Согласно новостному сообщению, компания Microsoft передала Агентству по обеспечению правопорядка США ключи шифрования BitLocker пользователей Windows, предоставив таким образом доступ к зашифрованным данным.
Федеральное бюро расследований США обратилось к Microsoft с ордером на обыск в начале 2025 года с требованием предоставить ключи для разблокировки зашифрованных данных, хранящихся на трех ноутбуках в рамках дела о предполагаемом мошенничестве, связанном с программой помощи по безработице во время COVID-19 на Гуаме. Поскольку ключи хранились на сервере Microsoft, компания выполнила законное предписание и, как сообщило издание Forbes в пятницу, передала ключи шифрования.
Microsoft не предоставила немедленного комментария по запросу.
В прошлом были случаи, когда к крупным технологическим компаниям обращались правоохранительные органы с требованием доступа к устройствам, но компании сопротивлялись передаче ключей шифрования властям.
BitLocker — широко используемый инструмент для защиты данных в состоянии покоя, как индивидуальными пользователями, так и предприятиями, управляющими сотнями или тысячами устройств на Windows. По умолчанию многие установки Windows создают резервные копии ключей восстановления BitLocker в облачных сервисах Microsoft, откуда Microsoft может их извлечь по законному требованию.
Вопрос хранения, а не BitLocker
BitLocker разработан для обеспечения шифрования всего тома, решая проблемы кражи или утечки данных с утерянных, украденных или некорректно выведенных из эксплуатации устройств. Эксперты отмечают, что поскольку BitLocker интегрирован в Windows 10 и Windows 11, он фактически стал стандартным уровнем шифрования всего диска для конечных точек Windows.
«Сам по себе BitLocker здесь не виноват. Программное обеспечение делает то, для чего создано: шифрует диск, интегрируется в Windows, позволяет легко восстановить данные», — заявил Санчит Вир Гогиа, ведущий аналитик Greyhound Research.
Хотя шифрование BitLocker надежно, предприятиям необходимо помнить о том, кто несет ответственность за хранение ключей, как показывает данный случай.
«Шифрующий механизм в BitLocker, использующий AES-128 или AES-256 в режиме XTS, создан для противодействия современной криптоаналитике. Даже Министерство внутренней безопасности США признало, что не располагает криминалистическими инструментами для его прямого взлома. Однако большинство корпоративных парков с Windows используют такие инструменты, как Intune и Autopilot, для развертывания и управления устройствами. В этом процессе, если не отключено явно, ключи восстановления автоматически резервируются в Microsoft Entra ID. Затем эти ключи становятся доступны через центр администрирования или могут быть извлечены с помощью скриптов», — пояснил Гогиа.
Где большинство предприятий совершают ошибки
Предприятиям, использующим BitLocker, следует относиться к ключам восстановления как к крайне конфиденциальной информации и избегать резервного копирования в облако по умолчанию, если только для этого нет четкой бизнес-потребности, а сопутствующие риски хорошо изучены и минимизированы.
Самая безопасная конфигурация — перенаправить эти ключи в локальный Active Directory или контролируемое корпоративное хранилище ключей. Даже если ключи хранятся в управляемом корпорацией каталоге или сервисе, таком как Microsoft Entra ID или Intune, необходимо обеспечить строгое управление доступом к чтению ключей, с эффективным логированием и доступом по требованию (just-in-time access), — отметил Амит Джаджу, глобальный партнер Ankura Consulting. Это может исключить Microsoft из цикла восстановления, добавил он.
Если ключи должны находиться в облаке Microsoft, следует использовать строгую многофакторную аутентификацию для административных ролей, наряду с условным доступом и рабочими станциями с привилегированным доступом, чтобы компрометация учетных данных администратора не приводила автоматически к компрометации всех ключей, — сказал он.
Предприятия должны обеспечить строгий контроль доступа и разделение обязанностей. «Только небольшая, проверенная группа, например, специалисты по безопасности или инженеры по конечным точкам, должны иметь право просматривать или экспортировать ключи восстановления. Утверждения должны быть основаны на рабочих процессах, а не делаться ad hoc. Каждое извлечение ключа должно оставлять проверяемый, неизменяемый след, и в идеале быть привязано к инциденту или идентификатору заявки», — подчеркнул Джаджу.
Руководителям по информационной безопасности (CISO) также следует убедиться, что при перепрофилировании, выводе из эксплуатации или перемещении устройств между юрисдикциями ключи должны перегенерироваться как часть рабочего процесса, чтобы старые ключи не могли быть использованы.
Гогиа предупредил о долгосрочных последствиях небезопасных настроек. Личные учетные записи, связанные во время развертывания, или устройства BYOD (Bring Your Own Device), которые незаметно синхронизируют ключи с потребительскими панелями, представляют собой невидимые каналы утечки. «Если эти ключи находятся за пределами вашего периметра, вы больше не имеете чистого контроля над цепочкой владения. Это не теоретический риск. Аудиторы сейчас активно это проверяют», — отметил он.
Поскольку многие утечки происходят не из-за криптографии, а из-за процедурных нарушений, у предприятий должен быть формальный регламент, определяющий, когда ключ восстановления может быть использован (утерянный ПИН-код, внутреннее расследование с юридическим разрешением, законное требование), а когда нет (неформальный запрос руководителя на доступ к данным сотрудника), — заметил Джаджу.
Геополитика меняет ландшафт контроля над корпоративными данными и ключами
Геополитическая напряженность также меняет мировую торговлю и технологическую политику, что предприятиям все чаще приходится учитывать в своих стратегиях безопасности. По мере того как правительства усиливают контроль над данными, существует риск того, что коммерческая тайна и проприетарная информация окажутся втянутыми в более широкие государственные интересы.
Гогиа предупредил: «Закон США CLOUD Act позволяет правоохранительным органам принуждать провайдеров, базирующихся в США, передавать данные и ключи, даже если эти данные размещены в Европе или Азии. Аналогично, китайские правила локализации данных требуют, чтобы ключи и данные были доступны государственным регуляторам. В Индии недавнее законодательство ввело широкие права доступа для служб безопасности. А ЕС обсуждает, должна ли суверенность включать владение ключами по дизайну, а не только резидентность данных».
Если ключи восстановления хранятся у облачного провайдера, этот провайдер может быть принужден, по крайней мере, в своей домашней юрисдикции, передать их по законному требованию, даже если владелец данных или компания находятся в другом месте, без уведомления компании. Это становится еще более критичным с точки зрения фармацевтических компаний, производителей полупроводников, оборонных подрядчиков или операторов критической инфраструктуры, поскольку подвергает их рискам, таким как раскрытие коммерческой тайны в трансграничных расследованиях.
Джаджу добавил: «Предприятия должны исходить из того, что там, где хранятся ключи, их потенциально могут потребовать. Поэтому, где это практически осуществимо, убедитесь, что организации, контролирующие ключи, юридически привязаны к юрисдикции, законам и стандартам надлежащей правовой процедуры, которым вы доверяете больше всего. Установите надзор на уровне совета директоров за трансграничным доступом к данным, включая реестр запросов на доступ к данным от правительств, где это разрешено законом. Для многонациональных компаний юридические и службы безопасности должны тесно сотрудничать для понимания договоров о взаимной правовой помощи, последствий CLOUD Act и местных законов о перехвате».
Эта статья впервые появилась на Computerworld.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Nidhi Singal
