În zilele noastre, majoritatea companiilor mari și multe dintre cele mijlocii au o formă de program de guvernare a datelor, care include de obicei politici pentru păstrarea și distrugerea datelor. Acestea au devenit un imperativ din cauza atacurilor tot mai mari asupra datelor clienților și, de asemenea, a legilor de stat și naționale care impun protecția datelor clienților. Vechiul set de gândire „Păstrează totul, pentru totdeauna” s-a schimbat în „Dacă nu îl ai, nu îl poți încălca”.
În anumite privințe, gestionarea politicilor de păstrare a datelor nu a fost niciodată mai ușor de implementat în cloud. Furnizorii de cloud au adesea șabloane ușoare și setări de casete de clic pentru a vă păstra datele pentru o anumită perioadă și apoi fie mutați-le în stocarea digitală la rece cvasi-offline, fie direct în compartimentul de biți (ștergere). Doar faceți clic, configurați și treceți la următoarea prioritate de securitate a informațiilor.
Doar faceți clic pe Șterge?
Totuși, o să pun o întrebare incomodă, una care îmi arde în minte de ceva vreme. Ce se întâmplă cu adevărat cu acele date odată ce faceți clic pe „Ștergeți” pe un serviciu cloud? În lumea hardware-ului local, știm cu toții răspunsul; ar fi pur și simplu anulat pe discul pe care se află. Datele „șterse” încă se află pe hard disk, au dispărut din vizualizarea sistemului de operare și așteaptă să fie suprascris când este nevoie de spațiu. Pentru a-l șterge cu adevărat, sunt necesari pași suplimentari sau software special pentru a suprascrie biții cu zerouri și unuuri aleatorii. În unele cazuri, acest lucru trebuie făcut de mai multe ori pentru a șterge cu adevărat urmele electronice fantomă ale datelor șterse.
Și dacă faceți afaceri cu guvernul SUA sau cu alte entități reglementate, vi se poate cere să respectați Standardul Departamentului de Apărare 5220.22-M, care conține detalii privind cerințele de distrugere a datelor pentru contractori. Aceste practici sunt comune, chiar dacă nu sunt cerute de reglementări. Nu doriți ca datele de care nu mai aveți nevoie să revină pentru a vă bântui în cazul unei încălcări. Încălcarea serviciului de streaming de jocuri Twitch, în care hackerii au reușit să obțină acces la practic toate datele sale începând aproape de la înființarea companiei - inclusiv veniturile și alte detalii personale despre clienții săi de streaming bine plătiți - este o poveste de avertizare aici, împreună cu rapoartele altor încălcări ale fișierelor de date abandonate sau orfane în ultimii ani.
Lipsa accesului la Verificare
Așadar, deși politicile sunt mai ușor de setat și gestionat în majoritatea serviciilor cloud față de serverele locale, asigurarea faptului că este realizată în mod corespunzător conform standardului DoD este mult mai dificilă sau imposibilă pentru serviciile cloud. Cum faci o suprascriere de disc la nivel scăzut a datelor pe infrastructura cloud unde nu ai acces fizic la hardware-ul de bază? Răspunsul este că nu poți, cel puțin nu așa cum o făceam noi - cu utilitare software sau distrugerea completă a unității de disc fizice. Nici AWS, Azure sau Google Cloud Services nu oferă opțiuni sau servicii care să facă acest lucru, nici măcar pe instanțele lor dedicate, care rulează pe hardware separat. Pur și simplu nu aveți nivelul de acces necesar pentru a face acest lucru.
Relația către serviciile majore fie a fost ignorată, fie a primit răspuns cu declarații generice despre modul în care vă protejează datele. Ce se întâmplă cu datele care sunt „eliberate” într-un serviciu cloud, cum ar fi AWS sau Azure? Este pur și simplu așezat pe un disc, neindexat și așteaptă să fie suprascris sau este trecut printr-un fel de „mix blender” pentru a-l face inutilizabil înainte de a fi returnat la spațiul de stocare disponibil al serviciului? Nimeni, în acest moment, nu pare să știe sau să fie dispus să spună în înregistrare.
Adaptați-vă la Noua Realitate
Trebuie să dezvoltăm o mod compatibil cu cloud-ul de a face distrugeri care îndeplinește standardele DoD sau trebuie să încetăm să ne prefacem și să ne adaptăm standardele la această nouă realitate.
Poate că furnizorii de cloud pot veni cu un serviciu care să ofere această capacitate, deoarece numai ei au acces direct la hardware-ul de bază. Nu s-au sfiit niciodată să inventeze noi servicii pentru care să plătească și, cu siguranță, multe companii ar fi dornice să plătească pentru un astfel de serviciu, dacă s-ar furniza certificatele de distrugere corespunzătoare. Ar fi probabil mai ieftin decât taxele percepute de unele dintre companiile care oferă servicii certificate de distrugere fizică.
Amazon, Azure, Google și orice serviciu major de cloud (chiar și furnizorii de software ca serviciu) trebuie să abordeze aceste probleme cu răspunsuri reale, nu ofuscare și vorbire de marketing. Până atunci, ne vom preface și sperăm, rugându-ne că un hacker genial nu își dă seama cum să acceseze aceste date orfane, dacă nu au făcut-o deja. Oricum ar fi, întrebări dificile despre distrugerea datelor din cloud trebuie puse și răspunsuri, mai devreme decât mai târziu.
- blockchain
- portofele de criptare
- criptoschimb
- securitate cibernetică
- cybercriminals
- Securitate cibernetică
- Lectură întunecată
- Departamentul de Securitate Națională
- portofele digitale
- firewall
- Kaspersky
- malware
- McAfee
- NexBLOC
- Plato
- platoul ai
- Informații despre date Platon
- Jocul lui Platon
- PlatoData
- platogaming
- VPN
- securitatea site-ului
