Hvor sikker er skyen?

LinkedIns Andres Bang, Juniper's Gary Clark, Akamai's Tom Leighton, Emergence Capital's Gordon Ritter, og Bloombergs Cristina Alesci

Hvor sikker er skyen? En rekke paneldeltakere på forrige ukes Bloomberg Enterprise Technology Summit snakket om den saken, spesielt i kjølvannet av Snowden-avsløringene og Target-bruddet. De fleste var uhøflige med hensyn til potensialet til offentlige nettskydeleverandører for å tilby bedre sikkerhet enn nesten hvilken som helst egen datatjeneste. Likevel erkjente selv de mest optimistiske at mange bedrifter føler seg mer komfortable med mer kontroll over dataene sine.

For eksempel sa Andres Bang, sjef for Global Sales & Operations Systems for LinkedIn, at firmaet hans var en stor kunde av offentlige skytjenester, og som sådan avhengig av slike leverandører. Men, sa han, selskapet beholdt sin medlemsinformasjon på en privat sky, så det hadde mer kontroll. Gary Clark, IT CTO for Juniper Networks, sa at han ser mange IT-avdelinger utvikle seg til skytjenestemeglere, med 80 prosent eller mer av applikasjonene sine i skyen, og resten på en privat sky. Generelt sett så han selskaper holde sin mest private informasjon internt.

Avhengig av sikkerhet i datasenteret er en modell som er i ferd med å feile, ifølge Tom Leighton, administrerende direktør og medgründer av Akamai Technologies. Det er ikke nok å bare forsvare deg med produkter i datasenteret; må du avskjære og behandle før det går inn i datasenteret.

CIA: Du er "Bare så sterk som din svakeste link."

Gus Hunt, tidligere teknologisjef for CIA

I en annen sesong bemerket Gus Hunt, den tidligere teknologisjefen for Central Intelligence Agency (CIA) og nåværende administrerende direktør for Hunt Technology, at de store skyleverandørene alle har "virkelig suveren" sikkerhet, fordi de trenger det for å tiltrekke seg kunder. Han snakket om hvordan CIA brukte Amazons sky, om enn i en spesiell kopi som Amazon klarer bak CIAs vegger (som igjen er beskyttet av våpen og annen fysisk sikkerhet).

Men han bemerket at sikkerheten er "bare så sterk som din svakeste ledd." Han forklarte at hvis du har en arbeidsmengde med en sårbarhet på toppen av en skyleverandør, fortsetter disse sårbarhetene. Men en sårbarhet i en arbeidsmengde påvirker ikke andre i skyen. Så, sa han, å sikre din egen arbeidsmengde er fortsatt en kritisk oppgave.

Hunt sa at sikkerhetsspørsmålet blir en "ufravikelig vanskelig og vanskelig ting" og sa at det var veldig vanskelig for et enkelt selskap å finne ut hvordan de kan beskytte seg. Så han så fremveksten av sikkerhetsselskaper som vil instrumentere nettverket ditt og kontrollere sikkerheten. Men han sa at dette var et "friksjonsløst våpenløp" med informasjon som ble delt om ting som malware nesten øyeblikkelig, noe som gjør det mer og mer vanskelig.

Til slutt, sa han, vil vi fokusere mer på å beskytte data enn nettverk. "Det er dataene, dumme, " sa han. Vi må gjøre det slik at det er vanskelig å finne dataene. Men hvis noen slipper gjennom, må det raskt oppdages og fikses.

På sikt sa Hunt at folk vil få mer kontroll over dataene og personvernet deres, takket være teknikker som kryptering og dekryptering, og muligheten til å forfalske steder. Det er bra for private borgere, sa han, men byr på store utfordringer for rettshåndhevelse. "Du vil kunne kontrollere dataene dine til et fint kornpunkt."

Formildende risiko og "Snowden-effekten"

Wade Baker av Verizon Enterprise Solutions, Mike K. Brown fra BlackBerry, Dr. Burt Kaliski jr. Fra VeriSign, John N. Stewart fra Cisco

John N. Stewart, Chief Security Officer for Cisco bemerket at ett problem er at vi ikke har en god definisjon av god eller dårlig i virksomhetssikkerhet, så det er vanskelig å sammenligne sikkerhet fra en skyleverandør til en enterprise sky. Og Wade Baker, administrerende rektor for forskning og intelligens hos Verizon Enterprise Solutions, sa at selv om sikkerhetsproblemer kan skje i skyen, betyr det ofte ikke noe fordi det sjelden skyldes skyen.

Burt Kaliski, teknologisjef i VeriSign, brakte også opp konseptet å gå over til en "informasjonssentrisk tilnærming", med mange mekanismer for beskyttelse, men holder det meste av dette usynlig for sluttbrukeren.

I følge Stewart bringer skysikkerhet bare "hver synd vi ikke løste" i forkant, og siterer slike problemer som problemet med brukernavn og passord. Han sa at selskaper var for fokusert på omkretsen - den "harde knasende utenfor" - ikke på midten av dataene deres, og at det måtte endres. Han bemerket at beskyttelse av dataene har fått et dårlig rykte, med DRM, men det kan vise seg å være veldig viktig. Men han advarte: "De fleste brukere bryr seg ikke om risiko, de bryr seg om å gjøre jobben sin gjort på den mest effektive måten."

Det er mange andre viktige faktorer innen virksomhetssikkerhet, sa Kaliski, inkludert god informasjonsstyring, med fokus på tilliten til alle elementer i et system, revisjon og nøkkelstyring.

Alle var enige om at "Snowden-effekten" har vakt oppmerksomhet rundt sikkerhetsspørsmål, med at mange internasjonale forbrukere nå ser på USA som onde, mens andre mener det betyr at USA vet hvordan de skal fikse ting.

Raimund Genes of Trend Micro, Rick Howard fra Palo Alto Networks, Cedric Leighton tidligere fra NSA, Michael Riley fra Bloomberg News

En annen økt bare om virkningen av Snowden fulgte, med den største bekymringen var at dette førte til "tribalisering av Internett", ifølge oberst Cedric Leighton, tidligere visedirektør for opplæring ved NSA og nå administrerende direktør i Cedric Leighton Associates. Han bemerket at Internett var designet for å være globalt, men nå hører vi om ting som en "tysk sky" eller en "sveitsisk sky" i tillegg til "den store brannmuren i Kina." Snowdens avsløringer har tjent som en unnskyldning for å renationalisere ting, sa han, og dette gjør en betydelig bjørnetjeneste for verden og Internett, med mange utilsiktede konsekvenser.

Raimund Genes, teknologisjef i Trend Micro, bemerket at Snowden også startet en diskusjon om sikkerhet generelt. "Hvis Snowden kan få dokumenter ut av NSA, hva sier den om bransjen vår?" spurte han. Han snakket om hvor vanskelig det var å stole på interne entreprenører og behovet for å lage et mer sikkert internett generelt, og sa at han trodde regjeringen hadde en rolle.

Han var enig i at "Internett ble opprettet for å være globalt" og sa at noen av de nye europeiske reglene som er laget for å holde data i dets opprinnelige land eller region, er latterlige.

Mens han og Leighton begge enige om at regjeringen hadde en rolle i å gjøre Internett sikrere, sa Rick Howard, Chief Security Officer for Palo Alto Networks, at hele hendelsen beviste at industrien har gjort en god jobb med å stille sikkerhet, og sa leverandører som må være bedre om å bygge sikkerhet inn i flere løsninger. "Kunder må være forsikret uansett hva regjeringen gjør, " sa han.