Enkripsie in 'n krisis: Britse ondernemings staar veiligheidsskudding in die gesig onder die voorgestelde hervorming van die Wet op Ondersoekbevoegdhede
INHOUDSOPGAWE:
Die Britse regering streef na veranderinge aan die Wet op Ondersoekbevoegdhede, sy internet-snuffelregime, wat wetstoepassing en sekuriteitsdienste in staat sal stel om die end-tot-end-enkripsie van wolkverskaffers te omseil en toegang tot private kommunikasie makliker en met groter omvang te verkry. Dit beweer die veranderinge is in die publiek se beste belang, aangesien kubermisdaad buite beheer raak en Brittanje se vyande probeer om op sy burgers te spioeneer.
Sekuriteitskenners dink egter anders en voer aan dat die wysigings enkripsie-agterdeure sal skep wat kubermisdadigers en ander onheilspellende partye in staat stel om die data van niksvermoedende gebruikers te prooi. Hulle doen 'n beroep op besighede om enkripsie in eie hande te neem om hul kliënte en hul reputasies te beskerm, aangesien die wolkdienste waarop hulle vroeër staatgemaak het, nie meer vry is van regeringssnuffel nie. Dit blyk uit Apple se besluit om op te hou om sy Gevorderde Databeskerming-instrument in Brittanje aan te bied na aanleiding van eise deur Britse wetgewers vir agterdeurtoegang tot data, ten spyte van die feit dat die Cupertino-gebaseerde tegnologiereus nie eers toegang daartoe het nie.
Verbetering van openbare veiligheid
Die regering hoop om openbare veiligheid en nasionale sekuriteit te verbeter deur hierdie veranderinge aan te bring. Dit is omdat die verhoogde gebruik en gesofistikeerdheid van end-tot-end-enkripsie die onderskepping en monitering van kommunikasie moeiliker maak vir toepassings- en intelligensie-agentskappe. Politici voer aan dat dit die owerhede verhoed om hul werk te doen en dat misdadigers met hul misdade kan wegkom, wat die land en sy bevolking in gevaar stel.
Matt Aldridge, hoofoplossingskonsultant by OpenText Security, verduidelik dat die regering hierdie kwessie wil aanpak deur die polisie en intelligensiedienste meer magte en ruimte te gee om tegnologiemaatskappye te dwing om end-tot-end-enkripsie te omseil of af te skakel indien hulle 'n misdaad vermoed.
Sodoende kan ondersoekers toegang kry tot die rou data wat deur tegnologiemaatskappye gehou word. Hulle kan dan hierdie inligting gebruik om hul ondersoeke te help en uiteindelik misdaad aan te pak.
Alridge sê aan ISMS.online: "Die argument is dat sonder hierdie bykomende vermoë om toegang tot geënkripteerde kommunikasie of data te verkry, Britse burgers meer blootgestel sal wees aan kriminele en spioenasieaktiwiteite, aangesien owerhede nie sein-intelligensie en forensiese ondersoeke sal kan gebruik om kritieke bewyse in sulke gevalle te versamel nie."
Die regering probeer tred hou met misdadigers en ander bedreigingsrolspelers deur verruimde magte om data te snuffel, sê Conor Agnew, hoof van nakomingsbedrywighede by Closed Door Security. Hy sê dit neem selfs stappe om maatskappye te druk om agterdeure in hul sagteware in te bou, wat amptenare in staat stel om toegang tot gebruikers se data te kry soos hulle wil. So 'n stap loop die risiko om "die gebruik van end-tot-end-enkripsie te vermors".
Groot gevolge vir besighede
Die regering probeer egter sy besluit om IPA te wysig regverdig, die veranderinge bied aansienlike uitdagings vir organisasies in die handhawing van datasekuriteit, die nakoming van regulatoriese verpligtinge en om kliënte gelukkig te hou.
Jordan Schroeder, besturende CISO van Versperringsnetwerke, voer aan dat die minimalisering van end-tot-end-enkripsie vir staatstoesig- en ondersoekdoeleindes 'n "sistemiese swakheid" sal skep wat misbruik kan word deur kubermisdadigers, nasiestate en kwaadwillige insiders.
"Verswakking van enkripsie verminder inherent die sekuriteit en privaatheidbeskerming waarop gebruikers staatmaak," sê hy. “Dit hou 'n direkte uitdaging in vir besighede, veral dié in finansies, gesondheidsorg en regsdienste, wat afhanklik is van sterk enkripsie om sensitiewe kliëntdata te beskerm.
Aldridge van OpenText Security stem saam dat deur meganismes in te stel om end-tot-end-enkripsie in gedrang te bring, die regering besighede “grootliks blootgestel” laat aan beide opsetlike en nie-opsetlike kuberveiligheidskwessies. Dit sal lei tot 'n "massiewe afname in versekering rakende die vertroulikheid en integriteit van data".
Om aan hierdie nuwe reëls te voldoen, waarsku Aldridge dat tegnologiediensverskaffers gedwing kan word om noodsaaklike sekuriteitsreëlings te weerhou of te vertraag. Hy voeg by dat dit kubermisdadigers meer tyd sal gee om ongelapte kuberveiligheidskwesbaarhede uit te buit.
Gevolglik verwag Alridge 'n "netto vermindering" in die kuberveiligheid van tegnologiemaatskappye wat in die VK werksaam is en hul gebruikers. Maar as gevolg van die onderling gekoppelde aard van tegnologiedienste, sê hy dat hierdie risiko's ander lande behalwe die VK kan raak.
Veiligheids-agterdeure wat deur die regering opdrag gegee word, kan ook ekonomies skadelik vir Brittanje wees.
Agnew van Geslote Deur Sekuriteit sê internasionale ondernemings kan bedrywighede uit die VK trek as "geregtelike oorskryding" hulle verhoed om gebruikersdata te beskerm.
Sonder toegang tot hoofstroom-end-tot-end geënkripteerde dienste, glo Agnew dat baie mense hulle tot die donker web sal wend om hulself teen verhoogde staatstoesig te beskerm. Hy sê verhoogde gebruik van ongereguleerde databerging sal gebruikers net 'n groter risiko plaas en misdadigers bevoordeel, wat die regering se veranderinge nutteloos sal maak.
Versagting van hierdie risiko's
Onder 'n meer onderdrukkende IPA-regime kan enkripsie-agterdeure die norm word. Sou dit gebeur, sal organisasies geen ander keuse hê as om ingrypende veranderinge aan hul kuberveiligheidsposisie te maak nie.
Volgens Schroeder van Versperringsnetwerke, is die mees deurslaggewende stap 'n kulturele en ingesteldheidverskuiwing waarin besighede nie meer aanvaar dat tegnologieverkopers oor die vermoë beskik om hul data te beskerm nie.
Hy verduidelik: "Waar besighede eens op verskaffers soos Apple of WhatsApp staatgemaak het om E2EE te verseker, moet hulle nou aanvaar dat hierdie platforms terloops gekompromitteer is en verantwoordelikheid aanvaar vir hul eie enkripsiepraktyke."
Sonder voldoende beskerming teen tegnologie-diensverskaffers, moedig Schroeder besighede aan om onafhanklike, selfbeheerde enkripsiestelsels te gebruik om hul dataprivaatheid te verbeter.
Daar is 'n paar maniere om dit te doen. Schroeder sê een opsie is om sensitiewe data te enkripteer voordat dit na derdepartystelsels oorgedra word. Op dié manier sal data beveilig word as die gasheerplatform gehack word.
Alternatiewelik kan organisasies oopbron, gedesentraliseerde stelsels gebruik sonder deur die regering gemandateerde enkripsie-agterdeure. Die nadeel, sê Shroeder, is dat sulke sagteware verskillende sekuriteitsrisiko's het en nie altyd maklik is om te gebruik vir nie-tegniese gebruikers nie.
Aldridge van OpenText Security, wat soortgelyke sienings as Schroeder weerspieël, sê ondernemings moet bykomende enkripsielae implementeer noudat hulle nie op die end-tot-enkripsie van wolkverskaffers kan staatmaak nie.
Voordat organisasies data na die wolk oplaai, sê Aldridge dat hulle dit plaaslik moet enkripteer. Besighede moet hulle ook daarvan weerhou om enkripsiesleutels in die wolk te stoor. In plaas daarvan sê hy hulle moet kies vir hul eie hardeware-sekuriteitsmodules, slimkaarte of tokens wat plaaslik aangebied word.
Agnew van Geslote Deur Sekuriteit beveel aan dat besighede belê in nul-vertroue en verdediging-in-diepte strategieë om hulself te beskerm teen die risiko's van genormaliseerde enkripsie-agterdeure.
Maar hy erken dat, selfs met hierdie stappe, organisasies verplig sal wees om data aan regeringsinstansies te oorhandig indien dit via 'n lasbrief versoek word. Met dit in gedagte moedig hy besighede aan om te prioritiseer “om te fokus op watter data hulle besit, watter data persone by hul databasisse of webwerwe kan indien, en hoe lank hulle hierdie data hou”.
Assessering van hierdie risiko's
Besighede moet hierdie uitdagings as deel van 'n omvattende risikobestuurstrategie oorweeg. Volgens Schroeder van Barrier Networks sal dit die uitvoering van gereelde oudits behels van die sekuriteitsmaatreëls wat deur enkripsieverskaffers gebruik word en die breër voorsieningsketting.
Aldridge van OpenText Security beklemtoon ook die belangrikheid daarvan om kuberrisiko-assesserings te herevalueer om die uitdagings wat deur verswakte enkripsie en agterdeure gestel word, in ag te neem. Dan voeg hy by dat hulle sal moet konsentreer op die implementering van bykomende enkripsielae, gesofistikeerde enkripsiesleutels, verskafferspleisterbestuur en plaaslike wolkberging van sensitiewe data.
Nog 'n goeie manier om die risiko's wat deur die regering se IPA-veranderinge meegebring word te assesseer en te versag, is deur 'n professionele kuberveiligheidsraamwerk te implementeer.
Schroeder sê ISO 27001 is 'n goeie keuse omdat dit gedetailleerde inligting verskaf oor kriptografiese kontroles, enkripsiesleutelbestuur, veilige kommunikasie en enkripsierisikobestuur. Hy sê: "Dit kan organisasies help om te verseker dat selfs al word hul primêre verskaffer gekompromitteer, hulle beheer oor die sekuriteit van hul data behou."
Oor die algemeen blyk die IPA-veranderings nog 'n voorbeeld te wees van die regering wat meer beheer oor ons kommunikasie wil verkry. Aangewys as 'n stap om nasionale veiligheid te versterk en alledaagse burgers en besighede te beskerm, plaas die veranderinge mense bloot 'n groter risiko vir data-oortredings. Terselfdertyd word maatskappye gedwing om reeds uitgerekte IT-spanne en dun begrotings te wy aan die ontwikkeling van hul eie maniere van enkripsie, aangesien hulle nie meer die beskerming wat deur wolkverskaffers gebied word, kan vertrou nie. Wat ook al die geval is, die insluiting van die risiko van enkripsie-agterdeure is nou 'n absolute noodsaaklikheid vir besighede.
