万“云”皆有险:云计算、监管及数据安全风险初解
Carl Cadregari,CISA,Bonadio 集团企业风险管理部负责人及领导,同时在纽约州北部(美国)最大的保险公司之一担任执行信息安全总监。Cadregari在 IT 及 IS 安全架构、部署、项目管理、设计及管治安全领域有超过 28 年的从业经验。
Alfonzo Cutaia, Esq.,Hodgson Russ LLP 信息技术及互联网法律实践集团合伙人,专注专利业务。加入 Hodgson Russ 前,Cutaia 曾担任美国布法罗州大学的科学、技术转移和经济扩展办公室知识产权助理。
随着经济和监管环境的不断变化,企业需求如同天气变化迅速。所有组织都必须灵活应对,以适应这个环境中的狂风暴雨。预算限制及合规性措施增加迫使所有组织为日常需要寻找替代性解决方案。
其中之一便是:云计算。
然而,“云”如何影响企业?企业如何使用“云”来避免高度敏感的商业和客户信息的流失,及可能导致的罚款、制裁和诉讼呢?
很多人最近都碰到过“云计算”这个术语,而且必定感到困惑。“云”是 IT 组织在 20 世纪90 年代借自电信行业的术语。与其说它是一门精密科学,倒不如说它是一个广义的概念。从广义和理论上讲,云计算是计算资源的大规模集中。通过这种集中,利用远程独立控制的“云”,使得信息、数据处理和软件能为众多企业、用户和服务所用。需要额外资源的组织能够通过新技术(包括虚拟化)的快速应用而提供新的计算资源。
有趣的是,原始的计算模式就是集中式计算—位于中心位置的电脑主机提供处理功能,而低功能"哑终端"则远程连接至主机。随着时间推移,由于处理功能耗费不再昂贵,计算逐渐转换为客户端服务器模式,即本地服务器执行基本功能如文件存储、打印队列管理等,在网络边沿的大部分计算功能移至手提电脑和台式电脑中。而如今,因特网普及,前所未有的数据传输速度及带宽承载能力的提高促使数据和处理需求转向相对便宜且功能强大的云供应商,实现了更加集中的计算模式。
尽管云计算目前仍处于起步阶段,但一些云概念已得到广泛运用。数据处理业务已逐渐应用云计算术语及概念,如应用托管,包括软件即服务(SaaS)和应用服务供应商(ASP);存储虚拟化,包括云存储和在线备份;IT 外包(ITO);以及业务流程外包(BPO),包括客户服务部门、虚拟数据中心和托管(平台)数据中心。然而,集中共享资源的潜在危害也发展到一定水平,能迅速超过云计算的业务实例。所以每个组织在考虑使用云解决方案时必须了解风险的存在,以通过努力实现成功乃至兴盛。
银云—资本节省一目了然
使用云计算能带来众多益处。云供应商的共享本质和巨大规模能让客户快速轻松地扩展或缩小系统,以满足不断变化的需求。这能减少传统客户服务器部署带来的不便。在传统客户服务器部署中,设计人员通常超标准设计容量以保证峰值需求时的合格性能。另外,很多“云”基础系统能让用户从任何浏览器访问信息,甚至是最新的智能手机和平板电脑平台。同时能监测每个用户的资源消耗以最大限度地提高系统效率。部署“云”基础系统的企业可以减少硬件和资本化软件上的资本支出。小企业也能从云供应商的规模经济中获利,充分利用昂贵资源如系统管理员、备份基础设施和网络基础设施于多个客户端。所有这些领域进入门槛明显降低,因为基础设施通常由第三方提供,无需为一次性或偶尔的集中计算任务而购买。
“云”的弊端
虽然优点众多,却也无法掩盖云计算可能给组织带来的无法控制无法预见的信息风险和威胁。因此企业向“云”输送数据前必须全面评估、了解并缓和一切风险。企业运行所需的信息是有价值的资产—或有形,或无形。对于一个企业来说,哪些数据和信息是有价值的?它们对于网络罪犯又有多少价值?黑客用这些信息能做些什么?如果其他公司意外访问或更改数据会给企业带来哪些损失?如果由于云供应商的问题而不幸流失或无法访问信息,企业能做些什么?企业如何知道自己的数据被更改?如果数据泄漏,在法律规定下企业又能采取什么行动?
安全漏洞和数据丢失时有发生。2010 年,根据DataBreaches.net 资料,美国联邦调查局(FBI),计算机安全协会(CSI) 和其他多个组织跟踪报道了数百件重大事故,涵盖数亿项记录—而这些仅仅是报道的数字。现实情况是,所有人阅读报纸或在线文章时都清楚知道网络犯罪和网络罪犯无处不在—问问阿尔迪、T.J.Maxx、Heartland 支付系统、美国退伍军人管理局、Ben & Jerry's 和PETCO,便能知晓一些。底线是云供应商的使用可能大大增加安全事故风险,并由此扩大成本、法律补偿和其他损失。然而,除了增加事件风险外,确定发生的事件并得到恢复的代价也因云计算本身的抽象本质而变得更大。
数据及数据访问对一个企业的持续运营意义重大,尤其对企业所服务的客户而言。有时,更确切地说,数据对想要偷窃、操纵或损害信息的某些人、某些企业甚至某些国家来说更有价值。数据对网络罪犯的价值多少直接决定了对企业的威胁程度。攻击者通常会衡量窃取信息的所得和风险。于是运用“云”时,问题就变成:与几十个甚至几百个其他企业共享的集中数据对企业的威胁是什么?简单的事实是在“云”中储存数据的企业无疑不能直接控制那些数据。此外,标准服务等级协议(SLAs)的帮助也不大—云供应商无法对客户保证安全性、可用性或反应时间。大部分标准服务等级协议多数时候只是空谈或尽力而为,无法为企业提供实质性保证,特别是无法承担法律法规责任。因此任何时候使用云计算,都需要对数据进行审查,并至少就以下六个核心问题得到云安全联盟的回复并确认:
1. 如果信息大范围公开并传播,企业会蒙受怎样的损失?
2. 如果云供应商的员工访问该信息,企业会蒙受怎样的损失?
3. 如果流程或功能为外人操控,企业会蒙受怎样的损失?
4. 如果流程或功能无法实现预期效果,企业会蒙受怎样的
损失?
5. 如果信息/数据被意外更改,企业会蒙受怎样的损失?
6. 如果信息一段时间不可用,企业会蒙受怎样的损失?
“云”的法规遵从
为遵从美国联邦信息安全管理法案(FISMA)、美国健康保险流通与责任法案(HIPAA)、美国经济与临床健康医疗信息技术法案(HITECH)、美国金融服务现代化法案(GLBA)、支付卡行业数据安全标准(PCI DSS)、美国家庭教育权和隐私权法案(FERPA)、美国儿童网络保护法案(CIPA)、美国萨班斯·奥克斯利法案、201 马萨诸塞州法规(CMR)17.00(USA)、加州参议院(SB)第 1386 号法案(USA)、纽约信息安全漏洞通知法案(NYISBNA)(USA)、美国联邦法规,标题 21,第 11 部分(21CFR11)以及其他数据安全规定,企业必须制定审计要求和行动。因此,企业需要深入了解云计算的运用如何影响其职责和遵从行动。一般来说,大多法律法规要求企业能证明其云供应商(或应用服务供应商、软件即服务供应商和/或外包主机)至少拥有与企业内部主系统相同或类似的控制来保护数据遵守法律法规来影响企业。那么对于依赖云基础第三方付费处理器(这些处理器负责收集并接收企业个人可识别资讯(PII)的上市公司,云供应商必须为其做些什么?企业又需要做些什么?当数据丢失、不当访问或损害时会发生什么?
数据破坏的费用
在当今世界,数据盗用、实物资产被盗遗失、以及无意和有意的破坏以惊人的规律发生于各种类型和规模的企业中。波耐蒙研究所针对网络犯罪的费用及发生频率进行的最新研究显示,受访公司都每周至少经历一次得逞的网络犯罪,而管理这些网络攻击每年的费用超过 380 万美元。该项研究具体描述了最受影响业务领域的费用,包括网络犯罪侦查、规避、事故管理和资产损失,但不包含违规罚款、制裁和诉讼等实际费用极可能翻倍的领域。最近的一些罚款征收案例有:
• 来爱德®—违反美国健康保险流通与责任法案罚款一百万美元。
• TJX Companies Inc.(T.J.Maxx 是其子公司)—因遗失信用卡数据罚款 4090 万美元
• Health Net of NE—遗失硬盘驱动器罚款 25 万美元
• 美国加利福尼亚州 6 所医院—因隐私数据泄漏被加州公共卫生部罚款 79 万美元
随着云计算的增长,其风险的暴露和在犯罪活动的使用以及云取证的需求也在增长。这在最近的数据破坏要闻或网站上明显可见。例如,开放安全基金会创立的 Cloutage.org 声称,在 2010 年报道的 322 起事件中,54 起确认数据丢失事件的发生是由于云供应商被黑客袭击或发现云漏洞。
给“云”的保证
使用云资源能给多数企业带来高效益—但是每个人都应该一直保持风险意识,要利用来自审计和法定群体的恰当资源及专家,并随时做好准备回答以下问题:
• 安全性:
– 如何对静止状态和传输过程中的数据进行加密?
– 如何通过未经授权不得访问的方法来保护数据?
– 如何销毁数据?
– 如何处理云供应商的内部安全?
. 管理控制
. 物理控制
. 逻辑控制
– 出现漏洞情况时企业有哪些权利和能力(如审计的权利、进行取证调查的能力)?
– 通知用户安全漏洞时云供应商有哪些报告义务?(例如对损坏进行赔偿)
– 云供应商采取哪些措施来预防攻击?
– 云供应商要求企业进行哪些防护动作?
– 云供应商如何向其客户确切演示并传达其安全程序?
– 云供应商给予用户多少权利来执行他们自己的保证程序,如安全扫描或审计?
– 云供应商如何处理数据隐私的重叠操作或相互矛盾的州际法规?
• 服从:
– 云供应商应达到哪些服从标准?
– 移动“云”之前、之间及之后如何保证服从标准?
– 有哪些第三方保证文件(如 SAS 70、 WebTrust、 SysTrust 等)可用来保证遵从性?
– 企业如何跟踪其数据的物理位置来实现服从标准(如,某些法律防止数据存储于某些国家)?
– 除了数据安全之外,向企业提供哪些文件保证其遵守法规如美国萨班斯·奥克斯利法案的要求?
– 维持所需的内部控制及服从以符合数据要求的水平,企业做好准备了吗?
– 企业提供的内部控制及程序相关信息过多从而危及业务的临界点是什么?
• 可用性:
– 正常运行时间能保证多长?
– 是否有保证的服务水平?由谁进行监督?如果未实现保证的服务水平将进行哪些赔偿?
– 现在可以通过网络获得所有服务,企业是否能为其员工提供足够的带宽,而且/或者云供应商是否有足够的能力和带宽来满足企业需求?
– 服务会受非相关云用户(如硬盘驱动器命令)的活动干扰吗?
– 如何隔离客户之间的信息?
– 云供应商如何保证可用性?
– 因服务中断或服务问题导致的业务损失达到何种程度时云供应商须承担经济、法律或其他责任?
– 一旦具备云基础设施,企业需制定哪些进行灾难恢复和保持业务连续性的计划?
• 操作:
– 企业如何监控“云”的负载和性能?
– 云供应商如何向企业保证”云“使用的公正性?
– 允许使用哪些工具来监测”云“的安全性?
• 整个项目:
– 由谁来担任先前所述领域的独立审计师该内 容 由 中 审网校 所 属 w ww.au ditcn.com?
– 多久进行一次审计?
这些是考虑使用云供应商时应该询问的最基本问题,企业应做好准备逐一进行深入的技术、法律及商业谈话。就一切而论,云计算供应商任何不确定或否定的回答都可以构成交易失败的因素,因为一个小小的控制缺失都可能毁掉一个企业的所有数据。
结论
随着云计算继续推进信息处理、数据存储和跨境沟通的主流,不断审查数据风险并保持确定的威胁与数据价值的水平相当是至关重要的。云计算基础设施价值巨大:通过数据可用、客户关系管理及降低的硬件开支和基础设施支持大大节省了费用,但是漏洞或丢失数据产生的费用及潜在的监管机构罚款、民事诉讼和名誉损失轻易就超过了所有节省的费用。请记住,企业永远有责任保密数据、维护数据完整、保证数据可用、履行法律法规规定的义务,不要迷失在“云”中。
下一篇:考虑IT的逻辑原因