Cloud Security del 2, Bliver jeg mere eller mindre sikker?

Diskussionen drejer sig IKKE om "sikker nok", fordi Cloud computing er som foruening med tungmetaller - skaderne ophobes og kan ikke sikres.

Det er korrekt at det primære spørgsmål er hvilke data som bruges, men mere end det persondata har itnet at gøre i Cloud. Vil man lave borger eller brugerrettede services så skal id virtualiseres INDEN data og kommunikationskanaler nærmer sig Cloud, dvs. så data IKKE er personhenførbare.

Problemet er at der er nogle meget stærke kommercielle og bureukratiske sær-interesser i den magt som totalcentralisering af kontrol over persondata og kommunikation medfører så lovgivningen, samfundskonomien og sikkerheden undermienres kontinuert af falsk retorik og propaganda.

Så NEJ - Clound er aldrig "mere sikker". Enten er systemet designet sikkert, dvs. så risikoen aldrig ender i cloud eller også undermineres sikkerheden eksponentielt.

Hej Carsten

Dit billede af hvad jeg siger er helt forkert. Det er forskningsbaseret og hverken emotionelt eller ideologisk.

Cloud er klart en brugbar teknologi, men det positive oversælges og det negative underpsilles som alle andre teknologier af dem som har en økonomisk interesse heri - det er et gennemgående fænomen ikke at tage ansvar for de negative eksternaliteter hvilket f.eks. har resultateret i hele miljøproblemet.

Jeg har været med i security roadmapping på højt niveau i både FP6 og FP7 - senest som medlem af det de kaldte Security Advisoryboard for EU ICT Security & Dependability Taskforce. Samt vi har lavet sikkerhedsforskning omkring hvordan vi sikrer Cloud i et projekt sammen med nogle af de bedste.

Faktuelt er Cloud 100% baseret på tillid til de enheder der indgår, men man har ingen styr på HVOR processen kører, dvs. det svageste led definerer sikkerheden. Du kan - som som du skriver - køre forskellige grad af lokale Clouds, men det ændrer ikke på det principielle.

Vi har konkrete eksempler hvor f.eks. medicinalvirksomheder IKKE turde bruge Cloud-teknologier til at analysere medikotekniske molekyledata fordi sikkerheden ikke KAN garanteres.

Cloud har ikke og kommer med den pt. teoretisk ekssiterende viden ikke til at have styr på risikoen ved at de data som indgår udgør en risko for de eksterne entiteter, medmindre man virtualsierer de eksterne entititer så angriberen (intern/ekstern, bevidst/fejl) ikke kan henføre de data som kan opsamles til den eksterne sårbare entitet.

Derimod kan man lave forskellige tiltag for at sikre Cloud udefra ved at undgå at de sårbare data overhovedet kommer ind i Cloud.

I EU-Projektet HYDRA om middleware til ambient technologies er det EKSPLICIT antagelsen at Cloud ikke er sikker, hvorfor alle devices som interagerer med Cloud skal virtualiseres så tæt på devicen (helst af devicen selv) overfor Cloud. Det betyder f.ke.s kesplicit at man allerede ligger et helt ny IP-lag OVENPÅ IPv6 fordi Ipv6 var fejldesignet fra starten med antagelsen om persistent identifiers på tværs af sessions.

Og nej - det er dig som tager fejl når du tror at man kan skille "privacy" ud fra it-sikkerhed - Privacy kan defineres som "Security from the point of view of one stakeholder". Det er dels mangel på datasikkerhed som er det typiske sikkerhedsproblem og selve identifikationen er det sikkerhedsmæsssigt sårbarhedsskabende faktor. Forsøget på at adkille disse 2 er blet et forsøg på at skille nteresserne så sikkerhed ikke behøver at tage ansvar for borgerens sikkerhed (og reelt dermed underminerer systemsikkerheden).

Bankerne har lært på den dyre måde at outsourcing af kundeservices til f.eks. Indien førte til salg af persondata og identitetstyveri i hjemlandet. Tilsvarende har US lræt på den dyre måde at det fører til det omfattende identitetssvindel qua hele kreditsystemets organisering.

Min generelle pointe er ikke omkring outsourcing - det øger bare antallet af entiteter involveret. Min generelle pointe er at der for mig at se KUN ER EN MÅDE at opnå fordelen uden at se sikkerheden erodere under os er at distribuere og logisk adskille hvor den fysiske perimetersikkerhed nedbrydes. Dvs. i modsætning til meget af den "politisk korrekte" og interesse-drevne "sikkerhed" - som oftest drejer sig om at etablere lockin af kunder eller slutkunder - så skal kontrollen distribueres ud til klienterne som i sig selv selvfølgelig skal sikres bedre mod virus etc.

Men klienternes sårbarhed er en direkte følge af at de gøres sårbare af de centrale systemer. F.eks. er IPv6 en gigantisk sikkerhedsfejl fordi det gør alle de såbare enheder mere sårbare - nemmere at addressere og angribe. Tænk f.eks. DOS-attacks på pacemakers for at illusterere pointen.

I EU Security Forskningsregi taler vi om forskellen mellem Walled Fortress og Open Metropolis f.eks. illustreret her.
http://www.priway.com/ (...)

Så beklager - hus forbi - det ville tværtimod være fint hvis du holdt op med blot at markedsføre Cloud uden at tage ansvar for de integrerede sikkerhedsproblemer. Cloud er fint men sikkerheden er slet ikke håndteret - det er ren markedsføring.

Og hvis du bemærker det så er dit forsøg på at "sætte argumenter i bås" (ideologisk eller på anden måde) absolut ikke af det gode. Hold fokus på bolden, tak.

Skyen er blot en hurtigere vej til at akkumulere de samme problemer som vi ser gradvist manifestere sig i den stadigt dårligere perimetersikkerhed på alle servere. Problemet er linking/kobling og dermed eksponentielt stigende risiko.
Jeg diskuterer cost/benefit balancerne her.
http://www.petsfinebalance.com/ (...)

Nej, jeg mener ikke at Cloud er bedre sikkerhed, tværtimod. Det er falsk markedsføring og en dårlig løsning på reelle problemer. Det er parallelt med miljøsvineri at vælge en løsning som sviner i større skala men længere væk (e.g. højere skorsten) fremfor at finde løsninger.

Vi har derimod et problem med at styrke bruger og specielt borgerkontrollen over egne nøgler så de klædes på til at kontrollere klienterne og de onlineprocesser de indgår i.

Selvfølgelig er persondata og virksomhedsdata de mest kritiske. Iøvrigt er forskellen mellem følsomme og ikke-følsomme data en ren illusion - misbrugsmuligeheden afhænger kun af kontekst.

Der hvor man typisk går galt er undervurderingen af tredjeparts risiko hvorved man bidrager til at skalere denne risikoen på tværs. Problemet er at virksomhederne og staten ikke betaler for denne negative eksternalitet som endvidere har det problem at den bliver stadigt mere giftig for det digitale miljø.

Omkring dine spørgsmål:
Ad 1. Der findes data og systemer som ikke indebærer en risiko for tredjepart og hvor beslutningstager har styr på egen risiko korrekt. Og man kan DESIGNE client-side kontrol-delen så dette rum bliver langt større (vi taler mange orders of magnitude større).

Ad 2. Nej. Kontrol over persondata er en primær konkurrencefaktor i dag. Google, MS, EMV, Tele slås indædt om denne kontrol.

Ad 3. Nej. Det er en falsk diktomi og dårlig rådgivning. At gå ned af en blindgyde er værre end at gøre en anstrengelse for at gå ned af en vej med en fremtid. Datasikkerheden i Google Gmail er altid dårligere end alternativet hvis du indregner Googles eget misbrug og kontrol. Problemet er at folk ikke kan se skaden og dermed undervurderer risikoen.

Der er intet personligt i dette. Jeg ved ikke HVORFOR du promoverer Cloud, jeg kan bare se at du misrepræsenterer cost/benefit uden jeg kan sige hvorfor.

Carsten

Vend den rundt. Hvis sikkerhedsargumentet skulle være validt, så ville den private hustand uden nogen former for sikkerhedskompetance være den ideelle målgruppe. Den behøver jeg slet ikke kommentere.

Cloud (Sky eller hvad man nu vælger at kalde den) er et stærkt brugbart værktøj, men det skal sikres udenfor systemet, så systemet arbejder på isolerede data på samme måde som man anonymiserer data til forskning.

Det er op til virksomheden selv om det er forsvarligt eller hvordan de vil ligge regnskabsdata og f.eks. produkudvikling i Cloud.

Men det første sted hvor du vil se tankegangen bryde sammen er når Google begynder at opruste deres Business-to-Business markedsføring via salg af erhversprofiler. Her er den ret enkel - der er ikke grundlag for at Stole på Google (systemet er ikke troværdigt) og derfor skal man fokusere på at sikre at Google KAN lave denne profilering.

Der manglende et ret kritisk "IKKE" - Google IKKE KAN

Man tager en artikel hvis udgangspunkt var "mange, typisk mindre, virksomheder og organisationer kan få bedre it-sikkerhed ved at flytte dele ud i skyen" . Så tilsætter man kontrol over persondata, brug af Gmail, outsourcing af kundeservice til Indien og IPv6 og får en debat der efterlader en med den fornemmelse man står med, når man i supermarkedet støder på produkter der lover en "30% mindre fedt": Et eller andet sted gik der noget galt. Et udgangspunkt og nogle præmisser gik tabt undervejs og påstandene svæver løsrevne i luften. Sikkert ikke forkerte men uden samlende kontekst. Ærgeligt, for det er ellers en vigtig diskussion.
For os der befinder os der hvor skyfronterne trækker op i forhold til det danske erhvervsliv, må det konstateres at Skyen er kommet for at blive og at virkeligheden består af talrige kombinationer hvor virksomhederne i beslutningsprocessen forholder sig til sikkerheds og ressourcespørgsmål i en bevidst proces for at finde løsninger der giver den bedste mening for dem. Skyen er virkelighed, hverdag og meget konkret og det virker for de fleste som ikke har lyst til det alternativ de kender. Et alternativ der handler om at bruge ressourcer på noget der ligger udenfor forretnings og kompetenceområdet.
Men når nu der - vistnok- er enighed blandt d´herrer debatører om at Cloud cumputing ikke er sikkert nok fordi man " ikke hørt om sikkerhedsfolk der anbefaler, at man sender noget kritisk ud i skyen" eller " mener ikke at Cloud er bedre sikkerhed, tværtimod" så kunne det da være interessant at høre bud på hvad der skal til eller hvad vi tør bruge skyen til og hvilke alternativer der er hvis ikke vi skal trække stikket helt ud og gå over til hulkort.

Vibeke

Man kan goså vende det rundt og sige at teknologi altid sælges som ufarligt addressende tilsyneladende "trygge" cases og uden man tager ansvar, hvorefter det skalerer og misbruges til noget helt andet end teknologien forsvarligt kan bruges til.

Hvis alle små virksomheder er i Google Gmail m.m. så kontrolleres dansk erhvervsliv og forbrugersiden fra en enkelt spiller i US - hvor smart er det? I praksis er det den selvdestruktive retning hele systemet bevælger sig i retning af med Facebook, Google, SWIFT, IM etc.


Problemstillingerne gælder ikke kun Cloud men specielt Cloud fordi det er så ekstremt. Sikkerhedskravene stiger eksponentielt fordi risici stiger eksponentielt i øjeblikket.

Omkring data er det relativt enkelt - fjern person-, device- og formentlig også virksomhedshenførbarheden INDEN data kommer ind i skyen. Dvs. virtualiser de sårbare entiteter fordi du må antage at Cloud hverken glemmer eller kan sikres.

Hvis noget går galt så kan det isoleres til den specifikke transaktion uden at skalere.

Samme problemstillinger gør sig også gældende omkring f.eks. Tynde klienter (fy, fy fordi brugeren ikke kan kontrollere noget - vi kan måske tale semi-tynde eller distribuerede klienter, men ikke tynde i den klassiske forståelse) og IPv6 (av, der glemte man at tænke sig om - vi skal ikke have en persistent ip per device, men enten random tildeling per session eller en ny ip per device per kontekst).

Problemet er at dem som skal efterspørge den slags på borgernes og samfundets vegne ikke bare sover i timen, men selv er blevet den værste del af problemet

Vibeke

Sammenlign med milljøkatastrofen. I 70erne præsenterede alle miljøsvineri som et nødvendigt onde for at få produktion - de få som protesterede blev gjort til grin som bagstræberiske.
I dag ved man bedre - vi vil have både miljø OG værdiskabelse med ny teknologi.

Her taler vi om det digitale miljø. Tag trusler mod realworld entiteter alvorligt og eliminer dem hvor de skabes. Kan du ikke selv, så tal med dem som kan.

Du kunne selvfølgelig også overveje at skrive om hvordan man undgår at svine skyen til med data som ingen kan sikre.

Problemet er at det forudsætter at man skal tage ansvar og sætte sig ind i sagerne.

Jeg har enndu ikke set "Cloud security alliance" begynde at addressere sikkerhedsspørgsmåelt. Det er et marketingstunt.

Carsten Jørgensen (3) skrev:
nogle vil mene at en anden løsning er 'sikker nok' til at behandle/opbevare personhenførbare data

SÅ længe det er deres egne og ikke andres data, vi du ikke høre mig pippe. Vi er nødt til at stole på at mennesker er bedst til selv at vurdere risici mod dem selv.

I samme sekund man taler ANDRES data, taler vi overdragelse af data til 3. part og det kræver samtykke. Ikke fordi det sikrer nogen mod noget men det er eneste retssikring mod overgreb.

Taler vi det offentlige er det groft uforsvarligt fordi vi taler tvangsopkrævede data om borgerne som man derefter udstiller for systemer som ingen kan sikre.

"Hvis alle små virksomheder er i Google Gmail m.m. så kontrolleres dansk erhvervsliv og forbrugersiden fra en enkelt spiller i US"
Hvad skal man bruge så urealistiske scenarier til? Hvis du gerne vil have folk til at"Tage trusler mod realworld entiteter alvorligt"(!) er det virkeligheden man skal forholde sig til.
Selvom der sikkert er flere konsulentkroner i truslerne, er det mulighederne i Cloud computing der driver udviklingen. Danske kunder til cloud computing er bevidste omkring sikkerhed og ressourcer men langt hed ad vejen enige om at gevinsten ved at favne de nye teknologier langt overstiger de teoretiske trusler. Offentlige instansers omgang med borgernes data, vil jeg ikke forholde mig til i den forbindelse, blot fortælle at jeg i hvert fald ikke har i sinde at ringe til SKAT for at bede dem om at opbevare mine oplysninger på papir fremover.

Det har intet med "teoretiske" trusler at gøre - det er faktuelt akkumulerende problemer.

Der er absolut ikke noget urealistisk i Google-truslen fordi den allerede gælder fra den første virksomhed og de allerede sidder på en meget stor del fordi man tudes ørene fulde af vrøvl om at det er "sikkert".

Næste problemstilling er selvfølgelig at selv om man i teorien kan holde forskellige "clouds" adskilt, så er kontrollen væk fra den entitet som har risikoen (og i mange tilfælde har den på vegne af slutbrugeren) og der f.eks. er stærke kræfter i at føre disse data sammen for at berige profileringsmaskinerne og listsellers.


Problemet med hele denne diskussion er at dem som vil sælge Cloud forsøger at tale problemerne væk / påstå at balancen klart taler for at ignoere de digitale miljøproblemer uden at tage ansvar.

Omvendt - og det er ikke et mindre problem - så ser "sikkerhedsmarkedet" et marked i at tale problemerne op så de kan levere allehånd perimetersikring uden at løse problemerne. Hele overvåningsbranchen lever af sådanne oppustede frygt-scenarier uden at løse problemer.


Det som vi savner er nogen som tager ansvar for at lave teknologierne bæredygtigt, herunder at undgå at lægge data ud i en cloud i en form som det klart ikke sikkerhedsmæssigt kan bære.

Der er kort sagt alt for megen salgsgas og alt for lidt ansvarlighed.

At overføre data er nemt, det er et simpelt standardiseringsproblem selvfølgelig kombineret med tekniske udfordringer for performance og cost - i vores tidsalder er problemet at sikre at det ikke kan finde sted på en måde som skaber risiko for de sårbare entiteter.

Omkring CSA ser jeg frem til en beskrivelse som ikke blot tager teknologien for givet og ser "sikkerhed" som et udtryk for tryghed i at skaderne ikke går for vidt uden reelt at analysere teknologien i bunden for at designe den så man opnår fordelene uden at akkumulere skaderne.

Jeg kan tillade mig at sige det rimeligt skarpt fordi vi så det samme med RFID som rent teknisk kunne løses selvom "alliancerne" intet gjorde herfor, dvs. jeg har rent faktisk bevist pointen. Problemet er at muligheden for at lave sikre RFID ikke betyder at alle RFID sikres eller at man ændrer på retorikken.

Vi ser det samme problem indenfor mange områder med biometri et af de værste eksempler og mobiltelefoner som det mest udbredte. Det drejer sig kun at at addressere bekymringerne i det omfang de kommer til udtryk i medierne - ikke at tage ansvar for at løse sikkerhedsproblemerne i teknologien.

En af problemerne er at interesserne netop ofte trækker i den stik modsatte retning fordi interesserne har kontrol som en vigtig faktor uanset om den er legitim eller ej. F.eks. Google ØNSKER kontrol over henførbarheden af data fordi det er deres forretningsmodel at misbruge data, dvs. alle systemerne indrettes med en destruktiv sikkerhedsmodel.

mkring interoperabiltieten mellem Clouds er det notop en af årsagerne til at det er så afsindigt farligt.
Hvis man skal stole på en cloud og kræfterne er stærke for at koble denne med andre clouds, så skal man stole på alle clouds og dermed eksalerer risikoen blot endnu mere.

det er teoretisk og praktisk umuligt at isolere risikoen hvorfor man i stedet for at overveje om man kan "stole" på x, simpelthen skal indrette systemerne så man ikke behøver stole på x.

Det er essensen af forskellen mellem Walled Fortree paradigmet og Open Metropolis - førstnævnte bilder sig naivt ind at man kan "sikre" perimeteren. Sidstnævnte sirker i bunden, dvs. sikrer at selv hvis du få adgang til at data så kan du ikke misbruge dem, f.eks. fordi du mangler kontekst.