Datautnyttelse og beskyttelse

Mange IT- og BI-fagfolk er misfornøyde med interoperabilitet og innsatsen til leverandører og lagringsleverandører. Leverandørene har gjort det klart at de er interessert i krypteringsstandarder i motsetning til kostnads- og integrasjonsutfordringer. Krypteringsutvidelse er bra, men det er ikke den eneste eller ultimate løsningen. En kritisk applikasjon vil på et eller annet tidspunkt trenge tilgang til krypterte data. Hvis en angriper kan se ukrypterte data i en applikasjon, er det mer enn sannsynlig, det kan alle andre også. I en bedriftsomfattende arkitektur, så vel som en enkelt personlig node – uautorisert tilgang er uakseptabelt – er beskyttelse sårt nødvendig.

Et anerkjent nyhets- og informasjonsmedie gjennomførte en undersøkelse. Informasjonsteknikere og Business Intelligence Professionals ble spurt. 28 % av deltakerne sa at de ønsker å utvide krypteringsbruken langt utover minimumsstandarden(e).

Opprettelsen av offentlige interoperabilitetsstandarder vil gi åpne kilder like konkurransevilkår. “Open Source” (fri deling av teknologisk informasjon; beskriver praksis i produksjon og utvikling som fremmer tilgang til sluttproduktets kildemateriale; Internett; kommunikasjonsveier og interaktive fellesskap) er ikke kjent for å ha de beste ledelsesmessige evner. Konkurranse har vist seg å holde alle på tærne. Den resulterende undersøkelsesanalysen og samtalene med CISOs (Chief Information Security Officer), med vekt på kryptering og samsvar, blir ikke brukt riktig og/eller i sin fulle utstrekning. Organisasjoner som bruker toppapplikasjoner krypterer eller planlegger å…til høyre ved siden av flere brannmurbeskyttelsesprogrammer. Med inkludering av VPN-er (Virtual Private Networks), e-post, fil- og datasystemer, kan et brudd være ødeleggende. Denne praksisen løser egentlig ikke beskyttelsesproblemet. Selv om en risikoreduksjon er tydelig.

En Chief Information Security Officer (CISO) er lederen på toppnivå i en organisasjon. CISO leder personalet i å identifisere, utvikle, implementere og vedlikeholde prosesser på tvers av organisasjonen for å redusere informasjons- og informasjonsteknologi (IT) risiko, svare på hendelser, etablere passende standarder og kontroller, og styre etablering og implementering av retningslinjer og prosedyrer. Vanligvis når CISOs innflytelse hele organisasjonen. Michael A. Davis rapporterer statistikk på toppnivå om krypteringsbruk av 86 % av 499 fagfolk innen forretningsteknologi sier at de føler seg ganske sikre. Dataene hans er basert på en undersøkelse om krypteringstilstanden fra Information Week Magazine. Davis oppgir også at 14 % av respondentene sier at kryptering er gjennomgående i deres organisasjon(er). Alt fra integrasjonsutfordringer og kostnader, er mangelen på lederskap årsaken til krypteringsmessenes dystre tilstand. “38 % krypterer data på mobile enheter, mens 31 % karakteriserer bruken som akkurat nok til å oppfylle regulatoriske krav.” Samsvarsfokuset på kryptering fritar selskaper fra å måtte varsle kunder om brudd på sikkerheten til enhetene deres. Davis-rapporten fortsetter å si at “fast motstand” ikke er et nytt fenomen. En undersøkelse fra Phenomenon Institute i 2007 fant at 16 % av amerikanske selskaper inkorporerer krypterte bedriftsomfattende nettverk, og starter med tape backup. “Å gjøre det minste minimum er ikke sikkerhet,” siterte Davis. “IT- og BI-proffer møter hard motstand når de prøver å gjøre mer for teknologibrukere.”

Mange bedrifters IT- og BI-personell jobber for å øke bruken av kryptering. Rask og enkel tilgang til data interesserer brukere mer enn deres oppmerksomhet på sikkerhet. Selv med bruk av flash-stasjon(er), bærbare datamaskiner og andre bærbare medier, fra administrerende direktør (Chief Executive Officer) ned til frontlinjebrukere, kommer kryptering aldri inn i tankene deres.

Interoperabilitet (en egenskap som refererer til evnen til ulike systemer og organisasjoner til å arbeide sammen; interoperere; å jobbe med andre produkter eller systemer, nåværende eller fremtidige, uten noen begrenset tilgang eller implementering) vil gjøre krypteringshåndtering billigere og enklere å bruke . Uttalelser fra IT- og BI-eksperter støtter bruken av kryptering for filer og mapper (noe som Microsoft jobber med for tiden) letter ytelsen og bruken, mens senking av kostnadene er nøkkelen til bedre administrasjon. Mange proffer fortsetter å ønske seg mer regulering(er). Et brudd vil kreve kundevarsling…denne handlingen vil tillate finansiering og ledelsesinteraksjon, og bringe mer oppmerksomhet til regulatoriske inngrep. “Et bedriftsomfattende initiativ så komplekst som kryptering hovedsakelig for å overholde forskrifter vil generelt resultere i et prosjekt som er dårlig planlagt og vil sannsynligvis ende opp med å koste mer enn et kartlagt forståelsesprogram,” ifølge Davis-rapporten.

Tokenisering (prosessen med å bryte en strøm av tekst opp i meningsfulle elementer kalt tokens) bruker en tjeneste der et system får tilgang til sensitiv informasjon, dvs. et kredittkortnummer. Systemet mottar et “engangs token ID-nummer.” Et eksempel på dette er et 64-sifret nummer som brukes i applikasjoner når kredittkortnummeret blir oppringt av systemet. Handlingen inkluderer også databasenumre. Denne endringen ble implementert i 2007. Skulle dataene bli kompromittert (angrepet eller hacket) på noen måte, ville den manipulerende tech-acosteren ikke ha noen mulighet til å reversere de 64-sifrede tallene tilbake til kortet … gjøre en leseverifisering praktisk talt umulig. Flere systemer er designet for å ødelegge nøkkelen (nummeret) i nødstilfeller. Handlingen gjør det umulig å gjenopprette de lagrede dataene på systemet … utilgjengelig for alle. Dette er et mareritt til Chief Information Officers. Mange selskaper er interessert i enkle, spesialiserte og standardiserte krypteringsprodukter. Produktet opererer på en “enkeltkrypteringsplattform”, mens en enkelt eller sentral applikasjon vil administrere flere former for krypteringskodenøkler. Denne plattformen lover å øke effektiviteten og redusere kostnadene samtidig som den gir sikkerhet. Forbeholdet for å bruke denne modellen er bruken av en enkel plattform for å håndtere e-postkryptering og en sikkerhetskopifunksjon kan være skadelig hvis dårlig planlagt og/eller feiladministrert. Et selskap (og/eller privat enkeltbruker) vil trenge flere støtte i motsetning til å ha “alle eggene dine i ett” kurv.” Veien å gå er bruken av “Native Key Management” (bestemmelser laget i et kryptosystemdesign som er relatert til generering, utveksling, lagring og sikring – tilgangskontroll, administrasjon av fysiske nøkler og tilgang) på en gitt system. Konsolidering i krypteringsindustrien er en kontinuerlig utvikling. Det er et miljø skapt der leverandører av kryptering selger flere produkter som “uniformerte plattformer.” Den enhetlige multiplattform-tilnærmingen er fremtiden for r krypteringsprodukter som noen IT- og BI-fagfolk tror.

Et annet sikkerhetsproblem er leverandører av kryptering opplever problemer med å administrere kodenøkler fra separate leverandører. De ser ut til å snuble over hverandre ved konkurranse og jockeying fra sist til først i køen. Leverandører opplever problemer med å få sine separate standarder på samme side. De kjemper kontinuerlig om detaljene rundt drift og etterlevelse og om “gratis- og lavkostprodukter vil flytte dem ut” – og tar over bransjen.

En sentral katalog med kodenøkler er enkel å administrere. Oppdatering og rapportering er en essensiell og viktig oppgave for alle IT- og BI-fagfolk. Microsofts Active Directory (AD) kan meget vel være den ledende krypteringshucksteren på blokken. Microsofts AD-installerte basissystem(er) kan håndteres ved hjelp av gruppepolicyobjekter som er innebygd i applikasjonen(e) og operativsystem(OS)-programmene. AD er den mest brukte katalogen for bedrifter og PC-brukere, mens mange IT- og BI-ingeniører allerede vet hvordan de skal bruke og jobbe med. Alle Microsofts store krypteringsprodukter tilbyr sentralisert administrasjon gjennom AD, så vel som bedriftens krypteringsteknologier. Hva er billigere enn gratis?

Windows tilbud(er) bærbar og kraftig diskkryptering…e-post-, mappe-, fil- og databasekryptering er tilgjengelig gratis. Hvem kan slå den prisen?

Brukere blir ikke stoppet fra å sende e-post til ukrypterte versjoner av mapper og filer – eller fra å overføre data til en bærbar enhet koblet til USB-porten (Universal Service Bus)…det fungerer bare hvis enheten på den andre enden bruker samme eller en sammenlignbar e-postapplikasjon, som mange selskaper ikke overholder – (ingen ser ut til å følge protokollen for datakryptering). Interoperabilitet innen kryptering og nøkkelhåndtering kan utnyttes basert på type datalagring og implementering – mens vi venter på at standardisering skal riste den tungt belastede manken helt fri for hindringer. Datautnyttelse, hackere og andre angripere, dvs. skadelig programvare, spionere, popup-vinduer, osv., ville ikke ha noe annet enn forverringen og deprivasjonen de forårsaker for andre. Bruken av kryptering-interoperabilitet… stopper kanskje ikke inntrengere, men det vil garantert gjøre inntrenging vanskelig om ikke umulig.

Bedrifter, organisasjoner og personlige brukere trenger og bør ta i bruk en risikostyringstilnærming … implementere kryptering.

Til neste gang…

Leave a Comment