Tänapäeval on enamikul suurtel ja paljudel keskmise suurusega ettevõtetel mingi andmehaldusprogramm, mis sisaldab tavaliselt andmete säilitamise ja hävitamise eeskirju. Need on muutunud hädavajalikuks, kuna sagenevad rünnakud kliendiandmete vastu ning ka riigi ja siseriiklikud seadused, mis nõuavad kliendiandmete kaitset. Vana mõtteviis "Hoia kõik, igavesti" on muutunud järgmiselt: "Kui teil seda pole, ei saa te seda rikkuda."
Mõnes mõttes pole andmete säilitamise poliitika haldamine olnud kunagi varem pilves hõlpsamini rakendatav. Pilvepakkujatel on sageli lihtsad mallid ja klõpsamiskasti seaded, et säilitada teie andmed teatud aja jooksul ja seejärel teisaldada need peaaegu võrguühenduseta külmkambrisse või otse bitisalve (kustutamine). Lihtsalt klõpsake, konfigureerige ja liikuge järgmise teabeturbe prioriteedi juurde.
Lihtsalt klõpsake nuppu Kustuta?
Küll aga esitan ühe ebamugava küsimuse, mis on juba mõnda aega mõttes põlenud. Mis nende andmetega tegelikult juhtub, kui klõpsate nupul "Kustuta" pilveteenuses? Kohalikus riistvaramaailmas teame me kõik vastust; see lihtsalt kustutataks sellel kettal, millel see asub. "Kustutatud" andmed on endiselt kõvakettal, operatsioonisüsteemi vaatest kadunud ja ootab ülekirjutamist, kui ruumi on vaja. Selle tõeliseks kustutamiseks on vaja täiendavaid samme või spetsiaalset tarkvara, et kirjutada bitid juhuslike nullide ja ühtedega. Mõnel juhul tuleb seda teha mitu korda, et kustutatud andmete fantoomelektroonilised jäljed tõeliselt kustutada.
Ja kui teete äri USA valitsuse või muude reguleeritud üksustega, võidakse teilt nõuda järgimist Kaitseministeeriumi standard 5220.22-M, mis sisaldab üksikasju töövõtjate andmete hävitamise nõuete kohta. Need tavad on tavalised, isegi kui seda ei nõuta eeskirjadega. Te ei soovi, et andmed, mida te enam ei vaja, tuleksid tagasi, et teid rikkumiste korral kummitama hakata. Twitchi mängude voogedastusteenuse rikkumine, kus häkkeritel oli juurdepääs peaaegu kõigile selle andmetele, mis ulatusid peaaegu ettevõtte asutamisest – sealhulgas sissetulekutele ja muudele hästitasustatud voogedastusklientide isiklikele andmetele –, on siinkohal hoiatav lugu koos muude aruannetega. mahajäetud või orvuks jäänud andmefailide rikkumised viimastel aastatel.
Kontrollimiseks juurdepääsu puudumine
Ehkki poliitikaid on enamikus pilveteenustes lihtsam määrata ja hallata kui kohapealsetes serverites, on pilveteenuste puhul palju raskem või võimatu tagada, et see järgiks DoD standardit. Kuidas teha pilveinfrastruktuuri andmete madala taseme ketta ülekirjutamist, kui teil pole füüsilist juurdepääsu aluseks olevale riistvarale? Vastus on, et te ei saa, vähemalt mitte nii, nagu me seda varem tegime – tarkvarautiliitidega või füüsilise kettaseadme otsese hävitamisega. AWS, Azure ega Google'i pilveteenused ei paku ühtegi valikut ega teenuseid, mis seda teevad, isegi mitte nende spetsiaalsetes eksemplarides, mis töötavad eraldi riistvaraga. Teil lihtsalt pole selleks vajalikku juurdepääsutaset.
Suuremate teenuste poole pöördumist kas ignoreeriti või neile vastati üldiste väidetega selle kohta, kuidas nad teie andmeid kaitsevad. Mis juhtub pilveteenuses (nt AWS või Azure) "väljastatud" andmetega?? Kas see lihtsalt istub kettal, indekseerimata ja ootab ülekirjutamist või tehakse see enne teenuse saadaolevasse salvestusruumi naasmist kasutuskõlbmatuks muutmiseks läbi mingi "bitiseguri"? Tundub, et praegu ei tea keegi ega taha seda plaadil öelda.
Kohandage uuele reaalsusele
Peame arendama a pilvega ühilduv viis hävitamiseks, mis vastab DoD standarditele, või me peame lõpetama teesklemise ja kohandama oma standardeid selle uue reaalsusega.
Võib-olla saavad pilveteenuse pakkujad selle võimaluse pakkumiseks välja pakkuda teenuse, kuna ainult neil on otsene juurdepääs aluseks olevale riistvarale. Uute tasuliste teenuste väljamõtlemisega pole nad kunagi häbenenud ja kindlasti tahaksid paljud ettevõtted vastavate hävimistunnistuste olemasolul sellise teenuse eest tasuda. Tõenäoliselt oleks see odavam kui mõne sertifitseeritud füüsilise hävitamise teenuseid osutava ettevõtte tasud.
Amazon, Azure, Google ja kõik suuremad pilveteenused (isegi tarkvara kui teenusepakkujad) peavad nendele probleemidele vastama tõeliste vastustega, mitte segama ja turunduslikult rääkima. Seni teeskleme ja loodame, palvetades, et mõni geniaalne häkker ei leiaks, kuidas neile orvuks jäänud andmetele juurde pääseda, kui ta seda juba teinud pole. Mõlemal juhul tuleb esitada raskeid küsimusi pilvandmete hävitamise kohta ja neile tuleb vastata, pigem varem kui hiljem.
