиденциальных данных о производительности пользователей в простой форме.
  • Использование токенизированных данных для безопасного Машинного Обучения.
    Архитектура  протокола “сквозного” шифрования в StaffCounter позволит легко производить токенизацию данных для проведения экспериментов с Машинным Обучением. Поскольку для этой задачи потребуется более широкий круг специалистов, а разработанные модели должны быть опубликованы и протестированы. В свою очередь это означает, что необходимо обеспечить строгий контроль доступа к данным, предотвратить несанкционированное копирование, обеспечить их защиту. Такой контроль и защита это сложный и дорогостоящий процесс, и следовательно обезличивание и анонимизация данных в самом источнике, позволяет избежать строгого контроля и защиты данных.