Что такое СКЗИ: как бизнесу безопасно хранить и передавать конфиденциальную информацию

Как компаниям защитить данные с помощью средств криптографической защиты информации

Когда большинство данных хранится на компьютере или сервере, всегда есть риск утечки информации. Это часто происходит в результате кибератаки, пересылки документов через незащищенные сети или ошибок сотрудников. Из-за слива данных компания может потерять репутацию, доверие клиентов и прибыль, поэтому важно позаботиться о безопасности сведений. Рассказываем, как бизнесу сохранить конфиденциальную информацию.

Зачем бизнесу криптографическая защита информации

Любой бизнес работает с цифровыми данными. Это не только персональные сведения о сотрудниках и клиентах, но и разная корпоративная информация. Например, сведения о контрагентах, договоры, письма на электронной почте, CRM- и ERP-системы, другие файлы в облачных хранилищах и мессенджерах.

Чтобы защитить данные от злоумышленников, используют программы и устройства для преобразования файлов. Это средства криптографической защиты информации, или СКЗИ. Они шифруют и дешифруют данные, а также проверяют, вносились ли в документ изменения. 

СКЗИ — это что-то вроде «цифрового сейфа». Даже если хакеры украдут сведения, они не смогут ими воспользоваться, пока не раскодируют. Но с современными алгоритмами это сделать практически невозможно. 

Чаще всего в СКЗИ используют 256-битное шифрование — то есть количество комбинаций равно 2 в степени 256. Считается, что на взлом такого кода методом подбора потребуются миллиарды лет и больше энергии, чем может выработать Солнце за время своего существования.

Обычно бизнес внедряет СКЗИ в четырех основных случаях:

Хранение данных на устройстве и сервере. Даже если информацией пользуются только внутри компании и не пересылают по почте или мессенджерам, всё равно есть риск утечки. Например, если недобросовестный сотрудник решит украсть клиентскую базу.

Чтобы сделать данные менее уязвимыми, бизнес внедряет средства криптографической защиты информации. Пример: если пользователь вводит реквизиты своей банковской карты в интернет-магазине, данные хранятся на сервере в зашифрованном виде. Злоумышленники не смогут узнать реквизиты и украсть деньги. 

Передача данных. Если компания пересылает файлы по электронной почте, СКЗИ помогут зашифровать информацию. Прочитать содержание писем сможет только получатель, у которого есть специальный ключ. 

Например, в договорах всегда содержатся реквизиты сторон: Ф. И. О., номера телефонов, реквизиты банковских счетов, паспортные данные и другая конфиденциальная информация. Если при пересылке документа зашифровать содержание письма, злоумышленники не смогут получить доступ без ключа. Точно так же шифруются и платежные данные при финансовых транзакциях.

Аутентификация пользователей. СКЗИ позволяют ограничивать доступ к данным и проверять, кто подключается к корпоративной системе. Самый простой способ защиты — пароли. Средства криптографии хранят эти данные в зашифрованном виде и сравнивают их с символами, которые пользователи вводят при авторизации.

Создание электронной подписи (ЭП). Чтобы сформировать квалифицированную и неквалифицированную ЭП, нужны криптографические программы. Если компания заключает цифровые договоры с контрагентами, сдает отчетность в налоговую в электронном формате и участвует в госзакупках, тогда надо использовать СКЗИ.

Как СКЗИ защищают конфиденциальную информацию

Общий принцип шифрования выглядит таким образом: 

1. Отправитель формирует файлы, которые нужно защитить, и запускает средство криптографии.
2. СКЗИ кодируют файлы с помощью ключа — специального алгоритма кодирования информации.
3. Получатель расшифровывает файлы с применением ключа.

Алгоритмы кодирования данных различаются по типу шифрования, длине ключа и принципу работы.

По типу шифрования

Симметричное шифрование. Чтобы закодировать и раскодировать сведения, стороны работают с одним ключом. Это самый простой тип СКЗИ, стандартом для него служит алгоритм AES.

При симметричном шифровании информация преобразовывается быстро, поэтому такой тип криптографической защиты подходит для работы с большими файлами. Его лучше применять для кодирования данных, которые хранятся на устройстве, — например, в облачных системах и на жестких дисках.

Асимметричное шифрование. В таком случае применяют два разных ключа, чтобы кодировать и декодировать данные:

• Первый ключ — открытый. Он шифрует сообщение и находится в свободном доступе. Такой ключ можно передавать по незащищенным каналам.
• Второй ключ — закрытый. Его может хранить только получатель данных, чтобы посторонние не расшифровали сообщение.

Безопасность асимметричного шифрования выше, чем у симметричного. Даже если злоумышленники перехватят открытый ключ, они не смогут расшифровать информацию без закрытого ключа. Но такой подход требует сложных вычислений, поэтому он работает медленно. Самый популярный алгоритм — RSA.

Асимметричное шифрование обычно используется для создания электронных подписей, но в обратном порядке. Отправитель кодирует сообщение закрытым ключом и создает ЭП, а получатель декодирует файл открытым ключом и проверяет подпись.

Гибридное шифрование. Оно совмещает в себе два алгоритма: сообщение шифруется симметрично, а ключ — асимметрично. Такой алгоритм ускоряет операции, при этом хакерам сложно узнать ключ.

Кодирование гибридным способом применяют для защиты данных, которые загружают на сайт. Например, когда пользователь пишет сообщение в чат техподдержки, эта информация хранится на сервере в зашифрованном виде.

Хеш-функции. Они зашифровывают сведения в уникальную последовательность символов, которую затем нельзя раскодировать. При этом у сообщений одинакового содержания должен получаться идентичный хеш-код. Поэтому такой алгоритм используют, чтобы проверить, совпадают ли полученные данные с изначальными.

Шифровку через хеш-функции применяют для создания электронных подписей — это позволяет ускорить работу с файлами большого объема. Еще такой алгоритм используют для хранения паролей на сайтах, чтобы злоумышленники не получили к ним доступ.

По длине ключа

Чем больше битов включает ключ, тем сложнее взломать код. Например, алгоритм AES использует ключи длиной 128, 192 или 256 бит. Система обрабатывает символы быстро, поэтому с ее помощью удобно кодировать интернет-трафик, файлы на жестком диске и протоколы VPN.

А RSA применяет ключи длиной 1024, 2048 или 4096 бит. Этот вид кодирования подходит для защиты файлов, которые передаются через незащищенные каналы. Еще RSA используют для создания электронной подписи, проведения платежей в онлайн-банкинге и аутентификации пользователей при входе в приложения.

Выбор между AES и RSA зависит от разных факторов. В том числе к ним относятся конкретные требования ПО — например, его производительность и необходимый уровень безопасности данных.

По принципу работы

Алгоритмы шифрования бывают блочными и потоковыми.

Блочные шифры. Информация делится на блоки фиксированной длины, и алгоритм обрабатывает их по отдельности. Такой принцип ускоряет шифрование, потому что данные кодируются группами по 64–256 бит. Блочные алгоритмы применяют для защиты баз данных и файлов, которые передают через сеть.

Потоковые шифры. Они обрабатывают информацию бит за битом, то есть каждый символ шифруется друг за другом независимо от других. Такие алгоритмы применяют для кодирования при передаче потоковых данных, например видео- или аудиофайлов.

Какие типы СКЗИ использует бизнес

Средства криптографии бывают двух типов: программные и аппаратные.

Программные средства — СКЗИ, которые устанавливаются на компьютер и работают в его оперативной памяти. Главное преимущество этих решений в том, что компании не нужно покупать и использовать дополнительные устройства. Но есть и минусы: 

• Чтобы работать в программе, нужно приобретать лицензию. В зависимости от продукта она может быть бессрочной или на определенный период.
• На компьютер можно установить только одно средство СКЗИ. Что это дает: если защита нужна на разных устройствах, то придется покупать лицензию для каждого отдельно.
• Руководителю компании нужно самостоятельно разбираться с установкой и настройкой программы или нанимать специалистов.

Аппаратные средства — СКЗИ, которые вшиты в специальные устройства и работают без лицензии. Обычно это USB-токены или смарт-карты. Например, в таком формате часто выпускают электронные подписи, которые используются для подтверждения банковских операций главным бухгалтером или генеральным директором компании. Все операции по шифровке и дешифровке данных проходят в памяти оборудования.

Встроенные средства криптографии выпускаются в единственном экземпляре, но можно сделать дубликаты ключа. Без них есть риск, что процессы замедлятся: если один сотрудник заберет USB-токен, коллеги не смогут его использовать.

Программные средства более гибкие, чем аппаратные, и их можно применять практически на любых устройствах. Зато первый вид СКЗИ больше подвержен взлому, потому что все материалы хранятся в памяти компьютера.

Для аппаратных СКЗИ бизнесу не надо покупать несколько лицензий, чтобы работать на разных устройствах. Средство криптографии можно подключать к любому компьютеру и проводить все нужные операции. К тому же эти СКЗИ считаются более надежными, потому что данные шифруются и дешифруются внутри самого устройства и не попадают в память компьютера.

Какой класс защиты информации выбрать

Согласно приказу ФСБ России, у СКЗИ есть пять классов защиты данных, которые зависят от потенциального нарушителя. Чем выше этот уровень, тем более мощные алгоритмы и методы шифрования используются.

Вот какие классы защиты данных выделяют: 

• КС1 — минимальный уровень защиты. Подразумевается, что у потенциального нарушителя нет возможности попасть в помещение, где располагаются СКЗИ. Обычно такими злоумышленниками считаются хакеры. КС1 можно размещать в облаке и использовать для защиты общедоступной информации, например общей электронной почты.
• КС2 — умеренный уровень защиты. Он нужен, когда у потенциального нарушителя может быть доступ в помещение с СКЗИ. Например, у сотрудников, которые работают в офисе компании. КС2 подходит для защиты корпоративной информации, деловой переписки и финансовых транзакций.
• КС3 — средний уровень защиты. Предназначен для случаев, когда потенциальный нарушитель, например подрядчик или клиент, может получить доступ к СКЗИ. Часто КС3 применяют банки и медицинские организации, чтобы хранить персональные данные.
• КВ — высокий уровень защиты. Предполагается, что нарушители могут выявить уязвимости средств криптографии. Этот тип подходит для хранения коммерческих и государственных тайн.
• КА — самый высокий уровень защиты. Потенциальный нарушитель, например разработчик, знает уязвимости СКЗИ, поэтому средства должны выдерживать сложные кибератаки. КА используется для защиты конфиденциальной информации, раскрытие которой может угрожать безопасности организации или государства.

Компания должна сама определить, какие виды угроз для нее актуальны, и в зависимости от этого внедрить СКЗИ с нужным классом защиты. Обычно небольшим компаниям достаточно КС1 и КС2, потому что они позволяют обезопасить основную информацию, которую использует бизнес.

Стоимость продукта зависит от класса его защиты: чем он выше, тем дороже стоит средство. Поэтому выбор подходящей системы поможет бизнесу сэкономить. Если вам нужно шифровать только деловую переписку, то нет смысла переплачивать за СКЗИ с классом защиты КС3.

Однако и экономить на этом нельзя. С 30 мая 2025 года государство ужесточит ответственность компаний, которые работают с персональными данными. Для ИП и юрлиц сумма штрафов за утечку информации будет составлять до 15 миллионов рублей, а за данные с биометрией — до 20 миллионов. При повторном нарушении компаниям придется заплатить до 3% от годовой выручки. 

Чтобы сократить риск утечки информации, бизнес предпочитает хранить и обрабатывать ее в защищенном облаке — например, в облаке от EdgeЦентр. Оно соответствует требованиям Закона №152-ФЗ и использует необходимые СКЗИ, чтобы обеспечить безопасность персональных данных.