Kryptering i krise: britiske virksomheder står over for sikkerhedsrystelser under den foreslåede reform af lov om undersøgelsesbeføjelser
Indholdsfortegnelse:
Den britiske regering forfølger ændringer af Investigatory Powers Act, dets internet-snooping-regime, der vil gøre det muligt for retshåndhævelse og sikkerhedstjenester at omgå end-to-end-kryptering af cloud-udbydere og få adgang til privat kommunikation lettere og med større omfang. Den hævder, at ændringerne er i offentlighedens bedste interesse, da cyberkriminalitet kommer ud af kontrol, og Storbritanniens fjender ser efter at spionere på sine borgere.
Sikkerhedseksperter mener dog noget andet, idet de hævder, at ændringerne vil skabe krypteringsbagdøre, der tillader cyberkriminelle og andre ondsindede parter at forgribe sig på intetanende brugeres data. De opfordrer indtrængende virksomheder til at tage kryptering i egen hånd for at beskytte deres kunder og deres omdømme, da de cloud-tjenester, som de plejede at stole på, ikke længere er fri for regeringens snoking. Dette fremgår af Apples beslutning om at stoppe med at tilbyde deres Advanced Data Protection-værktøj i Storbritannien efter krav fra britiske lovgivere om bagdørsadgang til data, på trods af at den Cupertino-baserede teknologigigant ikke engang kan få adgang til det.
Forbedring af den offentlige sikkerhed
Regeringen håber at forbedre den offentlige sikkerhed og den nationale sikkerhed ved at foretage disse ændringer. Dette skyldes, at den øgede brug og sofistikering af end-to-end-kryptering gør det sværere at opsnappe og overvåge kommunikation for håndhævelses- og efterretningstjenester. Politikere hævder, at dette forhindrer myndighederne i at udføre deres arbejde og tillader kriminelle at slippe af sted med deres forbrydelser, hvilket bringer landet og dets befolkning i fare.
Matt Aldridge, hovedløsningskonsulent hos OpenText Security, forklarer, at regeringen ønsker at tackle dette problem ved at give politi og efterretningstjenester flere beføjelser og muligheder for at tvinge teknologivirksomheder til at omgå eller deaktivere ende-til-ende-kryptering, hvis de har mistanke om en forbrydelse.
På den måde kunne efterforskere få adgang til de rå data, som teknologivirksomheder har. De kan derefter bruge disse oplysninger til at hjælpe deres efterforskning og i sidste ende tackle kriminalitet.
Alridge siger til ISMS.online: "Argumentet er, at uden denne yderligere mulighed for at få adgang til krypteret kommunikation eller data, vil britiske borgere være mere udsatte for kriminelle og spionageaktiviteter, da myndighederne ikke vil være i stand til at bruge signalefterretninger og retsmedicinske undersøgelser til at indsamle kritiske beviser i sådanne sager."
Regeringen forsøger at holde trit med kriminelle og andre trusselsaktører gennem udvidede beføjelser til at snoke data, siger Conor Agnew, chef for compliance-operationer hos Closed Door Security. Han siger, at det endda tager skridt til at presse virksomheder til at bygge bagdøre ind i deres software, hvilket gør det muligt for embedsmænd at få adgang til brugernes data, som de vil. Et sådant skridt risikerer at "sløse brugen af ende-til-ende-kryptering".
Store konsekvenser for virksomheder
Men regeringen forsøger at retfærdiggøre sin beslutning om at ændre IPA, giver ændringerne betydelige udfordringer for organisationer med at opretholde datasikkerheden, overholde lovgivningsmæssige forpligtelser og holde kunderne tilfredse.
Jordan Schroeder, administrerende CISO for Barriere netværk, hævder, at minimering af ende-til-ende-kryptering til statsovervågning og efterforskningsformål vil skabe en "systemisk svaghed", der kan misbruges af cyberkriminelle, nationalstater og ondsindede insidere.
"En svækkelse af kryptering reducerer i sagens natur den sikkerhed og beskyttelse af privatlivets fred, som brugerne stoler på," siger han. "Dette udgør en direkte udfordring for virksomheder, især dem inden for finans, sundhedspleje og juridiske tjenester, der er afhængige af stærk kryptering for at beskytte følsomme klientdata.
Aldridge fra OpenText Security er enig i, at regeringen ved at indføre mekanismer til at kompromittere end-to-end-kryptering efterlader virksomheder "enormt udsat" for både bevidste og ikke-tilsigtede cybersikkerhedsproblemer. Dette vil føre til et "massivt fald i sikkerheden vedrørende fortroligheden og integriteten af data".
For at overholde disse nye regler advarer Aldridge om, at teknologitjenesteudbydere kan blive tvunget til at tilbageholde eller forsinke vigtige sikkerhedsrettelser. Han tilføjer, at dette ville give cyberkriminelle mere tid til at udnytte uoprettede cybersikkerhedssårbarheder.
Derfor forventer Alridge en "netto-reduktion" i cybersikkerheden for teknologivirksomheder, der opererer i Storbritannien, og deres brugere. Men på grund af teknologitjenesternes indbyrdes forbundne karakter siger han, at disse risici kan påvirke andre lande end Storbritannien.
Regeringsmanderede sikkerhedsbagdøre kan også være økonomisk skadelige for Storbritannien.
Agnew af Lukket Dør Sikkerhed siger, at internationale virksomheder kan trække operationer fra Storbritannien, hvis "retlig overskridelse" forhindrer dem i at beskytte brugerdata.
Uden adgang til almindelige end-to-end krypterede tjenester, mener Agnew, at mange mennesker vil henvende sig til det mørke web for at beskytte sig mod øget statsovervågning. Han siger, at øget brug af ureguleret datalagring kun vil sætte brugere i større risiko og gavne kriminelle, hvilket gør regeringens ændringer ubrugelige.
Afbødning af disse risici
Under et mere undertrykkende IPA-regime risikerer krypteringsbagdøre at blive normen. Skulle dette ske, vil organisationer ikke have andet valg end at foretage gennemgribende ændringer i deres cybersikkerhedsposition.
Ifølge Schroeder af Barriere netværk, er det mest afgørende skridt et kulturelt og mindsetskifte, hvor virksomheder ikke længere antager, at teknologileverandører besidder evnerne til at beskytte deres data.
Han forklarer: "Hvor virksomheder engang stolede på udbydere som Apple eller WhatsApp for at sikre E2EE, må de nu antage, at disse platforme tilfældigt er kompromitteret og tage ansvar for deres egen krypteringspraksis."
Uden tilstrækkelig beskyttelse fra teknologitjenesteudbydere opfordrer Schroeder virksomheder til at bruge uafhængige, selvkontrollerede krypteringssystemer til at forbedre deres databeskyttelse.
Der er et par måder at gøre dette på. Schroeder siger, at en mulighed er at kryptere følsomme data, før de overføres til tredjepartssystemer. På den måde vil data være sikret, hvis værtsplatformen bliver hacket.
Alternativt kan organisationer bruge open source, decentraliserede systemer uden regeringsmanderede krypteringsbagdøre. Ulempen, siger Shroeder, er, at sådan software har forskellige sikkerhedsrisici og ikke altid er nem at bruge for ikke-tekniske brugere.
Aldridge fra OpenText Security, der gentager lignende synspunkter som Schroeder, siger, at virksomheder skal implementere yderligere krypteringslag, nu hvor de ikke kan stole på ende-til-kryptering af cloud-udbydere.
Før organisationer uploader data til skyen, siger Aldridge, at de skal kryptere dem lokalt. Virksomheder bør også afstå fra at opbevare krypteringsnøgler i skyen. I stedet siger han, at de bør vælge deres egne lokalt hostede hardwaresikkerhedsmoduler, smart cards eller tokens.
Agnew af Lukket Dør Sikkerhed anbefaler, at virksomheder investerer i nul-tillid og dybtgående forsvarsstrategier for at beskytte sig mod risiciene ved normaliseret kryptering bagdøre.
Men han indrømmer, at selv med disse trin vil organisationer være forpligtet til at udlevere data til offentlige myndigheder, hvis de anmodes om via en kendelse. Med dette i tankerne opfordrer han virksomheder til at prioritere "at fokusere på, hvilke data de besidder, hvilke data personer kan indsende til deres databaser eller websteder, og hvor længe de opbevarer disse data".
Vurdering af disse risici
Det er afgørende, at virksomhederne skal overveje disse udfordringer som en del af en omfattende risikostyringsstrategi. Ifølge Schroeder fra Barrier Networks vil dette indebære, at der gennemføres regelmæssige revisioner af de sikkerhedsforanstaltninger, som krypteringsudbydere og den bredere forsyningskæde anvender.
Aldridge fra OpenText Security understreger også vigtigheden af at revurdere cyberrisikovurderinger for at tage højde for de udfordringer, som svækket kryptering og bagdøre udgør. Derefter tilføjer han, at de bliver nødt til at koncentrere sig om at implementere yderligere krypteringslag, sofistikerede krypteringsnøgler, leverandørpatch-styring og lokal cloud-lagring af følsomme data.
En anden god måde at vurdere og afbøde de risici, som regeringens IPA-ændringer medfører, er ved at implementere en professionel cybersikkerhedsramme.
Schroeder siger, at ISO 27001 er et godt valg, fordi det giver detaljerede oplysninger om kryptografiske kontroller, styring af krypteringsnøgler, sikker kommunikation og krypteringsrisikostyring. Han siger: "Dette kan hjælpe organisationer med at sikre, at selvom deres primære udbyder er kompromitteret, bevarer de kontrollen over sikkerheden af deres data."
Samlet set ser IPA-ændringerne ud til at være endnu et eksempel på, at regeringen søger at få mere kontrol over vores kommunikation. Udråbt som et skridt til at styrke den nationale sikkerhed og beskytte almindelige borgere og virksomheder, sætter ændringerne simpelthen mennesker i større risiko for databrud. Samtidig er virksomheder tvunget til at dedikere allerede strakte it-teams og tynde budgetter til at udvikle deres egne krypteringsmetoder, da de ikke længere kan stole på den beskyttelse, der tilbydes af cloud-udbydere. Uanset hvad er det nu en absolut nødvendighed for virksomheder at inkorporere risikoen for kryptering bagdøre.
