Jeśli chodzi o dane, terminy poufność oraz bezpieczeństwo bywają często stosowane zamiennie, jak gdyby oznaczały to samo. Tymczasem jak postaramy się wykazać w tym artykule - są to pojęcia różne od siebie, oznaczające coś innego. Różne są także narzędzia i sposoby, którymi staramy się osiągnąć te cele.
Dane a informacja
Zanim przejdziemy do dalszych rozważań - musimy wyjaśnić jeszcze jedną istotną kwestię, która jest podstawą do prawidłowego rozróżnienia poufności od bezpieczeństwa. Mowa tutaj o jeszcze jednym, jeszcze powszechniejszym nieporozumieniu - a mianowicie o utażsamianiu pojęć "dane" oraz "informacja". Tymczasem także w tym przypadku mamy do czynienia z zupełnie innymi sprawami. Definicja obydwu pojęć jest bardzo krótka i zrozumiała:
Informacja to treść, którą zawierają dane. Treść, którą można odczytać i zrozumieć.
Dane to nośnik informacji.
Informacje są więc "zawarte" w danych. W większości przypadków rzeczywiście dane można utożsamiać z informacją, choć aby z danych odczytać informację - zwykle trzeba posłużyć się określonym narzędziem. Np. aby z pliku obrazka (danych) odczytać informację (wyświetlić obrazek) - trzeba dysponować odpowiednią przeglądarką plików graficznych. Aby z pliku .docx (dokument Worda®) wyświetlić zrozumiałą dla nas treść (tekst) - trzeba mieć zainstalowany program Word®. To wydaje się jednak tak oczywiste, że zwykle umyka nam w codziennym życiu.
Dane przestają być dającą się odczytać informacją w momencie, gdy zostają np. zaszyfrowane. Wówczas aby przywrócić je do stanu, w którym odpowiednie narzędzie przedstawi nam zawartą w nich informację - musimy posiadać inną informację (hasło). Dopiero wpisanie odpowiedniego hasła (i znowu użycie odpowiedniego narzędzia...) pozwoli odszyfrować plik i otworzyć go. Zaszyfrowane dane nie są więc tym samym, co informacja.
Bezpieczeństwo danych
Bezpieczeństwo danych oznacza stan, w którym nasze dane są "bezpieczne", a zatem zabezpieczone przed ich utratą oraz możliwe do odzyskania, jeśli utrata jednak nastąpi.
Sposobami zapewnienia bezpieczeństwa danym jest więc zapewnienie, że nie utracimy ich w wypadku zdarzenia losowego (np. mirroring chroni przed awarią pojedynczego dysku, UPS chroni przed utratą zasilania, zamek w drzwiach chroni przed kradzieżą serwera) oraz odpowiednio wykonana kopia bezpieczeństwa.
Poufność danych
Poufność danych to stan, w którym informacje w nich zawarte mogą zostać odczytane wyłącznie przez zamknięte grono upoważnionych do tego osób.
Sposobami zapewnienia poufności danych jest są więc: ograniczanie dostępu do nich, monitorowanie działań użytkowników i szyfrowanie.
Różnice
Zwróć uwagę, że dane wcale nie muszą być poufne, aby były bezpieczne. Nie muszą być też poufne, aby były cenne. Na przykład Twoja kolekcja ulubionej muzyki: te piosenki to żadna tajemnica, wiele osób je zna - ale jeśli skasujesz sobie folder z tą muzyką, poniesiesz wymierną stratę. Będziesz musiał np. na nowo te pliki muzyczne kupić. Podobnie jest z poufnością - to, że określone informacje nie powinny być ujawniane poza wąskim kręgiem zaufanych osób wcale nie oznacza, że są bezpieczne. Przecież zgubiono niejeden pendrive, na którym była zapisana jakaś tajemnica...
Z reguły jednak chodzi nam o osiągnięcie zarówno bezpieczeństwa, jak i poufności. Chyba właśnie dlatego pojęcia te są tak często traktowane zamiennie i ciężko je rozdzielić.
Szyfrowanie
Szyfrowanie jest najskuteczniejszą techniką zapewnienia poufności danych (poufności, a nie bezpieczeństwa). Jest techniką na tyle skuteczną i szczególną, że omówimy ją oddzielnie. O ile bowiem inne metody zapewnienia poufności koncentrują się na tym, aby określone dane nie znalazły się w rękach osób nieuprawnionych - o tyle zaszyfrowane dane mogą być swobodnie dostępne, a i tak nadal pozostają poufne. Można je kopiować na lewo i prawo - bo i tak nikt kto nie zna hasła, nie wydobędzie z nich informacji.
Dlaczego zatem nie szyfrujemy wszystkiego? Bo szyfrowanie też ma swoje wady:
- Odczytanie informacji z zaszyfrowanych danych trwa znacznie dłużej niż z niezaszyfrowanych. Tak samo jest z ich zapisaniem.
- Jest mało wygodne i kłopotliwe. Aby odczytać informację - dane należy najpierw odszyfrować, tzn. podać hasło i posłużyć się odpowiednim narzędziem. Jakkolwiek by tego nie automatyzować - to znacznie więcej czynności do wykonania, niż w przypadku danych niezaszyfrowanych.
- Bo zaszyfrowane dane zajmują zwykle więcej miejsca.
- I przede wszystkim: bo odszyfrowanie wymaga posiadania hasła. A hasło jest kolejną informacją, którą należy chronić. Hasła to kolejne dane, którym trzeba zapewnić bezpieczeństwo i poufność. I wracamy do początku...