ان دنوں، زیادہ تر بڑی کمپنیوں اور بہت سے درمیانے درجے کی کمپنیوں کے پاس ڈیٹا گورننس پروگرام کی کچھ شکل ہوتی ہے، جس میں عام طور پر ڈیٹا کو برقرار رکھنے اور تباہ کرنے کی پالیسیاں شامل ہوتی ہیں۔ وہ صارفین کے ڈیٹا پر بڑھتے ہوئے حملوں کی وجہ سے اور ریاستی اور قومی قوانین کی وجہ سے لازمی بن گئے ہیں جو کسٹمر کے ڈیٹا کے تحفظ کو لازمی قرار دیتے ہیں۔ "ہر چیز کو ہمیشہ کے لیے رکھو" کا پرانا ذہن بدل کر "اگر آپ کے پاس نہیں ہے تو آپ اس کی خلاف ورزی نہیں کر سکتے۔"
کچھ طریقوں سے، ڈیٹا کو برقرار رکھنے کی پالیسیوں کا انتظام کلاؤڈ میں لاگو کرنا آسان کبھی نہیں تھا۔ کلاؤڈ وینڈرز کے پاس اکثر آسان ٹیمپلیٹس اور کلک باکس کی ترتیبات ہوتی ہیں تاکہ آپ کا ڈیٹا مخصوص مدت تک برقرار رکھا جا سکے اور پھر اسے یا تو نیم آف لائن کولڈ ڈیجیٹل سٹوریج میں منتقل کر دیا جائے یا سیدھے بٹ بالٹی (ڈیلیٹ) میں لے جایا جائے۔ بس کلک کریں، ترتیب دیں، اور اگلی معلومات کی حفاظت کی ترجیح پر جائیں۔
صرف حذف پر کلک کریں؟
تاہم، میں ایک عجیب سوال پوچھنے جا رہا ہوں، جو کہ میرے ذہن میں تھوڑی دیر سے جل رہا ہے۔ ایک بار جب آپ "حذف کریں" پر کلک کرتے ہیں تو اس ڈیٹا کا واقعی کیا ہوتا ہے کلاؤڈ سروس پر؟ آن پریمیسس، ہارڈ ویئر کی دنیا میں، ہم سب جواب جانتے ہیں؛ یہ صرف اس ڈسک پر رجسٹرڈ ہو جائے گا جس پر یہ رہتی ہے۔ "حذف شدہ" ڈیٹا اب بھی ہارڈ ڈرائیو پر بیٹھا ہے، آپریٹنگ سسٹم کے نظارے سے چلا گیا ہے۔ جب جگہ کی ضرورت ہو تو اوور رائٹ ہونے کا انتظار. اسے صحیح معنوں میں مٹانے کے لیے، بے ترتیب زیرو اور والے بٹس کو اوور رائٹ کرنے کے لیے اضافی اقدامات یا خصوصی سافٹ ویئر کی ضرورت ہے۔ کچھ معاملات میں، حذف شدہ ڈیٹا کے فینٹم الیکٹرانک نشانات کو صحیح معنوں میں مٹانے کے لیے اسے متعدد بار کرنے کی ضرورت ہے۔
اور اگر آپ امریکی حکومت یا دیگر ریگولیٹڈ اداروں کے ساتھ کاروبار کرتے ہیں، تو آپ کو اس کی تعمیل کرنے کی ضرورت پڑ سکتی ہے۔ محکمہ دفاع کا معیار 5220.22-M، جس میں ٹھیکیداروں کے لیے ڈیٹا کی تباہی کی ضروریات کی تفصیلات شامل ہیں۔ یہ معمولات عام ہیں، چاہے ضابطوں کے لیے ضروری نہ ہوں۔ آپ ایسا ڈیٹا نہیں چاہتے ہیں جس کی آپ کو خلاف ورزی کی صورت میں آپ کو پریشان کرنے کے لیے مزید واپس آنے کی ضرورت نہیں ہے۔ ٹویچ گیم اسٹریمنگ سروس کی خلاف ورزی، جس میں ہیکرز بنیادی طور پر اس کے تمام ڈیٹا تک رسائی حاصل کرنے میں کامیاب ہوگئے تھے جو کمپنی کے آغاز سے تقریباً واپس جا رہے تھے - بشمول آمدنی اور اس کے اچھے معاوضے والے اسٹریمنگ کلائنٹس کے بارے میں دیگر ذاتی تفصیلات - یہاں ایک احتیاطی کہانی ہے، اس کے ساتھ ساتھ دیگر رپورٹس بھی۔ پچھلے کچھ سالوں میں لاوارث یا یتیم ڈیٹا فائلوں کی خلاف ورزی۔
تصدیق تک رسائی کا فقدان
لہذا، جب کہ پالیسیاں زیادہ تر کلاؤڈ سروسز بمقابلہ آن پریمیسس سرورز میں ترتیب دینا اور ان کا نظم کرنا آسان ہے، اس بات کی یقین دہانی کرانا کہ DoD کے معیار کے مطابق ٹھیک طریقے سے کیا گیا ہے، کلاؤڈ سروسز پر بہت مشکل یا ناممکن ہے۔ آپ کلاؤڈ انفراسٹرکچر پر ڈیٹا کی نچلی سطح کی ڈسک کو کیسے اوور رائٹ کرتے ہیں جہاں آپ کو بنیادی ہارڈ ویئر تک جسمانی رسائی نہیں ہے؟ جواب یہ ہے کہ آپ ایسا نہیں کر سکتے، کم از کم جس طرح سے ہم یہ کرتے تھے — سافٹ ویئر یوٹیلیٹیز یا فزیکل ڈسک ڈرائیو کی مکمل تباہی کے ساتھ۔ نہ ہی AWS، Azure، یا Google Cloud Services کوئی ایسا آپشن یا خدمات پیش کرتے ہیں جو ایسا کرتے ہیں، یہاں تک کہ ان کی مخصوص مثالوں پر بھی نہیں، جو علیحدہ ہارڈ ویئر پر چلتی ہیں۔ آپ کے پاس اس تک رسائی کی سطح کی ضرورت نہیں ہے۔
بڑی سروسز تک رسائی کو یا تو نظر انداز کیا گیا یا اس کا جواب عام بیانات کے ساتھ دیا گیا کہ وہ آپ کے ڈیٹا کی حفاظت کیسے کرتی ہیں۔ AWS یا Azure جیسی کلاؤڈ سروس میں "ریلیز" ہونے والے ڈیٹا کا کیا ہوتا ہے۔? کیا یہ محض ایک ڈسک پر بیٹھا ہے، نان انڈیکسڈ ہے اور اوور رائٹ ہونے کا انتظار کر رہا ہے، یا سروس پر دستیاب اسٹوریج پر واپس جانے سے پہلے اسے ناقابل استعمال بنانے کے لیے کسی قسم کے "بٹ بلینڈر" کے ذریعے ڈالا گیا ہے؟ کوئی بھی، اس وقت، ریکارڈ پر جاننے یا کہنے کو تیار نظر نہیں آتا۔
نئی حقیقت کو ایڈجسٹ کریں۔
ہمیں ایک ترقی کرنی چاہیے۔ تباہی کرنے کا کلاؤڈ سے مطابقت رکھنے والا طریقہ جو DoD کے معیارات پر پورا اترتا ہے، یا ہمیں دکھاوا کرنا چھوڑ دینا چاہیے اور اپنے معیارات کو اس نئی حقیقت کے مطابق ایڈجسٹ کرنا چاہیے۔
ہو سکتا ہے کہ کلاؤڈ فراہم کرنے والے اس صلاحیت کو فراہم کرنے کے لیے کوئی سروس لے کر آسکیں، کیونکہ صرف ان کے پاس بنیادی ہارڈ ویئر تک براہ راست رسائی ہے۔ وہ چارج کرنے کے لیے نئی خدمات ایجاد کرنے میں کبھی شرمندہ نہیں ہوئے، اور یقیناً بہت سی کمپنیاں ایسی سروس کی ادائیگی کے لیے بے چین ہوں گی، اگر تباہی کے مناسب سرٹیفکیٹ فراہم کیے جائیں۔ یہ ممکنہ طور پر مصدقہ جسمانی تباہی کی خدمات فراہم کرنے والی کچھ کمپنیوں کے ذریعہ وصول کی جانے والی فیس سے سستا ہوگا۔
Amazon، Azure، Google، اور کوئی بھی بڑی کلاؤڈ سروس (حتی کہ سافٹ ویئر بطور سروس فراہم کرنے والے) کو بھی ان مسائل کو حقیقی جوابات کے ساتھ حل کرنے کی ضرورت ہے، نہ کہ ابہام اور مارکیٹنگ کی باتوں سے۔ اس وقت تک، ہم صرف دکھاوا اور امید کرتے رہیں گے، دعا کرتے ہوئے کہ کچھ شاندار ہیکر یہ نہیں سمجھ پا رہے ہیں کہ اس یتیم ڈیٹا تک کیسے رسائی حاصل کی جائے، اگر ان کے پاس پہلے سے موجود نہیں ہے۔ کسی بھی طرح، کلاؤڈ ڈیٹا کی تباہی پر سخت سوالات پوچھے جانے اور جواب دینے کی ضرورت ہے۔، جلد کی بجائے بعد میں۔
