Intrarea în vigoare a noului Regulament general privind protecția datelor cu caracter personal a generat o creștere semnificativă a adopției soluțiilor pentru criptarea datelor.
Ceea ce, la modul general, este un lucru bun din punct de vedere al securității.
În particular însă, nu puține organizații care s-au grăbit să fie „GDPR compliant“ au implementat soluții de criptare care nu răspund nevoilor reale pe care le au. Ca urmare, se confruntă cu probleme suplimentare.

Pentru a înțelege unde și de ce apar aceste probleme este util un mic recurs la... teorie.
Conform definiției, criptarea datelor are rolul de a asigura protecția acestora prin cifrarea cu ajutorul unui algoritm și a unei chei de criptare, astfel încât conținutul protejat să fie ininteligibil persoanelor care îl accesează în mod neautorizat.
Pentru operațiunea în sens invers – „descifrarea“ – este necesară o cheie de decriptare.
În funcție de tipul de chei folosite, există două mari tipuri de criptare:

  • Criptarea simetrică – în care pentru cifrare și descifrare se utilizează aceeași cheie;
  • Criptarea asimetrică – în care pentru cifrare se folosește o cheie numită „Cheie publică“, iar pentru descifrare se utilizează o a doua cheie, numită „Cheie privată“.

Criptarea asimetrică a apărut ca un răspuns la o problemă specifică sistemelor de criptare simetrice – operațiunea de transmitere/sincronizare a cheilor de criptare este expusă riscurilor. Dacă o persoană rău intenționată (1) intră în posesia cheii unui sistem simetric poate să citească și să modifice orice mesaj criptat. În cazul criptării asimetrice, cheia publică poate fi transmisă fără grijă (de aici și denumirea) pentru că ea permite doar criptarea mesajelor, nu și decriptarea lor.
Tot teoria ne spune că, pentru ca o soluție de criptarea datelor să fie cu adevărat eficientă, trebuie să știți permanent ce chei și certificate sunt accesate, de către cine și cum sunt utilizate. De aceea aveți nevoie și de un sistem de management al cheilor de criptare care să vă ajute să depistați comportamentele anormale, să preveniți sustragerea cheilor și să eliminați riscul piederii lor (2).

Acestea fiind zise, gata cu teoria! – trecem la considerentele practice, pentru că ele fac diferența.

În primul rând, algoritmii de criptare trebuie aleși în funcție de tipul datelor (3) și de frecvența cu care sunt accesate acestea. La momentul actual se folosesc mai mulți algoritmi de criptare (4), fiecare cu minusurile și plusurile proprii. Identificarea algoritmului se face nu doar în funcție de „tăria“ nivelului de criptare pe care o asigură, ci și de viteza cu care realizează operațiunile de cifrare/descifrare, precum și de nivelul de resurse pe care le solicită.

Apoi soluția de criptare trebuie „asortată“ echipamentului pe care se află acestea. Una este tehnologia utilizată pentru un laptop, de exemplu, și alta pentru un server cu baze de date sau un echipament de stocare.
În cazul laptop-urilor puteți utiliza metoda Full disk encryption (FDE), care este salutară dacă echipamentul este pierdut sau furat. Dar care nu protejează datele aflate în tranzit, scade ceva din performanța echipamentului și complică problema atunci când se realizează restaurarea datelor.
În cazul bazelor de date puteți opta pentru Transparent Data Encryption (TDE), o metodă nativă de criptare oferită de vendori precum Microsoft sau Oracle. Însă există și aici limitări: soluția unui vendor nu este compatibilă cu sistemele de baze de date ale altuia și nici chiar cu versiunile mai vechi ale aceluiași vendor, o soluție nu permite managementul centralizat al tuturor bazelor de date etc.
În cazul echipamentelor de stocare, există soluții hardware-based de criptare care oferă funcționalități native ce reduc substanțial efortul la nivel operațional. Dar și acestea au minusurile lor – costul este ridicat, iar deduplicarea și comprimarea datelor trebuie făcute cu aceeași soluție și înainte de a realiza efectiv criptarea.

Tehnologiile enumerate mai sus nu sunt singurele opțiuni disponibile (5), dar fiecare alegere trebuie făcută ținând cont de mai mulți parametri, precum performanța, reziliența, compatibilitatea, eficiența operațională etc. Dacă realizarea acestui echilibru dinamic vi se pare prea complicată, vă putem ajuta noi să selectați soluția pentru criptarea datelor, potrivită nevoilor companiei dvs.


1. Poate fi nu neapărat un hacker, ci și un agajat nemulțumit. Cel mai notoriu exemplu în acest sens este Edward Snowden, care a profitat la maximum de managementul nesecurizat al cheilor de criptare.
2. Dacă pierdeți cheile de criptare vă aflați într-o situație similară cu cea a unui atac Ransomware – nu mai puteți folosi datele pentru că sunt criptate, dar nici nu aveți cui plăti vreo recompensă pentru a le recupera.
3. Într-o clasificare simplă, datele care trebuie criptate sunt de două tipuri:

  • în tranzit, date care sunt transmise prin diferite rețele către varii destinatari;
  • în repaus, date care stau efectiv pe echipamente de stocare, de backup, servere, stații de lucru, device-uri mobile etc.

4. Cei mai utilizați algoritmi de criptare la momentul actual sunt: AES, RSA, Triple DES, Twofish, Blowfish și PGP.
5. Mai aveți la dispoziție și soluțiile de criptare la nivel de fișier, care vă scutesc de multă bătaie de cap – nu mai trebuie să personalizați aplicațiile sau să modificați procesele de business, asigură atât criptarea datelor structurate, cât și a celor nestructurate, permit un control detaliat al accesului etc. Sau puteți alege criptarea la nivel de aplicație, care asigură o protecție superioară prin faptul că realizează cifrarea/descifrarea în aplicație, datele fiind criptate înainte de a fi transmise și/sau stocate.