Al giorno d’oggi, la maggior parte delle grandi aziende e molte di medie dimensioni dispongono di una qualche forma di programma di governance dei dati, che in genere include politiche per la conservazione e la distruzione dei dati. Sono diventati un imperativo a causa dei crescenti attacchi ai dati dei clienti e anche delle leggi statali e nazionali che impongono la protezione dei dati dei clienti. La vecchia mentalità “Mantieni tutto, per sempre” è cambiata in “Se non ce l’hai, non puoi violarla”.
In un certo senso, la gestione delle policy di conservazione dei dati non è mai stata così semplice da implementare nel cloud. I fornitori di cloud spesso dispongono di modelli semplici e impostazioni di selezione per conservare i dati per un periodo specifico e quindi spostarli nell'archiviazione digitale fredda quasi offline o direttamente nel bit bucket (eliminazione). Basta fare clic, configurare e passare alla successiva priorità di sicurezza delle informazioni.
Basta fare clic su Elimina?
Tuttavia, farò una domanda imbarazzante, che mi ronza nella mente da un po'. Cosa succede realmente a quei dati dopo aver fatto clic su "Elimina" su un servizio cloud? Nel mondo dell'hardware locale, conosciamo tutti la risposta; verrebbe semplicemente cancellato dalla registrazione sul disco su cui risiede. I dati "cancellati" si trovano ancora sul disco rigido, scomparsi dalla vista del sistema operativo e in attesa di essere sovrascritto quando lo spazio è necessario. Per cancellarlo veramente, sono necessari passaggi aggiuntivi o un software speciale per sovrascrivere i bit con zero e uno casuali. In alcuni casi, è necessario farlo più volte per cancellare veramente le tracce elettroniche fantasma dei dati cancellati.
E se fai affari con il governo degli Stati Uniti o con altri enti regolamentati, potresti essere tenuto a rispettarli Standard del Dipartimento della Difesa 5220.22-M, che contiene specifiche sugli obblighi di distruzione dei dati per gli appaltatori. Queste pratiche sono comuni, anche se non richieste dalle normative. Non vuoi che dati di cui non hai più bisogno tornino a perseguitarti in caso di violazione. La violazione del servizio di streaming di giochi Twitch, in cui gli hacker sono riusciti ad accedere praticamente a tutti i dati risalenti fin quasi alla nascita dell'azienda (compresi i redditi e altri dettagli personali sui suoi clienti di streaming ben pagati) è un avvertimento qui, insieme a segnalazioni di altri violazioni di archivi di dati abbandonati o orfani negli ultimi anni.
Mancanza di accesso per la verifica
Pertanto, mentre le policy sono più facili da impostare e gestire nella maggior parte dei servizi cloud rispetto ai server locali, garantire che siano eseguite correttamente secondo lo standard DoD è molto più difficile o impossibile sui servizi cloud. Come si esegue una sovrascrittura del disco di basso livello dei dati sull'infrastruttura cloud in cui non si ha accesso fisico all'hardware sottostante? La risposta è che non è possibile, almeno non nel modo in cui lo facevamo in passato, ovvero con utilità software o distruzione totale dell'unità disco fisica. Né AWS, Azure o Google Cloud Services offrono opzioni o servizi che facciano questo, nemmeno sulle loro istanze dedicate, che funzionano su hardware separato. Semplicemente non hai il livello di accesso necessario per farlo.
Il coinvolgimento dei principali servizi è stato ignorato o si è risposto con dichiarazioni generiche su come proteggono i tuoi dati. Cosa succede ai dati che vengono "rilasciati" in un servizio cloud come AWS o Azure? Si trova semplicemente su un disco, non indicizzato e in attesa di essere sovrascritto, oppure viene sottoposto a una sorta di "bit blender" per renderlo inutilizzabile prima di essere restituito allo spazio di archiviazione disponibile sul servizio? Nessuno, a questo punto, sembra saperlo o essere disposto a dirlo pubblicamente.
Adattarsi alla nuova realtà
Dobbiamo sviluppare a modo compatibile con il cloud di fare distruzione che soddisfi gli standard DoD, altrimenti dobbiamo smettere di fingere e adattare i nostri standard a questa nuova realtà.
Forse i fornitori di servizi cloud possono proporre un servizio per fornire questa funzionalità, poiché solo loro hanno accesso diretto all’hardware sottostante. Non sono mai stati timidi nell’inventare nuovi servizi a pagamento, e sicuramente molte aziende sarebbero disposte a pagare per tale servizio, se fossero forniti gli appropriati certificati di distruzione. Probabilmente sarebbe più economico delle tariffe addebitate da alcune delle società che forniscono servizi certificati di distruzione fisica.
Amazon, Azure, Google e tutti i principali servizi cloud (anche i fornitori di software come servizio) devono affrontare questi problemi con risposte reali, non con offuscamento e chiacchiere di marketing. Fino ad allora, faremo solo finta e speranza, pregando che qualche brillante hacker non riesca a capire come accedere a questi dati orfani, se non lo ha già fatto. In ogni caso, il è necessario porre e rispondere a domande difficili sulla distruzione dei dati nel cloud, prima piuttosto che dopo.
- blockchain
- portafogli di criptovaluta
- cryptoexchange
- sicurezza informatica
- i criminali informatici
- Cybersecurity
- Lettura oscura
- Dipartimento di Sicurezza Nazionale
- portafogli digitali
- firewall
- Kaspersky
- il malware
- Mcafee
- NextBLOC
- Platone
- platone ai
- Platone Data Intelligence
- Gioco di Platone
- PlatoneDati
- gioco di plato
- VPN
- sicurezza del sito Web
