Облачные провайдеры не заботятся о безопасности ваших данных
На прошлой неделе я рассказал о пяти способах защиты потребителей от очередного взлома Sony . В качестве продолжения этого обсуждения я хочу обратиться к смущающему отсутствию подотчетности поставщиков облачных услуг, когда речь заходит о безопасности.
В недавней статье Уолл-стрит джорнал, написанной Беном Руни, сообщалось, что большинство поставщиков облачных услуг не считают безопасность одной из своих важнейших обязанностей. Это мнение основано на опросе института Ponemon. Согласно статье, опрос 127 поставщиков облачных услуг, в том числе 24 в шести европейских странах и остальные в США, показал, что большинство считает, что ответственность за безопасность данных лежит на их клиентах. Далее в отчете утверждается, что большинство провайдеров облачных услуг (79%) говорят, что их организации выделяют 10 процентов или менее ИТ-ресурсов на деятельность, связанную с безопасностью.
Опыт моей собственной компании как поставщика привилегированного программного обеспечения для управления учетными записями, безусловно, согласуется с этим выводом. Мы находим, что небольшое количество ведущих поставщиков облачных услуг всерьез задумывается о контроле и аудите доступа своих сотрудников к конфиденциальным данным клиентов. Тем не менее, вы можете быть удивлены некоторыми известными провайдерами, которые, похоже, думают о безопасности данных клиента как о запоздалой мысли.
Тот факт, что очень многие облачные провайдеры — большие и малые — не заинтересованы в управлении привилегированными удостоверениями и разделении обязанностей по ограничению доступа к конфиденциальным данным и системам, должны дать клиентам большую паузу, прежде чем они предоставят свои самые ценные данные и ресурсы в руки большинства провайдеров. ,
Никаких последствий для нарушений безопасности данных в облаке
Реальность безопасности облачных данных и PCI-DSS сегодня заключается в том , что они неэффективны. Более того, для многих компаний, которые недостаточно инвестируют в безопасность, нет никаких последствий.
Недавние нарушения Sony служат ярким примером. Существует множество технологий для предотвращения утечки данных и ограничения их ущерба, но Sony решила не внедрять ее. Размещение такого большого количества личных данных клиентов в единой общедоступной базе данных без ограничений является постыдным. Особенно с учетом технологий, доступных сегодня для защиты от такого рода потерь.
Подавляющее большинство в том, что CIO и CSO в Sony, ответственные за эту ситуацию, не будут нести ответственность за свои плохие решения. Точно так же, если история является каким-либо руководством, аудиторы, ответственные за проверку соответствия ИТ-безопасности в Sony, также не столкнутся с последствиями. Потеря личной информации потребителей, скорее всего, будет не чем иным, как «стоимостью ведения бизнеса». Потребитель примет на себя боль, а Sony нанесет кратковременный удар по своей репутации.
Именно по этой причине я принципиально против сокрытия результатов PCI, а также SAS70, сообщает общественность. Если потенциальный клиент не имеет доступа к полному внутреннему отчету по безопасности от поставщика облачных услуг, потенциальный клиент должен ожидать, что у поставщика практически нет реальной безопасности. Поэтому он может ожидать, что конфиденциальные данные будут в конечном итоге скомпрометированы.
Какова вероятность того, что вы передадите свои конфиденциальные данные поставщикам облачных услуг? И какой самый большой вопрос безопасности облачных вычислений вы хотели бы получить?