Obecnie większość dużych firm i wiele średnich ma jakąś formę programu zarządzania danymi, zazwyczaj obejmującego zasady przechowywania i niszczenia danych. Stały się koniecznością ze względu na coraz częstsze ataki na dane klientów, a także stanowe i krajowe przepisy nakazujące ochronę danych klientów. Stary sposób myślenia „Zachowaj wszystko na zawsze” zmienił się na „Jeśli czegoś nie masz, nie możesz tego naruszyć”.
Pod pewnymi względami zarządzanie zasadami przechowywania danych nigdy nie było łatwiejsze do wdrożenia w chmurze. Dostawcy chmury często mają łatwe szablony i ustawienia kliknięć, aby przechowywać dane przez określony czas, a następnie albo przenieść je do zimnej pamięci cyfrowej quasi-offline, albo bezpośrednio do zasobnika bitów (usunięcie). Wystarczy kliknąć, skonfigurować i przejść do następnego priorytetu bezpieczeństwa informacji.
Po prostu kliknij Usuń?
Jednak zadam niezręczne pytanie, które od jakiegoś czasu płonie w mojej głowie. Co naprawdę dzieje się z tymi danymi po kliknięciu „usuń” w usłudze w chmurze? W świecie sprzętu lokalnego wszyscy znamy odpowiedź; zostałby po prostu wyrejestrowany z dysku, na którym się znajduje. „Usunięte” dane nadal znajdują się na dysku twardym, zniknęły z widoku systemu operacyjnego i czekając na nadpisanie, gdy potrzebne jest miejsce. Aby naprawdę go wymazać, potrzebne są dodatkowe kroki lub specjalne oprogramowanie do zastąpienia bitów losowymi zerami i jedynkami. W niektórych przypadkach należy to zrobić wiele razy, aby naprawdę usunąć widmowe elektroniczne ślady usuniętych danych.
A jeśli prowadzisz interesy z rządem USA lub innymi podmiotami regulowanymi, możesz być zobowiązany do przestrzegania Norma Departamentu Obrony 5220.22-M, który zawiera szczegółowe informacje na temat wymagań dotyczących niszczenia danych przez kontrahentów. Praktyki te są powszechne, nawet jeśli nie są wymagane przez przepisy. Nie chcesz, aby dane, których już nie potrzebujesz, wracały i prześladowały Cię w przypadku naruszenia. Naruszenie usługi przesyłania strumieniowego gier Twitch, w którym hakerzy byli w stanie uzyskać dostęp do praktycznie wszystkich swoich danych sięgających niemal samego początku istnienia firmy – w tym dochodów i innych danych osobowych dotyczących dobrze opłacanych klientów transmisji strumieniowej – jest tutaj przestrogą, podobnie jak doniesienia o innych naruszeń porzuconych lub osieroconych plików danych w ciągu ostatnich kilku lat.
Brak dostępu do weryfikacji
Tak więc, podczas gdy zasady są łatwiejsze do ustawienia i zarządzania w większości usług w chmurze w porównaniu z serwerami lokalnymi, upewnienie się, że są one prawidłowo wykonane zgodnie ze standardem DoD, jest znacznie trudniejsze lub niemożliwe w przypadku usług w chmurze. Jak przeprowadzić niskopoziomowe nadpisywanie danych na dysku w infrastrukturze chmurowej, gdy nie masz fizycznego dostępu do bazowego sprzętu? Odpowiedź jest taka, że nie można, przynajmniej nie w taki sposób, w jaki robiliśmy to kiedyś — za pomocą narzędzi programowych lub całkowitego zniszczenia fizycznego dysku. Ani AWS, Azure ani Google Cloud Services nie oferują żadnych opcji ani usług, które to umożliwiają, nawet w ich dedykowanych instancjach, które działają na osobnym sprzęcie. Po prostu nie masz wymaganego poziomu dostępu, aby to zrobić.
Kontakty z głównymi usługami albo zostały zignorowane, albo odpowiedziały ogólnymi oświadczeniami o tym, jak chronią twoje dane. Co dzieje się z danymi, które są „uwalniane” w usłudze chmurowej, takiej jak AWS lub Azure? Czy po prostu znajduje się na dysku, nieindeksowany i czeka na nadpisanie, czy też jest poddawany przez jakiś „mikser bitów”, aby uczynić go bezużytecznym przed powrotem do dostępnej pamięci w usłudze? Wydaje się, że w tej chwili nikt nie wie ani nie chce powiedzieć tego w protokole.
Dostosuj się do nowej rzeczywistości
Musimy opracować A kompatybilny z chmurą sposób dokonywania zniszczeń, który spełnia standardy DoD, albo musimy przestać udawać i dostosować nasze standardy do tej nowej rzeczywistości.
Być może dostawcy chmury mogą zaproponować usługę zapewniającą taką możliwość, ponieważ tylko oni mają bezpośredni dostęp do bazowego sprzętu. Nigdy nie wstydzili się wymyślać nowych usług za opłatą iz pewnością wiele firm byłoby skłonnych zapłacić za taką usługę, gdyby zostały dostarczone odpowiednie certyfikaty zniszczenia. Byłoby to prawdopodobnie tańsze niż opłaty pobierane przez niektóre firmy świadczące certyfikowane usługi niszczenia fizycznego.
Amazon, Azure, Google i każda większa usługa w chmurze (nawet dostawcy oprogramowania jako usługi) muszą rozwiązywać te problemy za pomocą prawdziwych odpowiedzi, a nie zaciemniania i marketingowej mowy. Do tego czasu będziemy po prostu udawać i mieć nadzieję, modląc się, by jakiś genialny haker nie wymyślił, jak uzyskać dostęp do tych osieroconych danych, jeśli jeszcze tego nie zrobił. Tak czy siak, trzeba zadać trudne pytania dotyczące niszczenia danych w chmurze i odpowiedzieć na nie, raczej wcześniej niż później.
- blockchain
- portfele kryptowalutowe
- krypto-wymiana
- bezpieczeństwo cybernetyczne
- cyberprzestępcy
- Bezpieczeństwo cybernetyczne
- Mroczne czytanie
- Departament Bezpieczeństwa Wewnętrznego
- cyfrowe portfele
- zapora
- Kaspersky
- malware
- Mcafee
- NexBLOC
- plato
- Platon Ai
- Analiza danych Platona
- Gra Platona
- PlatoDane
- platogaming
- VPN
- zabezpieczenia stron internetowych
