Heutzutage haben die meisten großen Unternehmen und viele mittelständische Unternehmen irgendeine Art von Data-Governance-Programm, das typischerweise Richtlinien für die Aufbewahrung und Vernichtung von Daten umfasst. Sie sind aufgrund zunehmender Angriffe auf Kundendaten sowie aufgrund staatlicher und nationaler Gesetze, die den Schutz von Kundendaten vorschreiben, zu einem Muss geworden. Die alte Denkweise „Behalte alles für immer“ hat sich geändert zu „Wenn du es nicht hast, kannst du es nicht durchbrechen“.
In gewisser Weise war die Verwaltung von Datenaufbewahrungsrichtlinien in der Cloud noch nie so einfach zu implementieren. Cloud-Anbieter haben oft einfache Vorlagen und Click-Box-Einstellungen, um Ihre Daten für einen bestimmten Zeitraum aufzubewahren und sie dann entweder in einen quasi offline kalten digitalen Speicher oder direkt in den Bit-Bucket (Löschung) zu verschieben. Einfach klicken, konfigurieren und zur nächsten Informationssicherheitspriorität übergehen.
Einfach auf Löschen klicken?
Ich werde jedoch eine unangenehme Frage stellen, die mir schon seit einiger Zeit im Kopf brennt. Was passiert wirklich mit diesen Daten, wenn Sie auf „Löschen“ klicken? bei einem Cloud-Dienst? In der lokalen Hardwarewelt kennen wir alle die Antwort; Es würde einfach auf der Festplatte, auf der es sich befindet, deregistriert. Die „gelöschten“ Daten sitzen immer noch auf der Festplatte, sind aus der Sicht des Betriebssystems verschwunden und warten darauf, überschrieben zu werden, wenn der Speicherplatz benötigt wird. Um es wirklich zu löschen, sind zusätzliche Schritte oder spezielle Software erforderlich, um die Bits mit zufälligen Nullen und Einsen zu überschreiben. In einigen Fällen muss dies mehrmals durchgeführt werden, um die elektronischen Phantomspuren der gelöschten Daten wirklich auszulöschen.
Und wenn Sie Geschäfte mit der US-Regierung oder anderen regulierten Stellen tätigen, müssen Sie möglicherweise die Bestimmungen einhalten Standard 5220.22-M des Verteidigungsministeriums, die Einzelheiten zu den Anforderungen an die Datenvernichtung für Auftragnehmer enthält. Diese Praktiken sind üblich, auch wenn sie nicht gesetzlich vorgeschrieben sind. Sie möchten nicht, dass Daten, die Sie nicht mehr benötigen, im Falle eines Verstoßes zurückkommen. Der Verstoß gegen den Game-Streaming-Dienst Twitch, in der Hacker Zugang zu praktisch allen Daten erhalten konnten, die fast bis zur Gründung des Unternehmens zurückreichen – einschließlich Einkommen und anderer persönlicher Daten über seine gut bezahlten Streaming-Kunden – ist hier eine warnende Geschichte, zusammen mit Berichten anderer Verletzungen von aufgegebenen oder verwaisten Datendateien in den letzten Jahren.
Fehlender Zugriff zur Überprüfung
Während also die Richtlinien in den meisten Cloud-Diensten im Vergleich zu lokalen Servern einfacher festzulegen und zu verwalten sind, ist es bei Cloud-Diensten viel schwieriger oder unmöglich sicherzustellen, dass sie ordnungsgemäß gemäß dem DoD-Standard durchgeführt werden. Wie überschreiben Sie Daten auf niedriger Ebene auf einer Cloud-Infrastruktur, wenn Sie keinen physischen Zugriff auf die zugrunde liegende Hardware haben? Die Antwort ist, dass Sie es nicht können, zumindest nicht so, wie wir es früher gemacht haben – mit Software-Dienstprogrammen oder der völligen Zerstörung des physischen Laufwerks. Weder AWS, Azure noch Google Cloud Services bieten hierfür Optionen oder Dienste an, nicht einmal auf ihren dedizierten Instanzen, die auf separater Hardware laufen. Sie haben einfach nicht die erforderliche Zugriffsebene, um dies zu tun.
Die Kontaktaufnahme mit den großen Diensten wurde entweder ignoriert oder mit allgemeinen Aussagen darüber beantwortet, wie sie Ihre Daten schützen. Was passiert mit Daten, die in einem Cloud-Dienst wie AWS oder Azure „freigegeben“ werden?? Sitzt es einfach auf einer Festplatte, nicht indiziert und wartet darauf, überschrieben zu werden, oder wird es durch eine Art „Bit-Blender“ geleitet, um es unbrauchbar zu machen, bevor es in den verfügbaren Speicher des Dienstes zurückgebracht wird? Niemand scheint es zu diesem Zeitpunkt zu wissen oder bereit zu sein, dies zu sagen.
Passen Sie sich an die neue Realität an
Wir müssen eine entwickeln Cloud-kompatible Art der Zerstörung, die den DoD-Standards entspricht, oder wir müssen aufhören, so zu tun, als ob wir unsere Standards an diese neue Realität anpassen.
Vielleicht können Cloud-Anbieter einen Service anbieten, um diese Funktion bereitzustellen, da nur sie direkten Zugriff auf die zugrunde liegende Hardware haben. Sie haben sich nie gescheut, neue gebührenpflichtige Dienste zu erfinden, und sicherlich würden viele Unternehmen bereit sein, für einen solchen Dienst zu bezahlen, wenn die entsprechenden Vernichtungszertifikate vorgelegt würden. Es wäre wahrscheinlich billiger als die Gebühren, die von einigen Unternehmen erhoben werden, die zertifizierte physische Vernichtungsdienste anbieten.
Amazon, Azure, Google und alle großen Cloud-Dienste (sogar Software-as-a-Service-Anbieter) müssen diese Probleme mit echten Antworten angehen, nicht mit Verschleierung und Marketing-Gerede. Bis dahin werden wir nur so tun und hoffen und beten, dass irgendein brillanter Hacker nicht herausfindet, wie er auf diese verwaisten Daten zugreifen kann, wenn er es nicht bereits getan hat. So oder so, die Schwierige Fragen zur Zerstörung von Cloud-Daten müssen gestellt und beantwortet werden, Lieber früher als später.
