Podle poznatků ImmuniWebu je 98 % předních fintechových startupů zranitelných vůči phishingu, narušení bezpečnosti údajů a dalším kybernetickým útokům. Tento tristní výsledek přiměl technologické specialisty, aby se přeorientovali z vývoje nových funkcí na ochranu stávajících algoritmů.

Slabým místem všech cloudových společností, fintechové aplikace nevyjímaje, jsou data. Za posledních 10 let došlo asi k 300 narušením bezpečnosti dat, při kterých bylo odcizeno 100 000 a více záznamů. K největšímu narušení v historii došlo v roce 2014 v Yahoo, kdy útočníci odcizili data 500 miliónů uživatelů.

Hackeři obvykle cílí na osobní údaje, ale přístupové údaje k financím jsou hned v těsném závěsu. Jedná se o třetí nejběžnější typ kradených dat, na který připadá 13 % všech případů. V roce 2019 se ve finančnictví a pojišťovnictví odehrálo 263 narušení, což tento segment řadí na druhé místo.

Technologie se ale vyvíjejí a my se musíme vyrovnávat s čím dál tím sofistikovanějšími kybernetickými útoky. Mezi dosud nejefektivnější a nejrozšířenější způsoby ochrany dat patří šifrování. V tomto článku si projdeme nejběžnější šifrovací algoritmy a řekneme si, které ve fintechových startupech fungují nejlépe.

Protokol Transport Layer Security (TLS)

Protokol Transport Layer Security je následníkem protokolu Secure Sockets Layer (SSL), který slouží k šifrování připojení mezi webovým serverem a webovým prohlížečem uživatele. Tím se efektivně zamezuje odposlouchávání komunikací, protože veškerý přenos dat mezi servery a prohlížeči neprobíhá ve formě prostého textu, ale ve formě šifrované, nečitelné zprávy.

Přestože je protokol TLS sofistikovanější, řada webů, které nějakým způsobem pracují s citlivými údaji, stále využívá protokol SSL.

Implementace protokolu SSL na web je sice nepsaným pravidlem, ale i tato norma může být někdy porušena. Proto si před registrací vždy zkontrolujte, zda web používá certifikát TLS nebo SSL, zejména pokud se pohybujete na šedém trhu. Příkladem mohou být stránky neregulovaného online kasina bez licence. Uživatelé by si měli umět vybrat kasino s dobrou pověstí a rozpoznat web s pochybnou pověstí, který vůbec nemusí používat šifrovací algoritmy. A to samé platí pro jakékoli odvětví, kde dochází k přenosu osobních údajů a finančních prostředků.

Protokoly TLS a SSL jsou základní šifrovací metody uplatňované na různých webech, v různých aplikacích a softwaru. Jedná se o webové standardy, které se ve fintechu rozhodně používají, ale často v kombinaci s ostatními algoritmy.

Standard pokročilého šifrování AES (Advanced Encryption Standard)

Standard AES je blokové šifrování spojované s americkou vládou, která ho jako první začala využívat jako algoritmus pro šifrování dat. K ochraně dat ve svém softwaru a hardwaru ho mohou využívat i jiné společnosti, ale USA mají zavedena určitá omezení z hlediska exportu.

Na rozdíl od SSL a TSL, které využívají asymetrickou kryptografii, je AES založen na symetrických šifrovacích algoritmech. K šifrování i dešifrování dat se tedy používá jeden jediný klíč. Při asymetrickém šifrování se používají dva samostatné klíče, jeden veřejný pro šifrování a jeden soukromý pro dešifrování.

Evidentní výhodou symetrického šifrování je rychlost, díky které jste schopní šifrovat a dešifrovat velké soubory dat bez větších prodlev. Asymetrické šifrování se považuje za bezpečnější, jenže je pomalejší a není příliš praktické.

Jak bezpečný tedy standard AES je? Národní bezpečnostní agentura (NSA) ho používá k ochraně přísně tajných informací. Navíc v tomto případě existují tři různé délky klíčů: AES-128, AES-192 a AES-256. AES-256 je prakticky imunní vůči útokům hrubou silou.

AES je současným průmyslovým standardem a nejčastěji využívaným šifrovacím algoritmem na světě. Pro fintechové startupy je velmi vhodný, a to zejména pro ty, které upřednostňují jednoduchost, flexibilitu a pracují s obrovským množstvím dat.

Standard TripleDES (Triple Data Encryption Standard)

Triple Data Encryption Standard je vyspělejší verze klasického standardu DES (Data Encryption Standard). Jedná se o další symetrický šifrovací algoritmus vyvíjený americkou vládou, ale je mnohem starší než AES. Standard DES se stal zranitelným vůči útokům hackerů, když přišli, jak na to. A není divu, měli na to asi 25 let.

Vylepšená verze je mnohem bezpečnější, 56bitové klíče standardu DES se multiplikují na 112bitový nebo 168bitový klíč. Standard TripleDES se obvykle používá k šifrování PIN kódů v bankomatech a hesel v UNIXu. Tento hardware je ve fintechu obecně velmi oblíbený. Algoritmus se nicméně postupně stahuje a do roku 2023 už v novějších aplikacích vůbec nebude. Nový protokol TLS 1.3 už nebude mít podporu 3DES, což tuto variantu do budoucna diskvalifikuje.

Blowfish a Twofish

Blowfish a Twofish jsou algoritmy z rodiny symetrických šifrovacích metod, přičemž Blowfish je starším bratříčkem. Byly navrženy, aby nahradily stárnoucí a již teď zranitelný DES. Blowfish využívá bloky prakticky stejně velké jako DES, ale klíče mohou obsahovat až 448 bitů, což je hlavní předností této šifrovací metody.

Nástupce Twofish obsahuje delší bloky o 128 bitech, ale klíč je menší a může mít až 256 bitů. Byl vybrán jako kandidát na příští průmyslový standard, ale nakonec ho nahradil AES. Algoritmus funguje velmi dobře pro nejrůznější software, ale obecně se pro fintech nedoporučuje tak jako AES.

Rivest-Shamir-Adleman (RSA)

Metoda Rivest-Shamir-Adleman (RSA) dostala svůj název po svých autorech: Ronu Rivestovi, Adim Shamirovi a Leonardu Adlemanovi. RSA se považuje za vysoce bezpečný algoritmus, protože využívá asymetrický model šifrování a klíče o velikosti od 1 024 do 4 096 bitů.

Metoda RSA je vhodná pro šifrování menších datových úseků. Na větší objemy dat je prakticky neaplikovatelná. Proč? Důvodem jsou různé šifrovací a dešifrovací klíče a extrémně dlouhé bloky, které jsou příliš pomalé a kladou mnohem větší technické nároky než AES. Pokud váš software pracuje s obrovskými soubory dat, zvolte raději AES.

Verdikt: Nejlepší šifrovací algoritmy pro fintechové aplikace 

AES je metoda, která se pro většinu případů šifrování dat doporučuje nejčastěji, a fintechový software není žádnou výjimkou. Pokud pracujete s extrémně důvěrnými daty a chtěli byste je chránit lépe, dává smysl zkombinovat AES s RSA. Druhý zmíněný algoritmus se příliš nepoužívá jako samostatné řešení a bývá spíš součástí hybridních šifrovacích schémat.