في هذه الأيام ، تمتلك معظم الشركات الكبرى والعديد من الشركات المتوسطة شكلاً من أشكال برنامج حوكمة البيانات ، بما في ذلك عادةً سياسات الاحتفاظ بالبيانات وتدميرها. لقد أصبحت ضرورية بسبب الهجمات المتزايدة على بيانات العملاء وكذلك قوانين الولايات والقوانين الوطنية التي تفرض حماية بيانات العملاء. تغيرت العقلية القديمة المتمثلة في "احتفظ بكل شيء للأبد" إلى "إذا لم تكن تمتلكها ، فلا يمكنك خرقها".
من بعض النواحي ، لم تكن إدارة سياسات الاحتفاظ بالبيانات أسهل من أي وقت مضى في التنفيذ في السحابة. غالبًا ما يكون لدى بائعي السحابة قوالب سهلة وإعدادات مربع النقر للاحتفاظ ببياناتك لفترة محددة ثم نقلها إما إلى تخزين رقمي بارد شبه غير متصل بالإنترنت أو مباشرة إلى حاوية البت (الحذف). ما عليك سوى النقر والتهيئة والانتقال إلى أولوية أمان المعلومات التالية.
فقط انقر فوق حذف؟
ومع ذلك ، سأطرح سؤالًا محرجًا ، سؤالًا ما زال يحترق في ذهني لفترة من الوقت. ما الذي يحدث حقًا لهذه البيانات بمجرد النقر فوق "حذف" على خدمة سحابية؟ في عالم الأجهزة المحلية ، نعلم جميعًا الإجابة ؛ سيتم إلغاء تسجيله ببساطة على القرص الموجود عليه. لا تزال البيانات "المحذوفة" موجودة على القرص الصلب ، واختفت من عرض نظام التشغيل و في انتظار الكتابة فوقه عند الحاجة إلى المساحة. لمسحها حقًا ، هناك حاجة إلى خطوات إضافية أو برامج خاصة لاستبدال البتات بأصفار وأصفار عشوائية. في بعض الحالات ، يجب القيام بذلك عدة مرات لمسح الآثار الإلكترونية الوهمية للبيانات المحذوفة.
وإذا كنت تتعامل مع حكومة الولايات المتحدة أو غيرها من الكيانات الخاضعة للتنظيم ، فقد يُطلب منك الامتثال معيار وزارة الدفاع 5220.22-M، والتي تحتوي على تفاصيل حول متطلبات تدمير البيانات للمقاولين. هذه الممارسات شائعة ، حتى لو لم تكن مطلوبة بموجب اللوائح. لا تريد أن تعود البيانات التي لا تحتاج إليها بعد الآن لتطاردك في حالة حدوث خرق. خرق خدمة بث ألعاب Twitch، حيث كان المتسللون قادرين على الوصول إلى جميع بياناتها التي تعود إلى بداية الشركة تقريبًا - بما في ذلك الدخل والتفاصيل الشخصية الأخرى حول عملائها الذين يتقاضون رواتب جيدة - هي قصة تحذيرية هنا ، إلى جانب تقارير أخرى انتهاكات ملفات البيانات المهجورة أو المعزولة في السنوات القليلة الماضية.
عدم الوصول إلى التحقق
لذلك ، في حين أنه من الأسهل تعيين السياسات وإدارتها في معظم الخدمات السحابية مقابل الخوادم المحلية ، فإن ضمان تنفيذها بشكل صحيح وفقًا لمعيار DoD هو أصعب بكثير أو مستحيل على الخدمات السحابية. كيف تقوم بالكتابة فوق البيانات على قرص منخفض المستوى على البنية التحتية السحابية حيث لا يمكنك الوصول الفعلي إلى الأجهزة الأساسية؟ الإجابة هي أنه لا يمكنك ، على الأقل ليس بالطريقة التي اعتدنا القيام بها - مع أدوات مساعدة البرامج أو التدمير التام لمحرك الأقراص الفعلي. لا تقدم AWS أو Azure أو Google Cloud Services أي خيارات أو خدمات تقوم بذلك ، ولا حتى في مثيلاتها المخصصة ، والتي تعمل على أجهزة منفصلة. ليس لديك ببساطة مستوى الوصول المطلوب للقيام بذلك.
تم تجاهل أو الرد على التواصل مع الخدمات الرئيسية ببيانات عامة حول كيفية حمايتها لبياناتك. ماذا يحدث للبيانات التي "تم إصدارها" في خدمة سحابية مثل AWS أو Azure؟ هل هو ببساطة جالس على قرص ، غير مفهرس وينتظر الكتابة فوقه ، أم أنه يتم وضعه من خلال نوع من "خلاط البت" لجعله غير قابل للاستخدام قبل إعادته إلى التخزين المتاح على الخدمة؟ لا أحد ، في هذه المرحلة ، يبدو أنه يعرف أو يرغب في التحدث علنًا.
التكيف مع الواقع الجديد
يجب أن نطور أ طريقة متوافقة مع السحابة لإجراء التدمير الذي يلبي معايير وزارة الدفاع ، أو يجب علينا التوقف عن التظاهر وتعديل معاييرنا مع هذا الواقع الجديد.
ربما يمكن لمقدمي الخدمات السحابية ابتكار خدمة لتوفير هذه الإمكانية ، نظرًا لأنهم فقط لديهم إمكانية الوصول المباشر إلى الأجهزة الأساسية. لم يخجلوا أبدًا من ابتكار خدمات جديدة لفرض رسوم عليها ، وبالتأكيد سيكون الكثير من الشركات حريصة على الدفع مقابل مثل هذه الخدمة ، إذا تم توفير شهادات التدمير المناسبة. من المحتمل أن يكون أرخص من الرسوم التي تفرضها بعض الشركات التي تقدم خدمات تدمير مادي معتمدة.
تحتاج Amazon و Azure و Google وأي خدمة سحابية رئيسية (حتى موفري البرامج كخدمة) إلى معالجة هذه المشكلات بإجابات حقيقية ، وليس التشويش والتحدث التسويقي. حتى ذلك الحين ، سوف نتظاهر ونأمل فقط ، أن ندعو بعض المتسللين اللامعين لا يكتشفون كيفية الوصول إلى هذه البيانات اليتيمة ، إذا لم يكونوا قد فعلوا ذلك بالفعل. وفي كلتا الحالتين ، فإن ملف يجب طرح الأسئلة الصعبة حول تدمير البيانات السحابية والإجابة عليها، عاجلا وليس آجلا.
