A criptografia ou criptografia de informações é um dos pontos obrigatórios em qualquer sistema hoje e isso cresce à medida que aumenta a responsabilidade e o volume de informações privadas que uma empresa tem que lidar. É por isso que não fazê-lo é um crime grave em todo o mundo e pode acarretar penalidades severas. Se não, pergunte Morgan Stanleyquem esteve multado por não proteger seus discos rígidos.
Um dos mercados mais ignorados, mas ao mesmo tempo o mais lucrativo e importante, é o de processamento de dados, e hoje milhares de empresas lidam com dados de clientes que precisam proteger. Portanto, não é apenas necessário ter os servidores bem protegidos contra intrusos, mas também ter as informações bem criptografadas para que somente nós possamos lê-las e, finalmente, saber como descartar as unidades de armazenamento não utilizadas.
Por que o Morgan Stanley foi multado?
O famoso banco de investimento dos EUA foi multada em US$ 35 milhões pela Securities and Exchange Commission por descartar todas as unidades de armazenamento usadas em seus servidores de maneira desastrosa. A razão para isso foi que eles contrataram uma empresa sem conhecimento no assunto para se livrar dos discos rígidos que continha informações privadas e confidenciais de seus milhares de clientes . No total são 42 o número de sistemas afetados.
O banco decidiu não responder às acusações da SEC, portanto não se declarou culpado e também não negou as acusações . Simplesmente, ele se limitou a pagar a multa. Ainda que por esse preço, o Morgan Stanley poderia ter investido em mais segurança e toda essa experiência mostra a importância do hardware para proteção de dados, que tendemos a desprezar ou ignorar.
Sem criptografia de dados
Embora o problema tenha sido mais grave devido ao fato de o Morgan Stanley nunca ter usado nenhuma das técnicas de criptografia de dados nos discos rígidos de seus servidores. Assim, qualquer pessoa que acesse esses discos rígidos pode obter facilmente as informações e, ao mesmo tempo, esses dados ficam vulneráveis à intrusão de terceiros nos servidores.
O normal é usar hardware especializado para criptografar os dados em formatos como o AES-256, é baseado em um chip especializado que executa uma fórmula matemática que converte o código binário dos discos rígidos em outro, de forma que os dados não possam ser lidos. Ao mesmo tempo, o sistema é acompanhado por outro chip que executa essa função ao contrário para poder recuperar os dados. Isso permite a recuperação completa da informação localmente.
De qualquer forma, com os ataques NVIDIA há alguns meses e UBER recentemente, está ficando claro que as empresas muitas vezes ignoram esses métodos de proteção ou melhor, não o fazem e é necessário melhorar a segurança nesses casos.
