5 lý do dữ liệu doanh nghiệp của bạn không an toàn

5 lý do dữ liệu doanh nghiệp của bạn không an toàn

Các quy định bảo vệ dữ liệu chung (GDPR) đó sẽ sớm có hiệu lực và vẫn còn nhiều điều không chắc chắn về ý nghĩa thực sự của chúng. Điều đó có nghĩa là bây giờ đã đến lúc áp dụng một số sự xem xét kỹ lưỡng cho toàn bộ mối quan hệ của bạn với dữ liệu không chỉ là chi tiết khách hàng cá nhân mà còn bất kỳ loại dữ liệu nào quan trọng đối với doanh nghiệp của bạn và sẽ gây rắc rối nghiêm trọng nếu bị rò rỉ hoặc bị mất.

Tất nhiên, đó là một câu hỏi lớn. Với nhu cầu cụ thể của GDPR đã đánh thuế tài nguyên của bạn, bạn có thể đặt câu hỏi nếu bạn muốn làm cho công việc lớn hơn yêu cầu nghiêm ngặt. Nhưng triết lý củng cố GDPR không chỉ là về sự bảo vệ khách hàng, mà còn về bảo mật thông tin nói chung và đây có thể là lần đầu tiên bạn phải có cái nhìn đúng đắn về thực tiễn và quy trình của mình qua lăng kính đó. Thật vậy, bạn có thể bị báo động bởi những gì bạn tìm thấy. Ngay cả khi GDPR không tồn tại, vẫn nên ưu tiên tìm hiểu xem dữ liệu của bạn có thực sự an toàn hay không và những rủi ro mà bạn gặp phải.

Và, nhân tiện, nếu bạn lo lắng về nhu cầu nghiêm ngặt của GDPR và bảo mật dữ liệu nói chung, đừng cảm thấy quá lo lắng. Ngày tôi ngồi viết bài này, tin tức đã phá vỡ rằng trang web của Văn phòng Ủy ban Thông tin (ICO) đã bị xâm phạm, để tải xuống tập lệnh khai thác tiền điện tử trên PC của khách truy cập. Điều đó có vẻ không đáng khích lệ, nhưng nó minh họa một thực tế quan trọng là an ninh của không ai là hoàn hảo. Với các mối đe dọa mới xuất hiện liên tục, đơn giản là không thể đảm bảo rằng bạn sẽ không bị hack hoặc bị phát hiện bởi một lỗi, bất kể thực tế đó có thể làm nản lòng giám đốc điều hành irascible đến mức nào.

Thay vào đó, nên tập trung vào việc hiểu làm thế nào để xác định và vô hiệu hóa các mối đe dọa, và có các tình huống dự phòng để phục hồi nhanh chóng và sạch sẽ khỏi mọi vấn đề. Và ít nhất bạn có thể giảm mức độ phơi nhiễm của mình bằng cách xác định rủi ro lớn nhất đối với bảo mật dữ liệu của bạn và giải quyết vấn đề đó cho đến khi bạn đạt đến điểm mà một thứ khác là trách nhiệm lớn hơn. Trong thực tế, đó có thể không hoàn toàn là một lỗ hổng kỹ thuật, mà là một thứ gì đó mang tính triết học hơn.

Chúng tôi không đủ quan trọng để hack

Tôi nghe thấy điều này mọi lúc và không chỉ từ một nhóm nhạc nam, mà cả các doanh nghiệp trị giá hàng triệu bảng. Có vẻ như rõ ràng với bạn rằng dữ liệu bạn đang làm việc có giá trị giới hạn đối với thế giới rộng lớn hơn. Nhưng bạn có muốn đặt cược cho công ty của bạn ý tưởng rằng các tin tặc sẽ cẩn thận
định chuẩn giá trị của các mục tiêu của chúng không, và nếu chúng thấy nó không đủ cao, chúng chỉ đơn giản ngăn chặn những hành vi sai trái của chúng, dọn dẹp phía sau chúng và lịch sự rời đi?

Cho dù bạn có cảm thấy khiêm tốn như thế nào về tình huống của mình, tin tặc có thể tìm cách khai thác nó. Điều đó có thể liên quan đến việc đánh cắp dữ liệu có giá trị, nhưng vẫn còn căng để tưởng tượng rằng hầu hết các tin tặc đều quan tâm đến việc phân tích và bán hàng dữ liệu bí truyền. Nhiều khả năng, họ chỉ đơn giản là tìm cách đồng hóa một cách mù quáng các máy của bạn vào mạng botnet, sau đó cho thuê hoặc bán quyền truy cập vào những kẻ ngốc.

Khi một trong những kẻ ngốc này xâm nhập vào mạng của bạn, thường thì họ sẽ cố gắng giải quyết nếu họ đã hạ cánh một con cá nhỏ hoặc một con cá voi. Trên thực tế, nếu họ kết luận rằng bạn không xứng đáng với nỗ lực, điều đó có thể khiến bạn trở nên tồi tệ hơn. Các mục tiêu giá trị cao có nhiều khả năng được giữ ở trạng thái hoạt động tốt, trong khi các hệ thống ít giá trị hơn có thể trở thành máy chủ cho các loại thử nghiệm hệ thống phần mềm độc hại khác nhau hoặc chỉ gây ra rủi ro đồng thời khiến dữ liệu của bạn không bị rò rỉ hoặc bị phá hoại.

Nói tóm lại, trong khi GDPR khuyến khích chúng ta suy nghĩ về bảo mật về mặt giá trị nội tại của dữ liệu của chúng ta, đối với những kẻ xấu, đó thường là một sự cân nhắc ngẫu nhiên. Nó có thể là dữ liệu của bạn thực sự không có giá trị hoặc quan tâm đến bất cứ ai bên ngoài công ty của riêng bạn. Nhưng khi ICO đến gọi, hỏi làm thế nào nó kết thúc trên internet, đó sẽ không phải là một biện pháp bảo vệ thỏa đáng.

Đây không phải là mối quan tâm của chúng tôi, chúng tôi đã thuê ngoài

Thuê ngoài có thể là một cách thông minh để xử lý một số lĩnh vực kinh doanh của bạn. Nhưng thuật ngữ này lỏng lẻo một cách nguy hiểm; ví dụ, có một sự khác biệt lớn giữa việc thuê ngoài giao hàng và thực hiện của bạn cho bên thứ ba và thuê ngoài email của bạn cho Google. Thật hấp dẫn khi nghĩ rằng bạn đã hoàn toàn rửa tay với một số chức năng nhất định, trong thực tế, bạn chỉ tự mình chịu trách nhiệm cho một quá trình bạn không sở hữu. Trừ khi bạn xử lý hoàn toàn mọi thứ trong nhà, nếu không, bạn nên lập một bảng cân đối kế toán, có thể nêu chi tiết lợi ích và trách nhiệm của mỗi quyết định thuê ngoài.

Nếu bạn muốn bỏ qua bài tập đó, tôi có thể cung cấp cho bạn một bản tóm tắt cơ bản ngay bây giờ: bất kỳ hình thức thuê ngoài nào đưa dữ liệu của bạn ra khỏi tầm kiểm soát của bạn đều có khả năng biến thành thảm họa.

Tại sao vậy? Bạn có thể điều hành một cửa hàng bừa bộn ở nhà, với một vài nhóm bảo mật và một số máy tính văn phòng tiêu chuẩn, nhưng một khi bạn thuê ngoài đất, toàn bộ cách tiếp cận phải khác. Tôi đang nói về việc chặn các cổng USB, để đảm bảo rằng nhân viên thuê ngoài không thể truy cập danh sách địa chỉ của bạn hoặc rò rỉ dữ liệu độc quyền của bạn. Tôi đang nói về việc cấm điện thoại thông minh cá nhân bên trong trung tâm đóng gói, để đảm bảo rằng các địa chỉ giao hàng không được chia sẻ xung quanh. Nếu có quyền truy cập web, nó chỉ phải thông qua VPN được quản lý và lọc chặt chẽ.

Đối với một trụ sở di chuyển giấy, tất cả điều này nghe có vẻ vô lý. Nhưng nếu bạn giao phó vai trò quan trọng trong kinh doanh cho nhân viên không phải là của riêng bạn, bạn cần nhận ra nguy cơ tên, địa chỉ và các bit nhận dạng kỹ thuật số tiện dụng khác bị đánh cắp một cách cố ý hoặc vô tình bị lộ. Sẽ không mất nhiều thời gian để kẻ tấn công biên soạn hồ sơ chuyên sâu về người mà họ muốn mạo danh hoặc lừa gạt.

Có lẽ mọi thứ đơn giản hơn một chút đối với các môi trường thuê ngoài CNTT thuần túy, vì chúng đã sẵn sàng với bản in nhỏ được thử nghiệm trong ngành. Điều này bao gồm một số vấn đề chính như ai sở hữu dữ liệu trên máy chủ và người đăng việc có thể làm gì khi được trình bày với các giấy tờ pháp lý của một cơ quan thực thi pháp luật có liên quan rõ ràng. Tuy nhiên, những gì nó thường không đề cập đến là các vấn đề nghiêm trọng như liệu toàn bộ ngăn xếp phần mềm, ngay từ bộ tải khởi động cho đến các tệp của bạn, có thể cung cấp một đầu ra có thể báo cáo, có thể sử dụng được hoặc ví dụ cho thấy ai đó đã thành công thực hiện quyền của họ để bị lãng quên. Nếu không, bạn có thể có một số câu hỏi khó trả lời trong trường hợp tranh chấp.

Vào cuối ngày, vấn đề với việc thuê ngoài là nó đã không theo kịp thực tế của điện toán kinh doanh vào năm 2018 và vì tính chất quy định nghiêm ngặt của doanh nghiệp, có vẻ như đã bị tụt hậu so với các nhu cầu và cách thức mới nổi làm việc. Quay trở lại năm 1994, tôi đã ký hợp đồng tại một ngân hàng khi công việc phân phối mực máy in laser được gia công cho cùng một công ty đã cung cấp cho doanh nghiệp cuộn giấy vệ sinh mới. Điều này là tốt cho đến khi lần đầu tiên một hộp mực phát hiện ra một lỗi tối nghĩa và khiến một máy in bận rộn không hoạt động. Bạn có nghĩ rằng những người xả bồn cầu biết cách giúp đỡ, hoặc muốn?

Ngày nay, vấn đề đó vẫn còn cấp bách hơn: ngay cả sự thất bại đơn giản nhất cũng có thể tiêu tốn cả doanh thu của cả ngày và hầu hết các doanh nghiệp không thể chấp nhận rủi ro đó. Do đó, đường cong áp dụng dịch vụ đám mây cổ điển trên đường truyền thống: lúc đầu, có một bước nhảy vọt về sự nhiệt tình khi các công việc nhàm chán, khó khăn được đưa vào ether. Sau đó, logic không thương tiếc của giám đốc tài chính áp dụng hệ thống phanh, và các công việc thực sự quan trọng bắt đầu quay trở lại, khi công ty trải qua quá trình chuyển đổi dài, càu nhàu thành một môi trường hỗn hợp, nơi tầm nhìn và trách nhiệm giải trình một lần nữa.

Đừng lo lắng, chúng tôi đã sao lưu đầy đủ

Ai nói rằng bạn đã được sao lưu đầy đủ? Bởi vì người cuối cùng bạn nên tin tưởng với loại trách nhiệm sống hay chết này là nhà cung cấp dịch vụ CNTT của bạn. Có lẽ logic của một người nghẹt thở đến nghẹt thở có ý nghĩa khi mối quan hệ của bạn với các chuyên gia tư vấn điên cuồng chủ yếu giới hạn trong việc lưu trữ web. Nhưng, khi chúng tôi tin tưởng vào các nhà cung cấp bên thứ ba cho một loạt các dịch vụ và lời khuyên, vì vậy chúng tôi cho họ nhiều cơ hội hơn để làm chúng tôi thất vọng, theo những cách thảm khốc hơn bao giờ hết và nó trở nên quan trọng hơn bao giờ hết đối với họ . Trong trường hợp sao lưu, bạn có thể tham gia bên thứ ba như một phần trong chiến lược của mình, nhưng đặt tất cả trứng vào một giỏ là một ý tưởng cực kỳ tồi tệ và bạn nên nghi ngờ bất kỳ nhà tư vấn nào cho phép bạn thực hiện.

Bên cạnh đó, một số nhà cung cấp nhất định cũng nhận được một dấu đen cho phép khách hàng sử dụng các hệ thống lỗi thời nguy hiểm. Windows Server 2003 là một nền tảng đáng nể, chắc chắn, và phù hợp với nhu cầu đơn giản và triển vọng của hầu hết các công ty đang tìm cách vào một môi trường tính toán được nối mạng vào thời điểm đó. Nhưng bây giờ là năm 2018. Khi tôi nghe một trong những công ty dịch vụ CNTT hỏi về đĩa CD cài đặt hoặc khóa kích hoạt cho Server 2003 như thỉnh thoảng tôi vẫn làm tôi tự hỏi về những cách khác mà họ đứng sau đường cong.

Đó là một tình huống tương tự với phần cứng. Chỉ mới tuần trước, tôi đã thấy một cỗ máy được trang bị sáu ổ đĩa 3.5 GB 72 GB, được gắn một cách tự hào trong giá phòng máy chủ. Chạy các máy cổ như vậy vượt xa so với ngày trước tốt nhất của chúng không chỉ nguy hiểm về các lỗ hổng phần mềm: điều đó có nghĩa là và khi một trong những đĩa cứng đó gặp sự cố, cơ hội tìm thấy sự thay thế của cùng một kiểu và kiểu máy là có hiệu quả bằng không. Vì vậy, từ góc độ RAID, sự sắp xếp này không có ý nghĩa gì cả.

Chúng tôi trao quyền cho nhân viên của mình sử dụng các thiết bị của riêng họ

Các thiết bị của riêng bạn (BYOD) đã trở nên rất thời trang trong những năm gần đây và nếu bạn thực sự muốn, có thể điều hành một doanh nghiệp chỉ trên điện thoại cá nhân và máy tính bảng của nhân viên, sử dụng các ứng dụng chính.

Nhưng đó không phải là toàn bộ câu chuyện. Đó không chỉ là việc tin tưởng nhân viên và giải pháp MDM của bạn. Hầu hết các ứng dụng họ đang dựa vào việc doanh nghiệp của bạn đang dựa vào các mặt trước mỹ phẩm cho các trang trại điện toán đám mây khổng lồ, vô hình. Bạn có thể đặt cược rằng chủ sở hữu và nhà phát triển không có lợi ích tốt nhất của bạn.

Điều này không có nghĩa là mọi doanh nghiệp cần được vận hành trên một nền tảng công cộng mạnh mẽ nào đó. Bạn có thể cung cấp các tấm gỗ với sức mạnh tính toán nhỏ đáng kể và kiếm được lợi nhuận. Đó là những gì kinh doanh là về. Mặc dù vậy, sự nhấn mạnh đã dần chuyển từ xử lý và sang giá trị của thông tin. Để cung cấp một ván gỗ có thể cần một chiếc xe tải, có thể không phù hợp với tất cả các cây cầu trong thị trấn của bạn, và do đó có thể cần một thuật toán định tuyến thông minh hơn.

Một trường hợp nghiên cứu có liên quan ở đây là ứng dụng satnav nguồn mở Waze, người đã chiến đấu với một hành động bảo vệ ổn định chống lại các yêu cầu cho một chế độ xe tải trên xe lửa trong ít nhất hai đến ba năm qua. Lý do là một phê bình cổ điển về logic thị trường đại chúng: theo báo cáo, các nhà phát triển ban đầu không xây dựng khả năng nắm bắt độ cao của cầu vào mô hình dữ liệu, vì vậy bây giờ dữ liệu chưa được thu thập và thực sự cơ sở dữ liệu của họ thiếu cấu trúc cần thiết để lưu trữ nó.

Vì vậy, theo quy định, bạn nên mong đợi các nền tảng công cộng chỉ cung cấp một sự phù hợp gần đúng cho nhu cầu của bạn. Điều này áp dụng cho các dịch vụ email miễn phí nhiều như ứng dụng satnav miễn phí hoặc miễn phí mọi thứ và sau đó khi mô hình doanh thu xuất hiện, bạn có thể thấy dữ liệu quan trọng của mình bị ràng buộc chặt chẽ vào dịch vụ mà bạn không kiểm soát, phải trả tiền tiếp tục sử dụng và có thể không dễ dàng thoát khỏi nó. Điều quan trọng cần nhớ là vi phạm không phải là cách duy nhất bạn có thể mất quyền kiểm soát dữ liệu của mình.

Tất cả chúng ta đều không dây vì đó là tương lai

Cho phép tôi kể lại cuộc trò chuyện mà tôi đã có một tuần trước khi đứng bên ngoài tòa nhà an toàn đến mức bạn không thể vào nếu bạn không có ID ảnh, tốt nhất là hộ chiếu của bạn và nhân viên nội bộ phải giữ bạn trong tầm mắt tất cả thời gian. Tổ chức này đưa ra quan điểm rằng không cần cung cấp kết nối Ethernet cho bàn của mọi người, vì tương lai là không dây. Vì vậy, tôi đã hỏi họ rằng họ tự tin như thế nào về dấu chân tín hiệu và liệu họ đã thực hiện bất kỳ đánh giá tòa nhà nào cho buổi giới thiệu di động 5G sắp tới.

Tất nhiên, hầu như không ai có. 5G ban đầu, ít nhất là được triển khai trên những thứ điên rồ như hydro, để tăng băng thông tạm thời tại các sự kiện thể thao lớn và tương tự. Về mặt kỹ thuật, nó có nhiều điểm chung với Wi-Fi siêu nạp hơn so với các thế hệ tín hiệu di động trước đây của Giết.

Một điều quan trọng cần biết là điện thoại có thể sử dụng 5G sẽ bị nhảy băng thông như điên. Việc gõ của bạn có thể tăng lên thông qua 2G, trong khi bạn xem video qua 4G và tải xuống bản cập nhật hệ điều hành trên 5G. Định tuyến đa dạng cho dữ liệu di động được quảng cáo là một lợi thế, nhưng tôi không thể làm lung lay sự nghi ngờ rằng bất kỳ điện thoại nào thực sự có thể làm điều này sẽ cần một xe đẩy được nạp pin.

Không chỉ tương lai không dây này phức tạp, nó còn rất xa để được an toàn. Người ta đã tính toán rằng sẽ mất nhiều thời gian hơn cả vòng đời của vũ trụ để giải mã Wi-Fi an toàn vào vòng đời của một số vũ trụ nhưng đó là một đánh giá mà quên đi một bài học quan trọng về việc bắt đầu điện toán như một công cụ nghiêm túc. Nó bắt nguồn từ thời Bletchley Park đang làm việc để phát triển các khái niệm của Alan Turing thành một thiết bị khả thi với một công việc cụ thể để bẻ khóa các mã được sử dụng bởi các máy Enigma của Đức trong Thế chiến thứ hai.

Như bạn chắc chắn biết, đó là một nhiệm vụ mà cuối cùng những người tiên phong đó đã thành công, nhưng họ đã được giúp đỡ bởi thói quen đáng tiếc của người Đức khi lặp lại cùng một cụm từ ở cuối tin nhắn được mã hóa của họ Heil Hitler. Mô hình nhất quán này trong dòng thông điệp ồ ạt làm giảm thời gian suy nghĩ hoặc công việc bút chì cần thiết để thiết lập phần còn lại của bảng chữ cái mật mã được sử dụng ngày hôm đó từ vòng đời của vũ trụ đến một buổi chiều.

Chuyển tới internet và bạn có thể chắc chắn rằng một tỷ lệ lưu lượng truy cập web hợp lý sẽ liên quan đến sự lặp lại và tính nhất quán. Sẽ không có gì đơn giản như miền https: // www / Lần, nhưng hãy suy nghĩ theo những dòng đó.

Vì vậy, chúng ta đừng đặt niềm tin vào tương lai không dây. Các doanh nghiệp vẫn muốn có sự thuận tiện của kết nối không dây, nhưng khi chủ doanh nghiệp cần chứng minh với các cơ quan quản lý và công chúng rằng dữ liệu của họ đang được xử lý an toàn, câu trả lời không ẩn trong thông số kỹ thuật của giao thức. Bất kể vận chuyển, công việc của bạn là giám sát và quản lý luồng.