我正在与我的一个经营软件开发公司的好朋友谈论安全性。他是一个非常聪明,精通技术的人,但他对加密的看法并不积极。尽管他完全理解需求,但他讨厌加密(以及一般安全),因为他说在他试图完成工作时总是会陷入困境。在这方面,我认为他与高科技世界中的大多数人或整个商业世界中的大多数人没有什么不同。
这种对加密的普遍不喜欢的是因为加密似乎并不是有价值的,尽管这是完成工作的道路及其收益,尽管违规和黑客攻击很大,但很难量化。因此,除了偏执狂和安全极客外,传统上,加密被视为将皮带添加到其他更简单,因此更可容忍的安全措施的牙套中。
企业加密增加
我写了“传统上已经看过”,因为一份新报告,2016年加密应用趋势研究,由Ponemon研究所代表Thales电子安全性,表示:
…越来越多的公司正在采用企业范围的加密策略,从2005财年的15%增加到今年的研究中的37%。
该研究对11个国家的14个行业中的5,009个个人进行了调查,并将受访者分为两组:“成熟”的组织,具有企业加密策略的组织和“不成熟”,那些没有企业加密策略或采用的组织“不成熟”临时方法。他们得出结论:
除互联网通信外,成熟的公司的使用率在每个加密应用程序类别中都高于未成熟公司中的广泛使用率。成熟和未成熟公司之间具有最大差异的加密应用程序是:(1)大数据存储库(16%),(2)公共云服务(13%),(3)业务应用程序(13%)和(4)私有云基础设施(11%)。
换句话说,在那些应用领域,成熟的公司比未成熟的公司变得更加好得多,并且某些行业比其他行业更多地部署加密:
总体广泛使用率最高的行业:金融服务(56%),医疗保健和制药(49%)以及技术与软件(48%)。使用率最低的是制造业(25%),消费产品(27%)和娱乐与媒体(27%)。
谁有钥匙?
该报告非常值得一读,特别是一件东西让我感到震惊。59%的企业将其加密密钥仅用于或与云提供商共享的发现!这是一个非常糟糕的主意,原因有两个。首先是企业信任云提供商的很大程度上未经测试的能力,而在提供商中违反了企业的侵犯,可能会揭示企业的内容。正如我们在过去几年中所看到的那样,服务提供商并不总是对违规规模及其主要兴趣往往会最大程度地减少对其品牌的损害。
第二,如果我们谈论美国,根据Law360,关于电子存储的信息(ESI):
民事反对者和政府可能能够直接从云服务提供商那里获得... ESI,在某些情况下,无需向所有者提供文件的所有人通知或控制生产的机会。
…值得注意的是,《美国爱国者法》的规定允许政府以国家安全目的直接从云服务提供商那里获取信息。首先,《外国情报监视法》(FISA)订单允许联邦调查局获取存储在云中的数据。FISA订单包括“插科打”条款,该规定禁止云服务提供商警告其客户有关披露的信息。
其次,国家安全信(NSL)允许联邦调查局(FBI)等某些政府机构获得与政府调查有关的数据。关于云服务提供商,政府可能会寻求有限的信息,主要与服务长度,用户的帐户名和订户信息有关。像FISA订单一样,NSL包括“插科打”条款。但是,与FISA订单不同,NSL不需要法院批准,因此可以直接从政府机构发行。
加密处方
Law360文章的作者Timothy M. Broas和Matthew M. SaxonWinston&Strawn LLP,以一些出色的建议结束:
- 在将ESI放在云中之前,请评估您的风险概况。例如,商业秘密和类似的敏感信息在公司自己的服务器上可能会更安全。
- 仔细考虑您的云提供商是谁,以及它是否可以为您的ESI提供足够的保护。
- 考虑加密您决定放置在云中的ESI。
- 在签署云服务协议之前,请谈判有关您的ESI所有权,访问和生产的某些规定。
- 确保您能够将法律持有并根据电子发现提取数据。
请注意,关于加密ESI的第四点还应添加“并且不要与云提供商共享钥匙!”
企业加密匆忙
因此,最重要的是,企业正在以越来越多的速度采用企业范围的加密策略,如今,受调查的企业中约有41%的企业已“广泛”的加密部署。有趣的是,采用企业加密策略的加速伴随着加密支出的减少。直到2012财年,采用与预算之间存在相关性,但此后,相关性是负面的,因为该报告提供了下降趋势的三个原因:
...(1)供应商之间竞争增加的价格压力,(2)将优先级转移到其他IT安全解决方案领域以及(3)更有效地利用当前可用的加密工具。
预算减少和企业需求增加的结果是,包括公共云在内的交钥匙解决方案成为最简单,最便宜的方法。风险是,除非观察到Broas和Saxon的建议,并且与云提供商没有共享加密密钥,否则请保持加密的ESI安全,并且私人的私密性可能不如企业所假设。