Skybaserte løsninger åpner for større sikkerhetsproblemer

Tidligere i år deaktiverte en ansatt som ble sagt opp fra jobben sin i et bilforhandler mer enn 100 biler ved hjelp av en skybasert applikasjon. Appen fungerte tydeligvis sammen med en enhet som forhandlere festet til bilen for å deaktivere den eller få den til å begynne å falle som et insentiv til å få dødsslåtte billånholdere til å betale opp.

Menneskene som kjøpte biler fra det forhandlerforholdet følte seg krenket, ydmyket og sinte. Påstått at hornene bare skulle heves mellom klokka 09.00 og 17.00, i stedet for midt på natten slik noen eiere hevdet. Andre eiere sa at de måtte slepe sine "funksjonshemmede" biler om morgenen, noe som også gjorde at de ble sent på jobb.

Visst, disse menneskene godtok en enhet som dette på et bilkjøp fordi økonomiske vanskeligheter ville ha forhindret dem i å sikre seg et lån ellers. Men vi kan forvente å se flere tilfeller der de mest sårbare medlemmene i samfunnet finner seg utnyttet som verst av nye skyteknologier.

Denne spesielle saken er litt uvanlig, fordi personen som utnyttet systemet var en ansatt i bilforhandleren, ikke skyleverandøren som tilbød tjenesten. Imidlertid tror jeg fortsatt at dette er et ansvar som - i det minste - blir forverret av skybaserte apper.

En internt vert program kan være designet for å være utilgjengelig over det offentlige nettverket. Faktisk er utfordringen med internt baserte apper som gjør skyen så attraktiv å gjøre de interne appene tilgjengelige for eksterne ansatte som har et legitimt behov for å få tilgang til dem.

Hvis den eneste måten å komme inn i det nevnte systemet var å være hos forhandleren på en pålitelig maskin, bekreftet på forhandlerens LAN, ville ikke denne historien gitt nasjonale nyheter, fordi den tidligere, misfornøyde ansatte ikke ville ha kunnet bære ut planene sine. Det betyr også at denne applikasjonen er tilgjengelig gjennom det offentlige nettverket for enhver hacker som måtte ønske å prøve seg på et eller annet ondskap.

Jeg har allerede uttrykt bekymring for oppstart av skyer med gode ideer og fryktelig utførelse (ma.gnolias tap av data om brukerbokmerker på nettet, noe som førte til at de avsluttet driften i fjor). Jeg spådde at denne typen fiaskoer ikke nødvendigvis var begrenset til små oppstart med gode ideer og dårlig implementert teknologi.

T-Mobile, Microsoft og Sidekick fant seg også midt i en høyprofilert kontrovers da det var alvorlig datatap for Sidekick-brukere. Dette var bare et annet eksempel på risikoen som selskaper og enkeltpersoner tar når de tar i bruk en skybasert løsning og stoler på et annet selskap til å behandle dataene sine med samme omhu som IT-ansatte. Og selv om dette ikke var enorme katastrofer som gjorde at alle gikk til pause og vurderer skyen litt mer nøye, vil uheldige eksempler som det komme.

I diskusjonen som fulgte etter innlegget mitt om hybrid databehandling, hentet vi opp noen av sikkerhetsproblemene som kloke selskaper vurderer når de vurderer et trekk til skybaserte leverandører som Google. De fleste av disse er enten unike for skybaserte leverandører eller gjøres potensielt mer alvorlige ved å bruke skybaserte løsninger.

Risikoen for at useriøse ansatte planter bakdører i et nettverk eller systemer og deretter aktiverer dem etter å ha forlatt organisasjonen er alltid en risiko, men jeg vil hevde at ved å opprettholde kontrollen over dine egne data, systemer og nettverk, har du bedre sikkerhet for at alle det tas nøye med å unngå den typen situasjoner.

Butikken min har en policy for sikkerhetsrespons når noen fra IT-avdelingen med privilegert tilgang går av, enten frivillig eller ufrivillig. En umiddelbar mengde sikre passordendringer for alle administrator- og domeneadministrasjonskontoer finner sted, avviklede kontoer er deaktivert og alle sikkerhetspolicyer blir gjennomgått. Dette er ikke en garanti for at en dyktig ansatt som har planlagt ikke vil finne noen måte å omgå sikkerhetstiltakene våre, men det er et mål på kontroll.

Hver person på teamet mitt blir også personlig ansvarliggjort, og på grunn av organisasjonens størrelse er enhver ansatt som forlater fullstendig klar over at hans eller hennes handlinger er lett å spore. Naturen med å ha et tett sammensveiset team er at den avtroppende ansatte ofte etterlater seg venner og kolleger, profesjonelle nettverk og eventuelt pokerkompiser.

I et stort skybasert selskap er det hundrevis og kanskje tusenvis av ansiktsløse IT-ingeniører, hvorav noen er under verdsatt, bitter og disenchanted. De har ingen personlige bånd eller forpliktelser. I deres øyne er jeg bare en ansiktsløs kunde hos et selskap de mener har gjort dem urett.

Det er mange iboende fordeler ved å ha IT-medarbeiderne en del av det lokale teamet av ansatte, og jeg tror dette er en leksjon som kommer til å bli lært de neste årene av selskaper som ønsker å øke fortjenesten og redusere IT-hodepinen ved å søke outsourcet og off-shored skybaserte løsninger.

Slik jeg ser det, har jeg spådd disse situasjonene i et par år nå, og store deler av teknologibransjen har glatt syklet inn i solnedgangen og kunngjort den skybaserte fremtiden for PC-databehandling. Dette betyr ikke at jeg har rett, men det betyr at jeg tenker på det, noe som mer enn mye industrien gjør.

Mens de fleste håper på at støvet skal ordne seg med en tydelig og åpenbar vei å følge for fremtiden, får hvert uhell eller hendelse fremtiden til å se så mye mer tilsløret ut. Det er mange overbevisende grunner til å vurdere skybaserte løsninger, og som alle i IT-bransjen ser jeg på hvor skyen passer inn i IT-veikartet mitt for fremtiden. Jeg tror det ville være uforsvarlig av enhver IT-sjef å ikke gjøre det.

Skyen vil påvirke måten vi alle driver virksomhet på, modellene vi implementerer og den økonomiske innvirkningen disse løsningene har på IT-butikkene og selskapene våre. Samtidig skyver skyen oss fremover i en fremtid der sjekkene og balansene og beste sikkerhetspraksis fra fortiden rett og slett er ineffektive, og det eneste virkelige alternativet er, "hoppe inn, håpe på sikkerhet i antall, og vet at mens noe av flokken kan bli tatt ned, det vil usannsynlig være deg. "

Suksessen til skyen avhenger av at vi inntar visse holdninger. Tross alt er sikkerhet for det meste en illusjon - låser som holder ærlige mennesker ærlige. Faktum er at selv blant de mest talentfulle IT-butikkene i verden, lar en eneste menneskelig feil skurkene slippe inn. Skurkene derimot er det bare å lene seg tilbake og prøve å prøve igjen, sikre på at de til slutt vil Finn en ulåst dør eller en lås som ikke er bra. Alle som jobber i sikkerhet må erkjenne det faktum.

Jeg er også godt klar over at skurkene er langt smartere enn jeg er. Jeg har kjent strålende gutter i sikkerhetsbransjen, men jeg tror ikke noen av dem har ødelagt 1024 bit RSA-kryptering ved å kvele CPU-spenningen. Min frykt er at nøkkelhullene du finner i skyen kan være store nok til å passe til en Mac-lastebil.

Så hva tror du? Er jeg altfor paranoid og for konservativ etter min mening om å ta i bruk skystrategier? Jeg ønsker virkelig mer tilbakemelding og dialog om dette, fordi jeg vurderer sterkt å gå inn for flere skyløsninger i dagjobben. Hopper vi bare alle inn og stoler på disse store ansiktsløse selskapene med målbevisst begrensede SLA-er og mange troverdige fornøyelser for å være gode hyrder for våre elektroniske data? Del tilbakemeldingene dine i diskusjonstråden.

Se også
  • Cloud computing momentum: Hva det betyr for CIOs og IT avdelinger
  • Cloud computings fleksibilitet er kanskje den største svakheten
  • Google avdekker sin cloud computing-plattform for bedriften

© Copyright 2021 | pepebotifarra.com