Kuinka turvallinen pilvi on?

LinkedInin Andres Bang, kataja Gary Clark, Akamai's Tom Leighton, Emergence Capitalin Gordon Ritter ja Bloombergin Cristina Alesci

Kuinka turvallinen pilvi on? Useat paneeliläiset viime viikon Bloomberg-yritysteknologian huippukokouksessa puhuivat aiheesta, etenkin Snowden-paljastusten ja Target-rikkomuksen seurauksena. Useimmat suhtautuivat melkoisesti julkisten pilvipalveluntarjoajien mahdollisuuteen tarjota parempi tietoturva kuin melkein mikään sisäinen datapalvelu. Silti optimistisimmatkin tunnustivat, että monet yritykset tuntevat olonsa mukavammaksi hallita paremmin tietojaan.

Esimerkiksi LinkedInin globaalin myynti- ja toimintajärjestelmän johtaja Andres Bang sanoi, että yritys oli julkisten pilvipalveluiden suuri asiakas ja sellaisenaan riippuvainen tällaisista myyjistä. Mutta hän sanoi, että yritys piti jäsenetiedot yksityisellä pilvellä, joten sillä oli enemmän hallintaa. Guni Clark, Juniper Networksin IT-johtaja, kertoi näkevänsä monia IT-osastoja kehittyvän pilvipalveluiden välittäjiksi, joiden sovelluksista vähintään 80 prosenttia on pilvessä, ja loput yksityisellä pilvellä. Yleisesti ottaen hän näki yritysten pitävän yksityisimmät tietonsa talossa.

Tietokeskuksen turvallisuudesta riippuen malli on tulossa epäonnistumaan, toteaa Akamai Technologiesin toimitusjohtaja ja perustaja Tom Leighton. Ei riitä, että puolustaudut yksinomaan tietokeskuksen tuotteilla; sinun täytyy siepata ja käsitellä, ennen kuin se menee tietokeskukseen.

CIA: Olet "Vain niin vahva kuin heikoin linkkisi".

Gus Hunt, entinen CIA: n teknologiajohtaja

Eräässä toisessa istunnossa Glen Hunt, entinen tietotekniikan keskusviraston (CIA) pääjohtaja ja Hunt Technologyn nykyinen toimitusjohtaja, totesi, että kaikilla isoilla pilvipalveluntarjoajilla on "todella upea" tietoturva, koska he tarvitsevat sitä asiakkaiden houkuttelemiseksi. Hän puhui siitä, kuinka CIA käytti Amazonin pilviä, vaikkakin erityisessä kopiossa, jota Amazon hallitsee CIA: n seinien takana (joita puolestaan ​​suojaavat aseet ja muut fyysiset turvallisuudet).

Mutta hän huomautti, että turvallisuus on "vain niin vahva kuin heikoin linkkisi". Hän selitti, että jos sinulla on työmäärä, jonka haavoittuvuus on pilvipalveluntarjoajan päällä, nämä haavoittuvuudet ovat edelleen olemassa. Mutta yhden työmäärän haavoittuvuus ei vaikuta pilvipalvelun muihin. Joten, hän sanoi, oman työkuorman varmistaminen on edelleen kriittinen tehtävä.

Hunt kertoi, että turvallisuuskysymyksestä on tulossa "vaikeasti vaikea ja vaikea asia", ja kertoi, että jokaisella yksittäisellä yrityksellä oli todella vaikea selvittää, kuinka suojautua. Joten hän näki nousevan palveluja tarjoavia turvallisuusyrityksiä, jotka toimivat verkossa ja hallitsevat turvallisuutta. Mutta hän sanoi, että tämä oli "kitkaton asekilpailu", jossa hajaohjelmien kaltaisista asioista jaettiin tietoja lähes välittömästi, mikä tekee siitä entistä vaikeampaa.

Loppujen lopuksi hän sanoi, että keskitymme enemmän tietojen suojaamiseen kuin verkkoihin. "Se on tietoa, tyhmä", hän sanoi. Meidän on tehtävä se niin, että tietoja on vaikea löytää. Mutta jos joku pääsee läpi, se on nopeasti havaittava ja korjattava.

Pitkällä tähtäimellä Hunt sanoi, että ihmiset saavat paremman hallinnan tietoihinsa ja yksityisyyttään tekniikoiden, kuten salauksen ja salauksen purkamisen, sekä mahdollisuuden huijata sijainteja. Se on hienoa yksityishenkilöille, hän sanoi, mutta asettaa suuria haasteita lainvalvonnalle. "Pystyt hallitsemaan tietosi hienojakoiseen pisteeseen."

Riskien lieventäminen ja "Snowden-ilmiö"

Wade Baker, Verizon Enterprise Solutions, Mike K. Brown, BlackBerry, Dr. Burt Kaliski Jr., VeriSign, John N. Stewart, Cisco

Ciscon tietoturvajohtaja John N. Stewart huomautti, että yksi asia on se, että meillä ei ole hyvää määritelmää hyvästä tai huonosta yrityksen tietoturvassa, joten on vaikea verrata tietoturvaa pilvipalveluntarjoajasta yrityspilveen. Ja Verizon Enterprise Solutionsin tutkimus- ja älykkyyspäällikkö Wade Baker sanoi, että vaikka tietoturvaongelmia voi tapahtua pilvessä, sillä ei ole usein merkitystä, koska pilvi aiheuttaa harvoin.

VeriSignin teknologiajohtaja Burt Kaliski esitteli myös ajatuksen siirtymisestä "tietokeskeiseen lähestymistapaan", jossa on paljon suojausmekanismeja, mutta suurin osa tästä on loppukäyttäjän näkymätön.

Stewartin mukaan pilviturvallisuus tuo vain "jokaisen synnin, jota emme ratkaissut" eturintamaan, mainitsemalla sellaisia ​​aiheita kuin käyttäjätunnusten ja salasanojen ongelmat. Hän sanoi, että yritykset olivat liian keskittyneet kehään - "kovaan rapeaseen ulkopuolelle" - - ei tietojen keskipisteeseen, ja sen piti muuttua. Hän totesi, että tietojen suojaamisella on huono maine DRM: n kanssa, mutta se voi osoittautua erittäin tärkeäksi. Mutta hän varoitti: "Useimmat käyttäjät eivät välitä riskeistä, he välittävät työnsä suorittamisesta tehokkaimmalla tavalla".

Yritysturvallisuudessa on monia muita tärkeitä tekijöitä, mukaan lukien hyvä tiedonhallinta, keskittyminen kaikkien järjestelmän elementtien luotettavuuteen, auditointi ja avainten hallinta.

Kaikki olivat yhtä mieltä siitä, että "Snowden-ilmiö" on herättänyt huomiota turvallisuuskysymyksiin. Monet kansainväliset kuluttajat katsovat nyt Yhdysvaltoja pahoiksi, kun taas toiset ajattelevat, että USA tietää, kuinka asiat korjataan.

Trend Micro -yrityksen Raimund-geenit, Palo Alto Networksin Rick Howard, entinen NSA: n edustaja Cedric Leighton, Bloomberg News -sivuston Michael Riley

Seuraava kohtaus vain Snowdenin vaikutuksista, ja huolenaiheena oli, että tämä johti "Internetin tribalisointiin", eversti Cedric Leightonin, entisen NSA: n koulutusjohtaja ja nyt Cedric Leighton Associatesin toimitusjohtajan mukaan. Hän huomautti, että Internet oli suunniteltu maailmanlaajuiseksi, mutta nyt kuulemme "Kiinan suuren palomuurin" lisäksi "saksalaisen pilven" tai "sveitsin pilven" kaltaisia ​​asioita. Hänen mukaansa Snowdenin paljastukset ovat olleet tekosyy kansallistaa asiat uudelleen. Tämä tekee merkittävän karhunpalveluksen maailmalle ja Internetille, jolla on monia tahattomia seurauksia.

Trend Micro -yrityksen teknologiajohtaja Raimund Genes totesi, että Snowden aloitti myös keskustelun turvallisuudesta yleensä. "Jos Snowden voi saada asiakirjoja NSA: lta, mitä se sanoo teollisuudellemme?" hän kysyi. Hän puhui siitä, kuinka vaikeaa oli luottaa sisäisiin urakoitsijoihin ja tarpeesta luoda turvallisempi Internet yleensä, ja sanoi, että hänen mielestään hallituksella oli rooli.

Hän oli yhtä mieltä siitä, että "Internet luotiin maailmanlaajuiseksi", ja sanoi, että jotkut uusista eurooppalaisista säännöistä, joiden tarkoituksena on pitää tietoja alkuperämaassaan tai -alueellaan, ovat naurettavia.

Vaikka hän ja Leighton olivat molemmat yhtä mieltä siitä, että hallituksella oli rooli Internetin turvallisuuden parantamisessa, Palo Alto Networksin turvallisuusjohtaja Rick Howard kertoi koko tapahtuman osoittaneen, että teollisuus on tehnyt hyvää työtä turvallisuuden tarjoamiseksi, ja sanoi myyjät Hyvin on oltava parempaa tietoturvan rakentamisessa muihin ratkaisuihin. "Asiakkaat on varmistettava riippumatta siitä, mitä hallitus tekee", hän sanoi.