Nykyään useimmilla suurilla yrityksillä ja monilla keskisuurilla yrityksillä on jonkinlainen tiedonhallintaohjelma, joka sisältää tyypillisesti tietojen säilyttämistä ja tuhoamista koskevat käytännöt. Ne ovat tulleet välttämättömiksi asiakastietoihin kohdistuvien lisääntyvien hyökkäysten sekä myös valtion ja kansallisten lakien, jotka edellyttävät asiakastietojen suojaamista. Vanha ajatusmalli "Pidä kaikki, ikuisesti" on muuttunut muotoon "Jos sinulla ei ole sitä, et voi rikkoa sitä".
Tietyillä tavoilla tietojen säilyttämiskäytäntöjen hallinta ei ole koskaan ollut helpompaa toteuttaa pilvessä. Pilvipalveluntarjoajilla on usein helppoja malleja ja napsautusruutuasetuksia säilyttääkseen tietosi tietyn ajan ja siirtämällä ne sitten lähes offline-tilaan kylmään digitaaliseen tallennustilaan tai suoraan bittiämpäriin (poisto). Napsauta, määritä ja siirry seuraavaan tietoturvaprioriteettiin.
Napsauta vain Poista?
Esitän kuitenkin kiusallisen kysymyksen, joka on polttanut mielessäni jo jonkin aikaa. Mitä näille tiedoille todella tapahtuu, kun napsautat "poista" pilvipalvelussa? Paikallisessa laitteistomaailmassa me kaikki tiedämme vastauksen. se yksinkertaisesti poistettaisiin levyltä, jolla se sijaitsee. "Poistetut" tiedot ovat edelleen kiintolevyllä, poistuneet käyttöjärjestelmänäkymästä ja odottaa päällekirjoittamista, kun tilaa tarvitaan. Sen poistamiseksi todella tarvitaan ylimääräisiä vaiheita tai erikoisohjelmistoa bittien korvaamiseksi satunnaisilla nolilla ja ykkösillä. Joissakin tapauksissa tämä on tehtävä useita kertoja, jotta poistettujen tietojen haamuelektroniset jäljet voidaan todella pyyhkiä pois.
Ja jos harjoitat liiketoimintaa Yhdysvaltain hallituksen tai muiden säänneltyjen tahojen kanssa, sinua voidaan vaatia noudattamaan Puolustusministeriön standardi 5220.22-M, joka sisältää yksityiskohtia urakoitsijoiden tietojen tuhoamisvaatimuksista. Nämä käytännöt ovat yleisiä, vaikka säännökset eivät sitä edellytä. Et halua tietojen, joita et enää tarvitse, palaavan vainoamaan sinua tietomurron sattuessa. Twitch-pelien suoratoistopalvelun rikkominen, jossa hakkerit pääsivät käsiksi periaatteessa kaikkiin sen tietoihin lähes yrityksen perustamisesta asti – mukaan lukien tulot ja muut henkilötiedot sen hyvin palkatuista suoratoisto-asiakkaista – on tässä varoittava tarina muiden raporttien ohella. hylättyjen tai orvoiksi jääneiden tiedostojen rikkomukset muutaman viime vuoden aikana.
Vahvistamismahdollisuuden puute
Vaikka käytäntöjä on helpompi asettaa ja hallita useimmissa pilvipalveluissa verrattuna paikallisiin palvelimiin, sen varmistaminen, että se tehdään oikein DoD-standardin mukaisesti, on paljon vaikeampaa tai mahdotonta pilvipalveluissa. Kuinka teet matalan tason levyn tietojen päällekirjoituksen pilviinfrastruktuurissa, jos sinulla ei ole fyysistä pääsyä taustalla olevaan laitteistoon? Vastaus on, että et voi tehdä sitä ainakaan samalla tavalla kuin meillä oli tapana - apuohjelmilla tai fyysisen levyaseman tuhoamalla. Kumpikaan AWS, Azure tai Google Cloud Services eivät tarjoa vaihtoehtoja tai palveluita, jotka tekevät tämän, eivät edes niille omistetuissa tapauksissa, jotka toimivat erillisellä laitteistolla. Sinulla ei yksinkertaisesti ole tarvittavaa käyttöoikeustasoa sen tekemiseen.
Pääpalveluiden tavoittaminen joko jätettiin huomiotta tai siihen vastattiin yleisillä lausunnoilla siitä, kuinka ne suojaavat tietojasi. Mitä tapahtuu datalle, joka "vapautetaan" pilvipalvelussa, kuten AWS tai Azure? Onko se yksinkertaisesti levyllä, indeksoimattomana ja odottaa päällekirjoittamista, vai laitetaanko se jonkinlaisen "bittisekoittimen" läpi käyttökelvottomaksi tekemiseksi ennen kuin se palautetaan palvelun käytettävissä olevaan tallennustilaan? Kukaan ei tässä vaiheessa näytä tietävän tai haluavan sanoa levyllä.
Sopeudu uuteen todellisuuteen
Meidän on kehitettävä a pilviyhteensopiva tapa tehdä tuhoa, joka täyttää DoD-standardit, tai meidän on lopetettava teeskentely ja mukautettava standardimme tähän uuteen todellisuuteen.
Ehkä pilvipalveluntarjoajat voivat tarjota palvelun tämän ominaisuuden tarjoamiseksi, koska vain heillä on suora pääsy taustalla olevaan laitteistoon. He eivät ole koskaan uskaltaneet keksiä uusia maksullisia palveluita, ja varmasti monet yritykset olisivat innokkaita maksamaan tällaisesta palvelusta, jos asianmukaiset tuhoamistodistukset toimitettaisiin. Se olisi todennäköisesti halvempaa kuin joidenkin sertifioituja fyysisiä tuhoamispalveluita tarjoavien yritysten perimät maksut.
Amazonin, Azuren, Googlen ja kaikkien suurten pilvipalveluiden (jopa ohjelmiston palveluntarjoajien) on ratkaistava nämä ongelmat oikeilla vastauksilla, ei hämärän ja markkinointipuheen avulla. Siihen asti teeskentelemme ja toivomme ja rukoilemme, että joku loistava hakkeri ei keksi, kuinka päästä käsiksi näihin orpotietoihin, jos he eivät ole jo tehneet sitä. Joka tapauksessa, vaikeita kysymyksiä pilvitietojen tuhoamisesta on esitettävä ja niihin on vastattava, mielummin aikaisemmin kuin myöhemmin.
- blockchain
- cryptocurrency-lompakot
- cryptoexchange
- tietoverkkoturvallisuus
- verkkorikollisille
- tietoverkkojen
- Pimeää luettavaa
- sisäisen turvallisuuden osasto
- digitaaliset lompakot
- palomuuri
- Kaspersky
- haittaohjelmat
- McAfee
- NexBLOC
- Platon
- plato ai
- Platonin tietotieto
- Platon peli
- PlatonData
- platopeliä
- VPN
- verkkosivuilla turvallisuus
