Πριν λίγο καιρό ο γκουρού KIMDOTCOM ανέβασε στο twitter ένα post στο οποίο ρωτούσε αν μπορεί να νιώθει κάποιος πιο ασφαλής εάν δημιουργηθούν links μιας χρήσης και ένα νέο σύστημα χωρίς IP. Η συζήτηση που προκάλεσε έδειξε ότι αυτή τη στιγμή δεν υπάρχει απάντηση σε κάτι ανάλογο, μολονότι κάποιες εφαρμογές είναι κοντά στο «μεγάλο βήμα». Ο ίδιος ο KIMDOTCOM είχε προκαλέσει πάλι αίσθηση όταν σε μια διαδικασία ανταλλαγής απόψεων με άλλους experts προέβαλε τη θέση ότι η προστασία της ιδιωτικότητας μπορεί και να ωφελήσει αυτόν που παραβιάζει ένα copyright. Ερωτήσεις ασφαλείας που πρέπει να απαντηθούν πριν δεσμευτείτε σε κάποιο σύννεφο Η αξιοποίηση του cloud computing δεν θα είναι ικανοποιητικού βαθμού έως ότου οι περισσότεροι πωλητές και χρήστες κατανοήσουν πλήρως τις απαιτήσεις ασφαλείας. 1 / 6
Γι αυτό θα πρέπει αυτές οι βασικές απαιτήσεις να τεθούν ως προτεραιότητα. Εάν κάποιος πάροχος δεν μπορεί να απαντήσει στις ερωτήσεις αυτές, τότε καλό είναι να αναζητηθεί άμεσα άλλος πάροχος cloud. Πώς θα διασφαλισθούν τα προσωπικά δεδομένα μου; Η ενεργητική ασφάλεια είναι σημαντική όταν συμπεριλαμβάνει εντεταλμένο προσωπικό, επιτήρηση μέσω βίντεο, άμεση ανίχνευση εισβολέων, θωρακισμένη πύλη και απόδειξη παρουσίας αυτού του τύπου οργάνωσης. Κατά την εξέταση των απαιτήσεων, είναι σημαντικό να γνωρίζουμε ότι η εξ αποστάσεως παραβιάσεις δεδομένων ( δηλαδή, αυτών που προέρχονται από εξωτερικές πηγές μέσω του δικτύου ) είναι σπανιότερες από εσωτερικές παραβιάσεις δεδομένων που διαπράττονται από υπαλλήλους. Για παράδειγμα, ένας δυσαρεστημένος εργαζόμενος μπορεί να αποφασίσει να κλέψει εταιρικά δεδομένα για εκδίκηση ή για κέρδος. Παραβίαση μπορεί να συμβεί όταν ένας επιμελής εργαζόμενος απολέσει δεδομένα επειδή ο φορητός υπολογιστής του έχει κλαπεί. Πώς είναι κρυπτογραφημένα δεδομένα μου; Πολύ πιο σημαντικό από ό, τι η φυσική ασφάλεια είναι η κρυπτογράφηση των δεδομένων και πώς ο πάροχος αξιοποιεί την προστασία των δεδομένων σας. Εάν τα δεδομένα σας είναι κρυπτογραφημένα με ασφάλεια, θα πρέπει να είναι διασφαλισμένα σε άλλο χώρο αποθήκευσης τα κλειδιά αποκρυπτογράφησης. Που θα αποθηκευτούν τα δεδομένα μου; Ψάξτε για σαφή αναφορά από τον προμηθευτή σας, πού αποθηκεύει (ακόμη και γεωγραφικά) και πώς χειρίζεται την αποθήκευση των δεδομένων. Για τις επιχειρήσεις που δραστηριοποιούνται στις ΗΠΑ, τον Καναδά ή την Ευρώπη, υπάρχουν μια σειρά από κανονιστικές απαιτήσεις και πρότυπα σε ισχύ, συμπεριλαμβανομένου του ISO 27002, Safe Harbor, ITIL και COBIT. 2 / 6
Ποιες επενδύσεις γίνονται για την ασφάλεια των δεδομένων μου; Το επίπεδο των επενδύσεων του παρόχου στην «ασφάλεια» είναι σημαντικό. Οι υπάλληλοι του παρόχου είναι εκπαιδευμένο και εξειδικευμένο προσωπικό σε θέματα ασφάλειας και κρυπτογράφησης; Η οργάνωση της εταιρείας του παρόχου έχει την τεχνολογία για να ανιχνεύσει αν ο λογαριασμός σας είναι υπό επίθεση? Για παράδειγμα, τι είδους τεχνολογία ανίχνευσης εισβολής δίκτυο χρησιμοποιούν; Ποιοι είναι οι χρόνοι ανταπόκρισης σε περίπτωση επίθεσης; Το cloud computing επιτρέπει στις εταιρείες να επικεντρωθούν στην οικοδόμηση εφαρμογών, αντί να αφοσιώνονται στην αποθήκευση υλικού. Οι πάροχοι στο σύννεφο προσλαμβάνουν τους κορυφαίους επαγγελματίες της ασφάλειας από όλο τον κόσμο. Οι επαγγελματίες της ασφάλειας που χρησιμοποιούνται από τον προμηθευτή που θα επιλέξετε θα πρέπει να ενισχύουν την ασφάλεια που παρέχεται από τους υπαλλήλους σας. 3 / 6
Φωτογραφία : Guardian/reuters Είναι το cloud computing σας πιστοποιημένη υπηρεσία για παράδειγμα με SAS 70; Πρόσφατες δημοσιεύσεις δείχνουν ότι δεν είναι αρκετό και πάντως ικανοποιητικό να δηλώνει ο πάροχος ότι έχει κάποια πιστοποίηση. Οι επιχειρήσεις θα πρέπει να είναι δύσπιστες όσον αφορά τους παρόχους οι οποίοι ισχυρίζονται κάτι τέτοιο ακόμη και για πιστοποίηση SAS 70 διότι αυτό δείχνει μόνον ότι ο πάροχος έχει μια μεθοδική και επαναλαμβανόμενη προσέγγιση για τις δραστηριότητές τους, η οποία είναι σαφώς ένα βήμα προς τη σωστή κατεύθυνση. Επιπλέον, οι εταιρείες θα πρέπει να απαιτούν εμπεριστατωμένες εκθέσεις που δείχνουν ποιες διαδικασίες έλαβαν πιστοποίηση SAS 70, έτσι ώστε να μπορούν να αξιολογήσουν με ακρίβεια τις διαδικασίες ασφαλείας του παρόχου. Οι Guardian - New York Times ProPublica, αποκαλύπτουν Ένα 10ετές πρόγραμμα της NSA κατά των τεχνολογιών κρυπτογράφησης έκανε μια σημαντική ανακάλυψη το 2010 που απέδωσε " τεράστιο όγκο " στοιχείων. Η NSA ξοδεύει $ 250 εκατομ. το χρόνο σε ένα πρόγραμμα το οποίο, μεταξύ άλλων στόχων, επηρεάζει το σχεδιασμό των προϊόντων των εταιρειών υψηλής τεχνολογίας. Το απόρρητο των δυνατοτήτων τους κατά της κρυπτογράφησης είναι καλά φυλαγμένο Η NSA εκλαμβάνει τα ισχυρά προγράμματα αποκρυπτογράφησης ως «τιμή της δυνατότητας των ΗΠΑ στην απεριόριστη πρόσβαση και χρήση του κυβερνοχώρου». Μια ομάδα της GCHQ έχει εργαστεί για να αναπτύξει συνεργασία με τους " τέσσερις μεγάλους" παρόχους υπηρεσιών, όπως το Hotmail, η Google, η Yahoo και το Facebook 4 / 6
Οι οργανισμοί παρακολούθησης επιμένουν ότι η ικανότητα να αντιμετωπίσουν την κρυπτογράφηση είναι ζωτικής σημασίας των βασικών αποστολών τους, της καταπολέμησης της τρομοκρατίας και των ξένων υπηρεσιών πληροφοριών. Ωστόσο οι εμπειρογνώμονες ασφάλειας τους κατηγορούν για επίθεση στο ίδιο το διαδίκτυο και στην προστασία της ιδιωτικής ζωής των χρηστών. " Κρυπτογραφία αποτελεί τη βάση για την εμπιστοσύνη σε απευθείας σύνδεση ", αναφέρει ο Bruce Schneier, ένας ειδικός κρυπτογράφησης και ερευνητής στο Κέντρο Berkman του Χάρβαρντ για το Διαδίκτυο και την Κοινωνία. "Την τελευταία δεκαετία, η NSA έχει επιτεθεί να σπάσει ευρέως χρησιμοποιούμενες τεχνολογίες κρυπτογράφησης διαδίκτυο». «Τεράστιες ποσότητες των κρυπτογραφημένων δεδομένων στο διαδίκτυο είναι πλέον εκμεταλλεύσιμα». Το βασικό στοιχείο της μάχης της NSA κατά της κρυπτογράφησης και της συνεργασία της με τις εταιρείες τεχνολογίας, περιγράφεται λεπτομερώς στο top -secret 2013 αίτημα του προϋπολογισμού των μυστικών υπηρεσιών των ΗΠΑ υπό τον τίτλο " σήματα νοημοσύνης". Το πρόγραμμα των υπηρεσιών έχει σχεδιαστεί για να " εισέρχεται από τα τρωτά σημεία στα εμπορικά συστήματα κρυπτογράφησης". Αυτά είναι γνωστά στην NSA, αλλά σε κανέναν άλλο, συμπεριλαμβανομένων των συνήθων πελατών των εταιρειών, οι οποίοι αναφέρονται «αφοπλιστικά» ως «αντίπαλοι». Τα απόρρητα έγγραφα που διέρρευσαν δείχνουν ότι η NSA καθορίζει σαφείς όρους διάθεσης εμπορικού λογισμικού κρυπτογράφησης «πιο προσιτού» στην ίδια και επίσης ότι επιχειρεί να σπάσει την κρυπτογράφηση που χρησιμοποιείται από τα 4G κινητά τηλέφωνα. Μεταξύ των στόχων της NSA για το 2013, ήταν το symantic internet & peer-to -peer. Από την πλευρά τους, οι εταιρείες τεχνολογίας υποστηρίζουν ότι συνεργάζονται με τις υπηρεσίες πληροφοριών μόνο όταν υποχρεωθούν νομικά να το πράξουν. Ο Guardian έχει αναφέρει στο παρελθόν ότι η Microsoft συνεργάστηκε με την NSA για την παράκαμψη της κρυπτογράφησης στο email Outlook.com και σε υπηρεσίες chat. Η εταιρεία επέμεινε ότι ήταν υποχρεωμένη να συμμορφωθεί με τις " υπάρχουσες ή μελλοντικές νόμιμες απαιτήσεις" κατά το σχεδιασμό των προϊόντων της! Τα έγγραφα που διέρρευσαν πάντως δείχνουν ότι οι υπηρεσίες έχουν επιτύχει το στόχο να επηρεάζουν τα διεθνή πρότυπα βάσει των οποίων δημιουργούνται τα συστήματα κρυπτογράφησης. Ανεξάρτητοι εμπειρογνώμονες ασφάλειας είχαν εδώ και καιρό υποψιαστεί ότι η NSA έχει εισάγει αδυναμίες στα πρότυπα ασφάλειας, γεγονός που επiβεβαιώνεται για πρώτη φορά από άλλο απόρρητο έγγραφο. Δείχνει ότι η NSA εργάστηκε κρυφά να πάρει τη δική του εκδοχή του σχεδίου προτύπου ασφάλειας που 5 / 6
εκδίδεται από το αμερικανικό Εθνικό Ινστιτούτο Προτύπων και Τεχνολογίας που έχει εγκριθεί για χρήση σε όλο τον κόσμο το 2006. "Project Bullrun (ονομασία από μια ιστορική μάχη του αμερικανικού εμφυλίου αντίστοιχο του αγγλικού Edgehill) ασχολείται με τις ικανότητες NSA να νικήσει την κρυπτογράφηση που χρησιμοποιείται σε συγκεκριμένες τεχνολογίες της επικοινωνίας του δικτύου. Bullrun «τρέχει» στο HTTPS, voice-over - IP και το Secure Sockets Layer ( SSL ), που χρησιμοποιούνται για την προστασία των online αγορών και των τραπεζών. 6 / 6