Salaus kriisissä: Yhdistyneen kuningaskunnan yritykset joutuvat tietoturvamuutokseen ehdotetun tutkintavaltuuslain uudistuksen vuoksi
Sisällysluettelo:
Yhdistyneen kuningaskunnan hallitus pyrkii tekemään muutoksia Investigatory Powers Act -lakiin, sen Internet-snooping-järjestelmään, jotta lainvalvonta- ja turvallisuuspalvelut voivat ohittaa pilvipalvelujen tarjoajien päästä päähän -salauksen ja päästä yksityiseen viestintään helpommin ja laajemmin. Se väittää, että muutokset ovat yleisön etujen mukaisia, koska tietoverkkorikollisuus karkaa hallinnasta ja Ison-Britannian viholliset pyrkivät vakoilemaan kansalaisiaan.
Tietoturvaasiantuntijat kuitenkin ajattelevat toisin ja väittävät, että muutokset luovat salauksen takaovia, joiden avulla kyberrikolliset ja muut pahantahtoiset tahot voivat saalistaa pahaa aavistamattomien käyttäjien tietoja. He kehottavat yrityksiä ottamaan salauksen omiin käsiinsä asiakkaidensa ja heidän maineensa suojelemiseksi, sillä pilvipalvelut, joihin he aiemmin luottivat, eivät ole enää vapaita viranomaisilta. Tämä käy ilmi Applen päätöksestä lopettaa Advanced Data Protection -työkalunsa tarjoaminen Isossa-Britanniassa brittiläisten lainsäätäjien vaatimien tietojen saatavuudesta takaovesta huolimatta siitä, että Cupertinossa toimiva teknologiajätti ei voi edes käyttää sitä.
Yleisen turvallisuuden parantaminen
Hallitus toivoo parantavansa yleistä ja kansallista turvallisuutta näillä muutoksilla. Tämä johtuu siitä, että päästä päähän -salauksen lisääntynyt käyttö ja kehittyminen vaikeuttaa viestinnän sieppaamista ja valvontaa täytäntöönpano- ja tiedustelupalveluille. Poliitikot väittävät, että tämä estää viranomaisia tekemästä työtään ja antaa rikollisille mahdollisuuden päästä eroon rikoksistaan, mikä vaarantaa maan ja sen väestön.
Matt Aldridge, OpenText Securityn tärkein ratkaisukonsultti, selittää, että hallitus haluaa puuttua tähän ongelmaan antamalla poliisille ja tiedustelupalveluille enemmän valtuuksia ja mahdollisuuksia pakottaa teknologiayritykset ohittamaan tai poistamaan päästä päähän -salauksen, jos ne epäilevät rikosta.
Näin tehdessään tutkijat pääsivät käsiksi teknologiayritysten hallussa oleviin raakatietoihin. He voivat sitten käyttää näitä tietoja auttamaan tutkimuksiaan ja viime kädessä torjumaan rikollisuutta.
Alridge kertoo ISMS.online-sivustolle: "Argumentti on, että ilman tätä lisämahdollisuutta päästä käsiksi salattuihin viestintään tai tietoihin Yhdistyneen kuningaskunnan kansalaiset ovat alttiimpia rikollisille ja vakoilutoiminnalle, koska viranomaiset eivät voi käyttää signaalitiedustelua ja rikosteknisiä tutkimuksia kriittisten todisteiden keräämiseen tällaisissa tapauksissa."
Hallitus yrittää pysyä rikollisten ja muiden uhkatoimijoiden tahdissa laajennetun tiedon nuuskimisvallan avulla, sanoo Conor Agnew, Closed Door Securityn vaatimustenmukaisuustoimintojen johtaja. Hän sanoo jopa ryhtyvän toimenpiteisiin painostaakseen yrityksiä rakentamaan ohjelmistoonsa takaovia, jotta viranomaiset pääsevät käsiksi käyttäjien tietoihin haluamallaan tavalla. Tällainen siirto vaarantaa "päästä päähän -salauksen käytön roskaamisen".
Valtavat seuraukset yrityksille
Hallitus yrittää kuitenkin perustella päätöstään IPA:n muuttamisesta, mutta muutokset asettavat organisaatioille merkittäviä haasteita tietoturvan ylläpitämisessä, viranomaisvelvoitteiden noudattamisessa ja asiakkaiden tyytyväisyydessä.
Jordan Schroeder, CISO:n johtaja Esteverkot, väittää, että päästä päähän -salauksen minimoiminen valtion valvonta- ja tutkintatarkoituksiin luo "systeemisen heikkouden", jota kyberrikolliset, kansallisvaltiot ja pahantahtoiset sisäpiiriläiset voivat käyttää väärin.
"Salauksen heikentäminen heikentää luonnostaan turvallisuutta ja yksityisyyden suojausta, johon käyttäjät luottavat", hän sanoo. "Tämä asettaa suoran haasteen yrityksille, erityisesti rahoitus-, terveydenhuolto- ja lakipalvelualan yrityksille, jotka ovat riippuvaisia vahvasta salauksesta arkaluonteisten asiakastietojen suojaamiseksi.
OpenText Securityn Aldridge on samaa mieltä siitä, että ottamalla käyttöön mekanismeja päästä päähän -salauksen vaarantamiseksi, hallitus jättää yritykset "valtavasti alttiin" sekä tahallisille että tahattomille kyberturvallisuusongelmille. Tämä johtaa "tietojen luottamuksellisuutta ja eheyttä koskevan varmuuden huomattavaan vähenemiseen".
Näiden uusien sääntöjen noudattamiseksi Aldridge varoittaa, että teknologiapalveluntarjoajat saattavat joutua lykkäämään tärkeitä tietoturvakorjauksia tai viivyttämään niitä. Hän lisää, että tämä antaisi kyberrikollisille enemmän aikaa hyödyntää korjaamattomia kyberturvallisuuden haavoittuvuuksia.
Näin ollen Alridge odottaa "nettovähennystä" Isossa-Britanniassa toimivien teknologiayritysten ja niiden käyttäjien kyberturvallisuudessa. Mutta koska teknologiapalvelut ovat toisiinsa yhteydessä, hän sanoo, että nämä riskit voivat vaikuttaa muihin maihin kuin Isoon-Britanniaan.
Hallituksen määräämät turvallisuustakaovet voivat olla taloudellisesti haitallisia myös Britannialle.
Agnew siitä Suljetun oven turvallisuus sanoo, että kansainväliset yritykset voivat vetää toimintoja Yhdistyneestä kuningaskunnasta, jos "oikeudellinen liikatoiminta" estää niitä suojaamasta käyttäjätietoja.
Ilman pääsyä valtavirran päästä päähän salattuihin palveluihin, Agnew uskoo, että monet ihmiset turvautuvat pimeään verkkoon suojautuakseen lisääntyneeltä valtion valvonnalta. Hän sanoo, että sääntelemättömän tietojen tallennuksen lisääntyvä käyttö asettaa käyttäjät vain suuremmalle riskille ja hyödyttää rikollisia, mikä tekee hallituksen muutoksista hyödyttömiä.
Näiden riskien vähentäminen
Repressiivisessä IPA-järjestelmässä salauksen takaovista on vaarassa tulla normi. Jos näin tapahtuu, organisaatioilla ei ole muuta vaihtoehtoa kuin tehdä laajoja muutoksia kyberturvallisuusasenteeseensa.
Schröderin mukaan Esteverkot, tärkein askel on kulttuurin ja ajattelutavan muutos, jossa yritykset eivät enää oleta teknologiatoimittajilla olevan valmiuksia suojata tietojaan.
Hän selittää: "Silloin kun yritykset luottivat aikoinaan Applen tai WhatsAppin kaltaisiin palveluntarjoajiin E2EE:n takaamiseksi, niiden on nyt oletettava, että nämä alustat ovat sattumalta vaarantuneet, ja heidän on otettava vastuu omista salauskäytännöistään."
Ilman asianmukaista suojaa teknologiapalveluntarjoajilta Schroeder kehottaa yrityksiä käyttämään riippumattomia, itseohjattuja salausjärjestelmiä tietosuojansa parantamiseksi.
On olemassa muutamia tapoja tehdä tämä. Schroeder sanoo, että yksi vaihtoehto on salata arkaluonteiset tiedot ennen kuin ne siirretään kolmannen osapuolen järjestelmiin. Tällä tavalla tiedot suojataan, jos isäntäalustalle hakkeroidaan.
Vaihtoehtoisesti organisaatiot voivat käyttää avoimen lähdekoodin hajautettuja järjestelmiä ilman hallituksen määräämiä salauksen takaovia. Haittapuolena Shroeder sanoo, että tällaisilla ohjelmistoilla on erilaisia tietoturvariskejä, eikä niitä ole aina helppo käyttää ei-teknisille käyttäjille.
OpenText Securityn Aldridge toistaa Schroederin kaltaisia näkemyksiä ja sanoo, että yritysten on otettava käyttöön lisää salauskerroksia nyt, koska ne eivät voi olla riippuvaisia pilvipalveluntarjoajien päästä-to-salauksesta.
Ennen kuin organisaatiot lataavat tietoja pilveen, Aldridge sanoo, että heidän tulisi salata se paikallisesti. Yritysten tulisi myös pidättäytyä salausavaimien tallentamisesta pilveen. Sen sijaan hän sanoo, että heidän pitäisi valita omat paikallisesti isännöidyt laitteistoturvamoduulit, älykortit tai tokenit.
Agnew siitä Suljetun oven turvallisuus suosittelee, että yritykset investoivat nollaluottamukseen ja syvällisen puolustuksen strategioihin suojautuakseen normalisoitujen salauksen takaovien riskeiltä.
Hän kuitenkin myöntää, että näistäkin vaiheista huolimatta organisaatiot ovat velvollisia luovuttamaan tietoja valtion virastoille, jos niitä pyydetään luvan kautta. Tätä silmällä pitäen hän rohkaisee yrityksiä priorisoimaan "keskittymään siihen, mitä tietoja heillä on hallussaan, mitä tietoja henkilöt voivat toimittaa tietokantoilleen tai verkkosivustoilleen ja kuinka kauan he säilyttävät näitä tietoja".
Näiden riskien arviointi
Olennaista on, että yritysten on otettava nämä haasteet osana kokonaisvaltaista riskienhallintastrategiaa. Barrier Networksin Schroederin mukaan tämä edellyttää salaustoimittajien ja laajemman toimitusketjun turvatoimien säännöllisiä tarkastuksia.
OpenText Securityn Aldridge korostaa myös kyberriskien arvioinnin uudelleenarvioinnin tärkeyttä, jotta voidaan ottaa huomioon heikentyneen salauksen ja takaovien aiheuttamat haasteet. Sitten hän lisää, että heidän on keskityttävä ylimääräisten salauskerrosten, kehittyneiden salausavaimien, toimittajan korjaustiedostojen hallintaan ja arkaluonteisten tietojen paikalliseen pilvitallennustilaan.
Toinen hyvä tapa arvioida ja lieventää hallituksen IPA-muutosten aiheuttamia riskejä on ottaa käyttöön ammattimainen kyberturvallisuuskehys.
Schroeder sanoo, että ISO 27001 on hyvä valinta, koska se tarjoaa yksityiskohtaista tietoa salauksen ohjauksista, salausavainten hallinnasta, suojatusta viestinnästä ja salausriskien hallinnasta. Hän sanoo: "Tämä voi auttaa organisaatioita varmistamaan, että vaikka niiden ensisijainen palveluntarjoaja vaarantuisi, ne säilyttävät hallinnan tietojensa turvallisuudesta."
Kaiken kaikkiaan IPA-muutokset näyttävät olevan jälleen yksi esimerkki siitä, että hallitus haluaa saada enemmän hallintaa viestinnässämme. Muutokset, joita mainostetaan askeleena kansallisen turvallisuuden vahvistamiseksi ja jokapäiväisten kansalaisten ja yritysten suojelemiseksi, lisäävät ihmisten tietomurtojen riskiä. Samalla yritykset joutuvat omistamaan jo venyneet IT-tiimit ja pienet budjetit omien salauskeinojensa kehittämiseen, koska ne eivät voi enää luottaa pilvipalvelujen tarjoajien tarjoamiin suojauksiin. Joka tapauksessa salaustakaovien riskin sisällyttäminen on nyt ehdottoman välttämätöntä yrityksille.
