Vad orsakar företagsdata överträdelser? Den fruktansvärda komplexitet och bräcklighet av våra IT-system

Bankrånare Willie Sutton, på frågan varför han rånade banker, svarade “Det är där pengarna finns.” Det är samma sak med överträdelser. Stora databaser är målen för människor som vill data. Det är så enkelt.

Komma igång: Privacy Engineering, The State of Identity Management i 2015. Varför Cloud Geografi frågor i en Post-Snowden / NSA Era

Vi måste förstå att det finns olika typer av kränkningar och motsvarande orsaker. Mest uppmärksammade brott uppenbarligen drivs av ekonomisk brottslighet, där angriparna ta typiskt betalkortsuppgifter. Brott är vilka befogenheter de stulna kort brott. Organiserade brottssyndikat inte snatta kortnummer en åt gången från människors datorer eller osäkra webbplatser. (Och standard råd till konsumenterna att ändra sina lösenord varje månad och se till att de ser en webbläsare hänglås är trevligt, men tror inte att det kommer att göra något för att stoppa bedrägerier massa kort.)

Säkerhet forskare säger sårbarheten påverkar “miljoner” av maskiner i datacenter runt om i världen.

I stället för att skylla slutanvändarens säkerhet, måste vi verkligen vända upp värmen på företagets IT. De personuppgifter som innehas av stora handelsfartyg organisationer (inklusive ens vardagliga verksamhet som parkerings kedjor) är nu värda flera hundra miljoner dollar. Om denna typ av värde var i form av kontanter eller guld, skulle du se Fort Knox-stil säkerheten kring det. Bokstavligen. Men hur mycket pengar ens det största företag investera i säkerhet? Och vad de får för sina pengar?

Den bistra verkligheten är att ingen mängd av konventionell IT-säkerhet idag kan skydda mot angrepp på tillgångar värda miljarder dollar. Den enkla ekonomi är emot oss. Det är egentligen mer en fråga om tur än god planering att vissa stora organisationer har ännu inte brytas. (Och det är bara så vitt vi vet.)

Den organiserade brottsligheten är verkligen organiserad. Om det kortuppgifter de vill, de går efter de stora datalager, vid betalningar processorer och stora detaljister. Den sofistikerade dessa attacker är häpnadsväckande även att säkerhetsproffs. Attacken på Target Point of Sale-terminaler till exempel var i “kan inte hända” kategori.

De andra typer av kriminella brott inkluderar bus som när iCloud bilder av kändisar läckte förra året, hacktivism och politiska eller cyberterroristattacker, som den på Sony.

Det finns vissa belägg för att identitetstjuvar vänder nu till hälsouppgifter för att driva mer komplexa former av brott. I stället för att stjäla och uppspelning kortnummer, kan identitetstjuvar använda djupare, bredare register som patientjournaler till antingen begå bedrägeri mot hälso- och sjukvårdssystem betalare, eller öppna falska konton och bygga upp dem till komplexa bedrägerier. Den senaste Anthem databas brott inneburit omfattande personliga rekord på 80 miljoner människor, vi har ännu inte sett hur dessa uppgifter kommer ytan i identitets svarta marknader.

Lättillgängligheten av stulna personuppgifter är en faktor som vi anser vara drivande Identity and Access Management (IDAM) innovation, se “The State of Identity Management 2015”. Nästa generations IDAM så småningom kommer att göra stulna uppgifterna mindre värdefulla, men under överskådlig framtid, alla företag som innehar stora kund dataset vi förblir främsta mål för identitetstjuvar.

Nu låt oss inte glömma enkla olyckor. Den australiska regeringen till exempel har haft vissa Clangers, även om dessa kan hända att någon stor organisation. För några månader sedan en medarbetare av misstag fäst en fil till ett e-postmeddelande, som innehåller passuppgifter om G20-ledarna. Innan dess såg vi ett kalkylblad håller personuppgifter om tusentals asylsökande få misstag klistras in i en statlig webbplats HTML.

En lärdom jag vill ta ut här är fruktansvärt komplexiteten och bräcklighet av våra IT-system. Det tar inte mycket för den mänskliga faktorn att få katastrofala resultat. Vem av oss har inte oavsiktligt råkat trycka “Svara alla” eller fästas fel fil? Om du gjorde en ärlig hot och riskbedömning (som man bör) på dessa typer av office-system, skulle du behöva avsluta de inte är säkra att hantera känsliga uppgifter eller att drivas av de flesta människor. Och ändå har vi helt enkelt inte råd att inte använda systemen. Vi har skapat ett monster.

Återigen, kriminella element vet detta. Experten cryptographer Bruce Schneier sa en gång något liknande “Amatörer hacka datorer, experter hacka folk”. Åtkomstkontroll på dagens spretande komplicerade datorsystem är generellt dålig, lämnar vägen öppen för inre jobb. Titta bara på Chelsea Manning fallet ett av de värsta brott genom tiderna, som möjliggjorts genom att bevilja för hög behörighet att alltför många personal på.

Utanför regeringen, är åtkomstkontroll värre, och så finns tillgång loggning – så systemadministratörer ofta inte kan säga det har även varit ett brott tills indicier framträder. Jag är säker på att de flesta brott inträffar utan att någon vet. Det är oundvikligt.

Den centrala övervaknings bank och övervaka euroområdet drabbats av en säkerhetsöverträdelse, Wikimedia Commons, Titta på hotell. Det finns enstaka rapporter om hotellet IT bryter, men de är säkert kontinuerligt händer. Gäst info på hotell är häpnadsväckande – betalkortsuppgifter, registreringsskyltar, resplaner inklusive flygbolaget flyginformation, finns även passnummer som innehas av vissa platser. Och dessa dagar, med globala hotellkedjor, bokningar är tillgängliga för en skurk anställd från någon plats i världen, 24-7.

Innovation,? M2M marknaden studsar tillbaka i Brasilien, säkerhet, FBI gripanden påstådda medlemmar av Crackas med inställningen för att hacka amerikanska Gov’t tjänstemän, säkerhet, WordPress uppmanar användare att uppdatera nu för att åtgärda kritiska säkerhetshål, säkerhet, Vita huset utser först Federal Chief Information Security Officer

Snälla, inte någon prata med mig om PCI-DSS! De Payment Card Industry Data Security Standard för att skydda kortinformation har inte haft mycket effekt alls. Några av de största brott genom tiderna har påverkat toppskiktet köpmän och betalningar processorer som tycks ha varit PCI-kompatibla. Ändå advokater för betalnings institutioner kommer alltid hävdar att så och ett sådant bolag var inte “verkligen” kompatibel. Och PCI revisorerna alltid gå bort från allt ansvar för vad som händer i mellan revisioner. Du kan förstå deras position, de vill inte vara ansvarig för fel gärningar eller fel som begåtts bakom ryggen.

Som stora uppgifter, sakernas internet, och sociala medier sprida sina vingar, de få nya utmaningar för informationssäkerhet och användarnas personliga integritet.

Men kortinnehavare och handlare i kläm. Om en stor varuhus passerar dess PCI revisioner, säkert vi kan förvänta oss att vara någorlunda säker årslång? Nej, visar det sig att dagen efter en lyckad revision, en IT-praktikant kan mis-konfigurera en brandvägg eller glömmer ett plåster, alla dessa försvar blir värdelös och revision meningslös.

Vilket stärker min åsikt om bräckligheten i IT. Det är omöjligt att göra bestående säkerhets löften längre.

I vilket fall som helst är PCI egentligen bara en uppsättning data hanteringspolitik och löften. De förbättrar IT-säkerhet hygien och avvärja amatör attacker. Men de är värdelösa mot den organiserade brottsligheten eller inuti jobb.

Det finns ett allt bra argument för att lägga datahantering. I stället för att upprätthålla spröda databaser i ansiktet av så mycket risk, företagen i stället vänder sig till stora välrenommerade molntjänster, där leverantörer har skalan, resurser och uppmärksamhet på detaljer för att skydda data i deras förvar. Constellation har tidigare tittat på vad som är viktigt att välja molntjänster från ett geografiskt perspektiv (se “Varför Cloud Geografi frågor i en Post-Snowden / NSA Era”), i kommande forskning kommer vi att undersöka en bredare uppsättning av kontraktsrelaterade nyckeltal för att hjälpa köpare göra rätt val.

Om du frågar mig vad jag ska göra, skulle jag säga på kort till lösning på medellång sikt är att få med styrka och leta efter administrerade säkerhetstjänster från specialiserade leverantörer. På längre sikt kommer vi att se gräsrots omformning av våra nätverk och plattformar, för att härda dem mot inträngning och identitetsstöld.

? M2M marknaden studsar tillbaka i Brasilien

FBI gripanden påstådda medlemmar av Crackas med inställningen för att hacka amerikanska Gov’t tjänstemän

WordPress uppmanar användare att uppdatera nu för att åtgärda kritiska säkerhetshål

Vita huset utser först Federal Chief Information Security Officer

Läs mer