Szyfrowanie dysków firmowych – jak zacząć krok po kroku

Dlaczego szyfrowanie dysków jest kluczowe dla MŚP

Według danych Europejskiej Agencji ds. Bezpieczeństwa Sieci i Informacji (ENISA), kradzież lub zgubienie urządzenia to jedna z najczęstszych przyczyn naruszeń ochrony danych w firmach. Statystyki są bezlitosne: co roku na europejskich lotniskach pozostawiane są dziesiątki tysięcy laptopów – większość z nich nigdy nie wraca do właściciela.

Dla małej firmy konsekwencje wycieku danych mogą być druzgocące: kary finansowe wynikające z RODO, utrata zaufania klientów, a w skrajnych przypadkach – postępowania sądowe. Co gorsza, standardowe hasło do systemu Windows nie chroni danych na dysku – wystarczy wyjąć dysk i podłączyć go do innego komputera, by uzyskać pełny dostęp do wszystkich plików.

Szyfrowanie dysku rozwiązuje ten problem u podstaw: nawet jeśli urządzenie trafi w niepowołane ręce, dane pozostają całkowicie niedostępne bez znajomości klucza szyfrowania. To jeden z najważniejszych środków technicznych wymaganych przez RODO – i jeden z najtańszych do wdrożenia.

BitLocker – szyfrowanie wbudowane w system Windows

Jeśli Twoja firma korzysta z systemu Windows, masz dostęp do BitLocker – wbudowanego narzędzia do szyfrowania całego dysku twardego. Dostęp do danych jest możliwy wyłącznie po poprawnym uwierzytelnieniu, co czyni skradziony laptop praktycznie bezużytecznym dla złodzieja.

Warunki niezbędne do uruchomienia BitLockera:

• System operacyjny: Windows 10/11 Pro, Enterprise lub Education. Wersja Home nie obsługuje pełnego BitLockera – to ważny argument za wersją Pro dla firmowych komputerów.
• Chip TPM (Trusted Platform Module): Większość komputerów wyprodukowanych po 2016 roku posiada TPM 2.0. Chip przechowuje klucze szyfrowania i weryfikuje integralność systemu podczas uruchamiania.
• Uprawnienia administratora: Do włączenia BitLockera potrzebujesz konta z uprawnieniami administratora lokalnego lub domenowego.

BitLocker obsługuje dwa tryby szyfrowania: XTS-AES 128-bit (domyślny, wystarczający dla większości firm) oraz XTS-AES 256-bit (dla organizacji o podwyższonych wymaganiach bezpieczeństwa, np. kancelarie prawne lub firmy medyczne).

Jak włączyć BitLocker – instrukcja krok po kroku

Włączenie BitLockera na komputerze z Windows 10/11 Pro to proces, który zajmuje kilka minut konfiguracji – szyfrowanie odbywa się następnie w tle, bez przerywania codziennej pracy:

1. Otwórz Panel sterowania → System i zabezpieczenia → Szyfrowanie dysków funkcją BitLocker.
2. Obok dysku systemowego (zazwyczaj C:) kliknij Włącz funkcję BitLocker.
3. Wybierz sposób odblokowania dysku przy uruchamianiu – dla komputerów z układem TPM zazwyczaj wystarczy opcja automatycznego odblokowania.
4. Zapisz klucz odzyskiwania – to najważniejszy krok! Możesz go zapisać na koncie Microsoft, wydrukować lub zachować jako plik. W środowisku firmowym zawsze archiwizuj klucz w bezpiecznym miejscu dostępnym dla administratora IT.
5. Wybierz zakres szyfrowania: tylko zajęte miejsce (szybciej, dla nowych urządzeń) lub cały dysk (bezpieczniej, dla komputerów już w użyciu).
6. Kliknij Rozpocznij szyfrowanie. Komputer pozostaje w pełni użyteczny podczas procesu, który trwa od kilkunastu minut do kilku godzin w zależności od pojemności dysku.

Wskazówka dla firm z Azure Active Directory: W środowisku Microsoft Entra ID klucze odzyskiwania BitLocker mogą być automatycznie archiwizowane w chmurze i zarządzane centralnie przez Intune – co znacząco ułatwia obsługę całej floty urządzeń.

FileVault na macOS – szyfrowanie dla użytkowników Apple

Komputery Apple mają wbudowane narzędzie szyfrowania o nazwie FileVault. Nowsze modele z procesorami Apple Silicon (M1/M2/M3/M4) posiadają szyfrowanie sprzętowe aktywne domyślnie – jednak FileVault warto włączyć niezależnie od tego, ponieważ dodaje warstwę ochrony opartą na haśle użytkownika.

Jak włączyć FileVault na macOS:

1. Przejdź do Ustawień systemowych.
2. Wybierz Prywatność i ochrona, a następnie sekcję FileVault.
3. Kliknij Włącz FileVault i podaj hasło administratora.
4. Wybierz sposób przechowywania klucza odzyskiwania: konto iCloud (wygodne dla indywidualnych użytkowników) lub klucz lokalny (zalecane dla środowisk firmowych zarządzanych przez MDM).
5. Uruchom ponownie komputer – szyfrowanie odbywa się w tle, nie przerywając pracy.

W środowisku firmowym zarządzanym przez MDM (np. Jamf lub Microsoft Intune) możliwe jest centralne wymuszenie FileVault na wszystkich urządzeniach i automatyczna archiwizacja kluczy odzyskiwania – całkowicie transparentna dla użytkownika końcowego.

Zarządzanie kluczami odzyskiwania – najważniejszy element wdrożenia

Szyfrowanie dysków bez odpowiedniego zarządzania kluczami odzyskiwania to przepis na katastrofę. Wyobraź sobie: pracownik odchodzi z firmy, jego laptop trafia do nowego użytkownika, a klucza odzyskiwania nigdzie nie ma. Efekt: trwała i nieodwracalna utrata dostępu do wszystkich danych na dysku.

Najlepsze praktyki zarządzania kluczami w firmie MŚP:

• Centralne repozytorium kluczy: Przechowuj klucze w zaszyfrowanym menedżerze haseł (np. 1Password for Business, Bitwarden for Teams) lub automatycznie w Azure AD dla urządzeń zarządzanych przez Intune.
• Zasada dwóch par oczu: Klucz odzyskiwania powinny znać co najmniej dwie osoby – np. właściciel firmy i zewnętrzny administrator IT. Nigdy jedna osoba jako jedyny depozytariusz.
• Dokumentuj każde urządzenie: Prowadź rejestr sprzętu z przypisanymi kluczami odzyskiwania. Arkusz kalkulacyjny w chmurze, zabezpieczony odpowiednimi uprawnieniami, to absolutne minimum dla małej firmy.
• Testuj odtwarzanie: Przynajmniej raz w roku weryfikuj, czy klucze odzyskiwania faktycznie działają – zanim będziesz ich naprawdę potrzebował.

Szyfrowanie dysków a RODO – prawny obowiązek i ochrona przed karami

RODO (art. 32) zobowiązuje firmy do stosowania odpowiednich środków technicznych i organizacyjnych w celu ochrony danych osobowych. Szyfrowanie jest wprost wymieniane w treści rozporządzenia jako przykład skutecznego środka ochrony danych w razie incydentu.

Co to oznacza w praktyce Twojej firmy:

• Jeśli zaszyfrowany laptop zostanie skradziony, nie musisz zgłaszać naruszenia danych do UODO (Urzędu Ochrony Danych Osobowych) – szyfrowanie sprawia, że dane są faktycznie niedostępne dla nieuprawnionych osób, co eliminuje obowiązek notyfikacji.
• Brak szyfrowania przy kradzieży laptopa z danymi klientów to naruszenie RODO, które może skutkować karą do 4% rocznego obrotu firmy lub 20 milionów euro (w przypadku większych organizacji).
• W trakcie kontroli UODO brak szyfrowania na urządzeniach przenośnych jest traktowany jako poważne uchybienie w polityce bezpieczeństwa informacji – niezależnie od wielkości firmy.

Pamiętaj: szyfrowanie dysku to środek techniczny, który powinien być opisany w polityce bezpieczeństwa IT Twojej firmy oraz uwzględniony w rejestrze czynności przetwarzania danych osobowych. To dokument, o który zapyta inspektor UODO w pierwszej kolejności.