В наши дни большинство крупных компаний и многие компании среднего размера имеют ту или иную форму программы управления данными, обычно включающую политику хранения и уничтожения данных. Они стали обязательными из-за участившихся атак на данные клиентов, а также государственных и национальных законов, требующих защиты данных клиентов. Старая установка «Храните все навсегда» изменилась на «Если у вас этого нет, вы не сможете это взломать».
В некотором смысле, управление политиками хранения данных никогда не было проще реализовать в облаке. Поставщики облачных услуг часто предлагают простые шаблоны и настройки клик-бокса, позволяющие хранить ваши данные в течение определенного периода, а затем либо перемещать их в квазиавтономное холодное цифровое хранилище, либо прямо в битовую корзину (удаление). Просто нажмите, настройте и перейдите к следующему приоритету информационной безопасности.
Просто нажать «Удалить»?
Однако я собираюсь задать неловкий вопрос, который уже давно не дает мне покоя. Что на самом деле происходит с этими данными, когда вы нажимаете «удалить» в облачном сервисе? В локальном аппаратном мире мы все знаем ответ; его регистрация будет просто отменена на диске, на котором он находится. «Удаленные» данные по-прежнему находятся на жестком диске и исчезли из поля зрения операционной системы. ожидание перезаписи, когда потребуется место. Чтобы действительно стереть его, необходимы дополнительные шаги или специальное программное обеспечение, чтобы перезаписать биты случайными нулями и единицами. В некоторых случаях это необходимо сделать несколько раз, чтобы действительно стереть фантомные электронные следы удаленных данных.
А если вы ведете бизнес с правительством США или другими регулируемыми организациями, от вас могут потребовать соблюдения Стандарт Министерства обороны 5220.22-М, который содержит подробные сведения о требованиях к уничтожению данных для подрядчиков. Такая практика является общепринятой, даже если она не требуется нормативными актами. Вы не хотите, чтобы данные, которые вам больше не нужны, возвращались и преследовали вас в случае взлома. Взлом сервиса потоковой передачи игр Twitch, в котором хакеры смогли получить доступ практически ко всем ее данным, начиная почти с момента основания компании, включая доходы и другие личные данные о ее хорошо оплачиваемых клиентах потокового вещания, является здесь предостерегающей историей, наряду с сообщениями о других взломы заброшенных или бесхозных файлов данных за последние несколько лет.
Отсутствие доступа для проверки
Таким образом, хотя политики проще устанавливать и управлять ими в большинстве облачных сервисов по сравнению с локальными серверами, обеспечить их правильное выполнение в соответствии со стандартами Министерства обороны гораздо сложнее или невозможно в облачных сервисах. Как выполнить низкоуровневую перезапись данных на диске в облачной инфраструктуре, где у вас нет физического доступа к базовому оборудованию? Ответ в том, что нельзя, по крайней мере, так, как мы привыкли — с помощью программных утилит или полного уничтожения физического диска. Ни AWS, ни Azure, ни Google Cloud Services не предлагают никаких опций или сервисов, которые могли бы сделать это, даже в своих выделенных экземплярах, которые работают на отдельном оборудовании. У вас просто нет необходимого уровня доступа для этого.
Обращение к основным службам либо игнорировалось, либо отвечало общими заявлениями о том, как они защищают ваши данные. Что происходит с данными, которые «выпускаются» в облачном сервисе, таком как AWS или Azure?? Он просто находится на диске, неиндексирован и ожидает перезаписи, или он проходит через какой-то «битовый блендер», чтобы сделать его непригодным для использования, прежде чем вернуть его в доступное хранилище службы? На данный момент никто, похоже, не знает и не желает сказать об этом официально.
Приспособьтесь к новой реальности
Мы должны разработать облачно-совместимый способ разрушения, соответствующий стандартам Министерства обороны, или мы должны прекратить притворяться и адаптировать наши стандарты к этой новой реальности.
Возможно, поставщики облачных услуг смогут предложить услугу, обеспечивающую такую возможность, поскольку только они имеют прямой доступ к базовому оборудованию. Они никогда не стеснялись изобретать новые услуги, за которые можно взимать плату, и, конечно, многие компании были бы готовы платить за такую услугу, если бы были предоставлены соответствующие сертификаты об уничтожении. Вероятно, это будет дешевле, чем плата, взимаемая некоторыми компаниями, предоставляющими сертифицированные услуги по физическому уничтожению.
Amazon, Azure, Google и любой крупный облачный сервис (даже поставщики программного обеспечения как услуги) должны решать эти проблемы, предлагая реальные ответы, а не запутывание и маркетинговые разговоры. А до тех пор мы будем просто притворяться и надеяться, молясь, чтобы какой-нибудь блестящий хакер не придумал, как получить доступ к этим потерянным данным, если он еще этого не сделал. В любом случае, необходимо задать сложные вопросы об уничтожении облачных данных и получить на них ответы, лучше раньше, чем позже.
- блокчейн
- кошельки с криптовалютами
- cryptoexchange
- информационная безопасность
- киберпреступники
- Информационная безопасность
- Темное чтение
- Департамент внутренней безопасности
- цифровые кошельки
- брандмауэр
- Kaspersky
- вредоносных программ
- Mcafee
- НексБЛОК
- Платон
- Платон Ай
- Платон Интеллектуальные данные
- Платон игра
- ПлатонДанные
- платогейминг
- VPN
- безопасности веб-сайтов