Η έννοια του Tokenization περιλαμβάνει την αντικατάσταση των ευαίσθητων δεδομένων με τυχαία σύμβολα, τα οποία αν κλαπούν δεν θα συνεπάγεται απώλεια ευαίσθητων δεδομένων.
Η υποκλοπή ευαίσθητων προσωπικών δεδομένων από πλήθος εταιρειών που τα διαχειρίζονται για ποικίλους σκοπούς και με διάφορους τρόπους, είναι πλέον σύνηθες φαινόμενο και λαμβάνει χώρα πάρα πολύ συχνά. Η αγοραπωλησία αυτών των δεδομένων έχει εξελιχθεί σε ολόκληρη βιομηχανία και μάλιστα ιδιαιτέρως εύρωστη, καθιστώντας τη λειτουργία των ΙΤ τμημάτων εξαιρετικά επίπονη και πολλές φορές ανεπαρκή.
Ακόμα και στις εταιρείες με πολύ καλά μέτρα ασφαλείας, η προστασία της πληροφορίας με την υιοθέτηση πολύπλοκων ΙΤ λειτουργιών, μοιραία οδηγεί σε σφάλματα και απώλεια δεδομένων. Τίθεται λοιπόν το ερώτημα, ποιος είναι ο καλύτερος τρόπος προστασίας των δεδομένων, με την απάντηση να φαντάζει απλοϊκή. Αν δεν υπάρχουν ευαίσθητα δεδομένα σε ένα σύστημα, προφανώς δεν θα υπάρχει υλικό για να κλαπεί από τους εκάστοτε επιτιθέμενους. Πώς όμως θα «εξαφανίσουμε» τα δεδομένα, αν αυτά είναι αναγκαία για την τέλεση των βασικών λειτουργιών της εταιρείας;
Η απάντηση είναι ότι θα πρέπει να τα αντικαταστήσουμε με κάτι άλλο που θα τα αντιπροσωπεύει, αλλά δεν θα σχετίζεται λογικά με την αρχική πληροφορία παρά μόνο ως «ταμπέλα», το λεγόμενο token. Η διαδικασία αυτή ονομάζεται tokenization και περιλαμβάνει την αντικατάσταση των ευαίσθητων δεδομένων με τυχαία σύμβολα, τα οποία αν κλαπούν δεν θα συνεπάγεται απώλεια ευαίσθητων δεδομένων.
Υιοθέτηση tokenization
Εννοιολογικά η τεχνολογία του tokenization υφίσταται εδώ και δεκαετίες. Τα τελευταία όμως χρόνια υιοθετείται – ιδιαιτέρως από εμπορικές εταιρίες και γενικά εταιρείες που τελούν οικονομικές διαδικτυακές συναλλαγές σε καθημερινή βάση και αποτελούν τον κύριο στόχο των εκάστοτε υποκλοπέων. Αρχικά η συνεχής απώλεια δεδομένων μέσω των οικονομικών συναλλαγών, οδήγησε τις τράπεζες στην υιοθέτηση του αυστηρού προτύπου προστασίας δεδομένων PCI DSS, με το οποίο έπρεπε να συμμορφωθούν όλοι οι έμποροι. Η συμμόρφωση με το συγκεκριμένο πρότυπο σημαίνει σημαντική δαπάνη για τις εταιρείες, μιας και απαιτούσε αλλαγές στον τρόπο δικτύωσης, στους ελέγχους ασφαλείας και ειδικές ρυθμίσεις στις καθημερινές δραστηριότητες της εκάστοτε εταιρείας. Μοιραία αναζητήθηκαν τρόποι μείωσης του κόστους συμμόρφωσης και οι έμποροι στράφηκαν προς την τεχνολογία tokenization.
Σε γενικές γραμμές, με το tokenization τα ευαίσθητα δεδομένα που βρίσκονται στο σύστημα μιας εταιρείας αντικαθίστανται με ένα token (για κάθε τύπο δεδομένων απαιτείται διαφορετικό token) το οποίο λειτουργεί ως αναφορά στα πραγματικά δεδομένα. Οι πληροφορίες αποθηκεύονται σε ένα διαφορετικό και απομακρυσμένο σύστημα, αυστηρά φυλασσόμενο και το οποίο προσπελαύνεται υπό ειδικές περιστάσεις. Έτσι αποκλείονται οι διαδικασίες επανάληψης των ευαίσθητων δεδομένων μέσα στα συστήματα κάθε εταιρείας, κάτι που συνέβαινε για να εξυπηρετηθούν όλες οι εφαρμογές και οι καθημερινές λειτουργίες της και η ουσιαστική πληροφορία απουσιάζει και άρα δεν μπορεί να κλαπεί. Έτσι κάθε σύστημα μπορεί να λειτουργήσει με λιγότερους ελέγχους και περιορισμούς, εξοικονομώντας χρήματα κατά τη διαδικασία.
Η τεχνολογία tokenization υιοθετήθηκε κυρίως γιατί εξυπηρετούσε στη συμμόρφωση με τα εκάστοτε πρότυπα ασφαλείας, ενώ στις μέρες μας κυρίως χρησιμοποιείται για:
- Ασφάλεια συναλλαγών: Ουσιαστικά γίνεται αντικατάσταση των σημαντικών αριθμών των πιστωτικών καρτών αλλά και των σχετιζόμενων με αυτές πληροφοριών με tokens, τα οποία χρησιμοποιούνται στις συναλλαγές. Απαιτείται η χρήση τοπικών συστημάτων tokenization ώστε να υποστηριχθούν οι ΙΤ ανάγκες επεξεργασίας των συστημάτων της επιχείρησης, για να αυξηθεί η απόδοση και να μειωθεί το κόστος ανά συναλλαγή.
- Ως υπηρεσία: Σ’ αυτήν την περίπτωση τα tokens παρέχονται από έναν τρίτο κατασκευαστή και δεν δημιουργούνται τοπικά στην επιχείρηση. Η υπηρεσία προβλέπει την απομάκρυνση όλων των ευαίσθητων δεδομένων από τα συστήματα του πελάτη και την αποθήκευσή τους σε απομακρυσμένο σημείο – και συνήθως χρησιμοποιείται σε υπηρεσίες οικονομικών συναλλαγών μέσω πιστωτικών καρτών, μιας και έτσι μειώνεται σημαντικά το κόστος ελέγχου των λογαριασμών μέσω του PCI DSS.
- Προστασία PII: Πρόκειται για την προστασία πληροφοριών, όπως είναι οι αριθμοί διαβατηρίων, οι αριθμοί ταυτότητας, το ΑΦΜ, οι συντάξεις, τα ιατρικά δεδομένα κ.ά.
Μελλοντικός στόχος είναι η τεχνολογία tokenization να χρησιμοποιηθεί και για την προστασία πιο περίπλοκων πληροφοριών, όπως είναι το ιατρικό ιστορικό ενός ασθενούς, ώστε να εξυπηρετηθεί η συμμόρφωση προς του κανονισμούς HIPAA και HITECH. Κινητήριος δύναμη ήταν η επιβολή αυστηρών προστίμων στους Οργανισμούς που χρησιμοποίησαν αυτά τα δεδομένα ανεξέλεγκτα και αδιαφορώντας για τους κανονισμούς. Παρόλα αυτά, η υιοθέτηση της τεχνολογίας γι’ αυτού του είδους τα δεδομένα παρουσιάζει ακόμα τεχνικές δυσκολίες, μιας και ένα token αντιπροσωπεύει μία πληροφορία (π.χ. έναν αριθμό ταυτότητας), ενώ ένα ιατρικό ιστορικό αποτελεί πιο εκτενές σύνολο δεδομένων, το οποίο αυξάνει τον όγκο του από ποικίλες πηγές και σε τυχαίους χρόνους. Σκεπτόμενοι ένα ακόμα σενάριο, οι ασφαλιστικές εταιρείες, οι γιατροί, οι νοσοκόμες, οι Οργανισμοί υγείας του κράτους και οι διάφορες κλινικές, όλοι απαιτούν πρόσβαση σε κάποια ή όλα τα δεδομένα ενός ασθενούς και ορισμένοι επιθυμούν να τα ενημερώσουν κατά το δοκούν. Κατά συνέπεια, δεν αναφερόμαστε σε ένα σύστημα που ελέγχει και διαχειρίζεται με μοναδικό τρόπο αυτά τα δεδομένα και υπεύθυνη είναι μία οντότητα γι’ αυτά, αλλά για μια πιο περίπλοκη διαδικασία, που δύσκολα προστατεύεται.
Tokenization: Πώς λειτουργεί;
Τα tokens αντιπροσωπεύουν ένα συγκεκριμένο τύπο δεδομένων που θα χρησιμοποιηθεί σε μία καθορισμένη συναλλαγή και αποτελεί μία αναφορά χωρίς καμία ουσιαστική αξία, παρά μόνο ως η αναφορά πίσω στην αρχική πληροφορία. Μιας και τα tokens είναι μια τυχαία τιμή που δημιουργείται υπό οποιαδήποτε μορφή και για οποιοδήποτε τύπο δεδομένων, μπορεί να μοιάζει στην αρχική τιμή που αντικαθιστά, ώστε να μην απαιτούνται αλλαγές στις εφαρμογές που τα διαχειρίζονται. Για παράδειγμα, το token που αντικαθιστά τον αριθμό μιας πιστωτικής κάρτας, μπορεί να είναι ομοίως ένας 16ψήφιος αριθμός, έγκυρος για τους ελέγχους LUHN και αποδεκτός σε όλο το βάθος της συναλλαγής και των συστημάτων που την υποστηρίζουν, χωρίς όμως να έχει καμία ουσιαστική αξία.
Έτσι επιτυγχάνεται η πολυπόθητη εξοικονόμηση χρημάτων, ενώ ταυτόχρονα προστατεύεται σε υψηλό επίπεδο η πληροφορία. Για μία τυπική συναλλαγή η διαδικασία tokenization (σχήμα 1) έχει ως εξής:
1. Η εφαρμογή συλλέγει ή παράγει ένα μέρος ευαίσθητων δεδομένων.
2. Τα δεδομένα αποστέλλονται άμεσα στον tokenization server, ο οποίος είναι απομακρυσμένος σε σχέση με το σύστημα παραγωγής.
3. Ο tokenization server παράγει ένα τυχαίο ή ημι-τυχαίο token. Τα δεδομένα και το token αποθηκεύονται σε μία βάση δεδομένων υψηλής ασφάλειας, η οποία είναι συνήθως κωδικοποιημένη.
4. Ο tokenization server επιστρέφει στην εφαρμογή το token.
5. Η εφαρμογή αποθηκεύει τοπικά το token και όχι τα δεδομένα. Το token χρησιμοποιείται για τις περισσότερες συναλλαγές από την εφαρμογή.
6. Όταν απαιτηθεί η πραγματική τιμή των δεδομένων, μία εξουσιοδοτημένη εφαρμογή ή ένας χρήστης μπορεί να αιτηθεί και να τη λάβει ή να ζητήσει από τον tokenization server να χρησιμοποιήσει τα πραγματικά δεδομένα εκ μέρους του. Η τιμή δεν αποθηκεύεται ποτέ τοπικά σε σχέση με την εφαρμογή που την αιτείται και η πρόσβαση στις βάσεις token είναι εξαιρετικά περιορισμένη, μειώνοντας δραματικά τον κίνδυνο έκθεσης.
Τι είναι ένα token;
Τυπικά, ένα token είναι μια τυχαία συμβολοσειρά που λειτουργεί ως αναπληρωτής ή πληρεξούσιος κάποιων άλλων δεδομένων. Δεν υπάρχει απευθείας μαθηματική σχέση μεταξύ της αρχικής τιμής και του token, ώστε τα πραγματικά δεδομένα να μη μπορούν να καθοριστούν με την αντίστροφη διαδικασία. Ο πραγματικός συσχετισμός μεταξύ token και δεδομένων φυλάσσεται σε μία βάση δεδομένων (token vault ) και έξω από αυτή δεν υπάρχει καμία σύνδεση μεταξύ των δύο τιμών.
Η προτεινόμενη μέθοδος παραγωγής tokens είναι με τη χρήση τυχαίων αριθμητικών ή αλφαριθμητικών τιμών. Τα τελείως τυχαία tokens προσφέρουν τη μέγιστη ασφάλεια, μιας και το αρχικό περιεχόμενο δεν μπορεί να συσχετιστεί με κανέναν τρόπο με την τιμή που το αντικαθιστά. Κάποιες εμπορικές εταιρείες χρησιμοποιούν γεννήτριες σειρών ή κατακερματισμού (hashing) για να παράγουν tokens, αλλά και τα δύο υπόκεινται σε διαφορετικούς τύπους επιθέσεων και κινδύνων.
Σε πολλές περιπτώσεις οι πελάτες επιλέγουν tokens που συνδυάζουν την τυχαία τιμή με ένα μέρος των πραγματικών δεδομένων, όπως για παράδειγμα τα 4 τελευταία ψηφία του αριθμού μιας πιστωτικής κάρτας, για να μπορούν να περνούν τους αναγκαίους ελέγχους και να μη χρειάζεται να υποστούν αλλαγές οι υπάρχουσες εφαρμογές.
Κρυπτογράφηση vs tokenization
Έως τώρα η κρυπτογράφηση χρησιμοποιείτο εκτενώς για την προστασία των δεδομένων και πολλοί αναρωτούνται για τις διαφορές που έχει από τη μέθοδο tokenization, αλλά και τα ενδεχόμενα πλεονεκτήματα που έχει η δεύτερη. Αρχικά απαιτείται ο ορισμός και η σύγκριση των δύο μεθόδων. Η tokenization είναι μέθοδος αντικατάστασης των ευαίσθητων δεδομένων με τυχαίες τιμές. Η κρυπτογράφηση είναι μέθοδος με την οποία τα ευαίσθητα δεδομένα μετατρέπονται σε μία μη- αναγνωσμένη μορφή. Δηλαδή είναι μια μορφή κωδικοποίησης, η οποία αντιστρέφεται με το σωστό κλειδί.
Η κρυπτογράφηση είναι μια εύρωστη εναλλακτική αντί για τη χρήση της tokenization, αλλά έχει δύο σημαντικά μειονεκτήματα. Πρώτον, σε αντίθεση με τα tokens οι κωδικοποιημένες τιμές αν αντιστραφούν δίνουν την αρχική τιμή. Βεβαίως η σωστά εφαρμοζόμενη κωδικοποίηση είναι σχεδόν αδύνατο να διαρρηχθεί και τα αρχικά δεδομένα δεν ανακτώνται χωρίς το κλειδί κωδικοποίησης. Δεύτερον, η κωδικοποίηση έχει περισσότερα βήματα υλοποίησης και είναι ευκολότερο να γίνουν λάθη, καθώς και περιπλοκότερο να ελεγχθεί η ορθότητα εφαρμογής της.
Από την άλλη μεριά οι επιτιθέμενοι είθισται να στοχοποιούν τα αδύναμα σημεία της κάθε μεθόδου, ώστε να εξασφαλίσουν προσπέλαση στις επιθυμητές πληροφορίες. Έτσι επιδιώκουν να εντοπίσουν τα κλειδιά κωδικοποίησης ή να εισέλθουν στα token vaults, μιας και αποτελούν τους μόνους πρακτικούς τρόπους κατάλυσης των μεθόδων προστασίας. Θεωρητικά και τα δύο συστήματα αν είναι προστατευμένα επαρκώς, είναι εξίσου ασφαλή. Στην πράξη όμως η πολυπλοκότητα του συστήματος κωδικοποίησης αφήνει περιθώρια για περισσότερα σφάλματα και οι πανταχού παρούσες υπηρεσίες λήψης κλειδιών διακυβεύουν την αξιοπιστία της μεθόδου.
Tokenization servers
Οι tokenization servers είναι αυτοί που παρέχουν τις υπηρεσίες της μεθόδου και εγγυώνται το απόρρητο των ευαίσθητων δεδομένων και την ασφαλή αποθήκευσή τους καθώς διαχειρίζονται και τα αιτήματα de- tokenization με τα οποία επιστρέφεται η πραγματική τιμή που αναπαριστά το εκάστοτε token. Όταν αξιολογείται και επιλέγεται ένας tokenization server ή υπηρεσία, τα σημαντικότερα σημεία διερεύνησής του είναι:
- Αυθεντικοποίηση: Όταν υιοθετείται η μέθοδος tokenization πρέπει το σύστημα που την υποστηρίζει να ενοποιηθεί με την ταυτότητα της εταιρείας και να αποκτήσει πρόσβαση στα συστήματα διαχείρισης, χωρίς όμως να παρακωλύει τις λειτουργίες της. Ο τρόπος που υλοποιείται ο διαχωρισμός μεταξύ των λειτουργιών της εταιρείας, του tokenization και του de- tokenization από τους χρήστες, είναι σημαντικά ερωτήματα που πρέπει να απαντηθούν πριν από την τελική επιλογή συστήματος.
- Αποθήκευση Tokens: Τυπικά, τα tokens αποθηκεύονται σε σχεσιακές βάσεις δεδομένων και τα δεδομένα απαιτείται να παραμείνουν ασφαλή από τη μη εξουσιοδοτημένη πρόσβαση είτε στην ίδια την βάση είτε σε αρχεία που ενδεχομένως περιέχουν αυτά τα δεδομένα. Ως βασικός τρόπος προστασίας της βάσης επιλέγεται η κωδικοποίηση, οπότε η μέθοδος και οι υπηρεσίες διαχείρισης των κλειδιών είναι κρίσιμες και πρέπει να γίνονται απολύτως κατανοητές από τους διαχειριστές, ώστε να ασκούν ουσιαστικό έλεγχο ως προς την προστασία των δεδομένων.
- De- tokenization: Σε ορισμένες υπηρεσίες συναλλαγών και για την ταχύτερη εξυπηρέτηση του πελάτη – όπως σε περιπτώσεις επαναπληρωμών – οι εταιρείες ζητούν πρόσβαση στα πραγματικά δεδομένα που αντικαθίστανται από τα tokens. Η διαδικασία ονομάζεται de- tokenization, όπου εξουσιοδοτημένοι χρήστες υποβάλλουν το token και τους επιστρέφονται τα δεδομένα. Τα αιτήματα de- tokenization είναι ιδιαιτέρως κρίσιμα στη διαχείρισή τους, μιας και αντιστρέφουν τη διαδικασία προστασίας, οπότε και απαιτείται να γίνει πλήρως κατανοητός ο τρόπος που αντιμετωπίζονται. Προτού εξυπηρετηθούν πρέπει να έχουν οριστεί ποιοι χρήστες ή εφαρμογές έχουν το δικαίωμα να τα υποβάλουν, πώς γίνεται η καταγραφή αυτών των αιτημάτων και των δραστηριοτήτων που σχετίζονται με αυτά και πώς εγκαθίσταται και διασφαλίζεται το σύστημα de- tokenization.
- Ενσωμάτωση και εφαρμογή: Εδώ τίθενται τα ερωτήματα για το πώς ο tokenization server ενσωματώνεται στο υπάρχον σύστημα και διαχειρίζεται από το προσωπικό, αλλά και πώς θα διασυνδεθεί με τις υπάρχουσες εφαρμογές, αν έχει δυνατότητα αναβάθμισης και τέλος τι γίνεται σε περίπτωση αστοχίας.
- Αλλαγή υπάρχουσας δομής: Όταν υιοθετηθεί ένα σύστημα tokenization τα υπάρχοντα ευαίσθητα δεδομένα πρέπει να αντικατασταθούν από tokens. Γι’ αυτό υπάρχουν πολλοί τρόποι υλοποίησης, αλλά δεν είναι όλοι εξίσου αξιόπιστοι. Ο υπεύθυνος υλοποίησης και επιλογής οφείλει να διερευνήσει αυτές τις μεθόδους ως προς τη διαδικασία και τις απαιτήσεις χρόνου, καθώς και αν θα χρειαστεί να ανασταλούν οι διεργασίες της επιχείρησης κατά την αντικατάσταση των δεδομένων από τα tokens.
- Κόστος: Ορισμένοι πάροχοι διαθέτουν στην αγορά την τεχνολογία tokenization ως λογισμικό με αδειοδότηση και χρεώνουν βάσει του αριθμού των cpu που θα υποστηρίζουν. Σε άλλες περιπτώσεις η χρέωση γίνεται ανά συναλλαγή και το κόστος μειώνεται όσο ο αριθμός των συναλλαγών κάθε εταιρείας αυξάνει.
Tokenization ως υπηρεσία
Η ισχυρότερη τάση των ημερών είναι η υιοθέτηση του tokenization ως υπηρεσία από άλλον πάροχο και απαντάται σε μεγαλύτερο ποσοστό σε διεργασίες πληρωμών μέσω διαδικτύου. Σε αυτή την περίπτωση και εφόσον η μέθοδος έχει ενσωματωθεί σωστά, οι πελάτες κυριολεκτικά απομακρύνουν όλα τα ευαίσθητα δεδομένα από το σύστημά τους. Οι υπηρεσίες που σχετίζονται με αυτά, λαμβάνουν χώρα στις εγκαταστάσεις του tokenization παρόχου, περιορίζοντας τις ανάγκες και τα αιτήματα για de-tokenization και ο πελάτης δεν αντιλαμβάνεται τα μέτρα ασφαλείας γύρω από το token vault.
Η μέθοδος tokenization είναι ιδανική για τη μείωση της πιθανότητας έκθεσης των ευαίσθητων δεδομένων μιας επιχείρησης, με περιορισμένο κόστος και λιγότερη πολυπλοκότητα στις ΙΤ λειτουργίες της. Παρόλα αυτά αποτελεί ένα περίπλοκο σύστημα, με τις δικές του απαιτήσεις ασφαλείας και όλα πρέπει να συνυπολογιστούν προτού αποφασιστεί ότι είναι η καταλληλότερη επιλογή για τις ανάγκες μιας εταιρείας. Στον αντίποδα, ως μέθοδος είναι εξαιρετικά απλή στη λειτουργία της και η απομάκρυνση όλων των κρίσιμων πληροφοριών από το άμεσο στόχαστρο των επιθέσεων συμβάλλει ουσιαστικά στην αλλαγή του επιπέδου προστασίας που παρέχεται. Έτσι αλλάζει η αξιοπιστία της εκάστοτε επιχείρησης, απλοποιούνται οι διαδικασίες και ο χρόνος που δαπανάται για την εξασφάλιση των δεδομένων και κυρίως καθίσταται απλή η συμμόρφωση με τα πρότυπα προστασίας που τίθενται για την ασφάλεια των δεδομένων.
Της Παναγιώτας Τσώνη