Η πρόκληση κατανεμημένης ασφάλειας δεδομένων

Αποκεντρωμένη διαχείριση κινδύνων

Αποκεντρωμένη διαχείριση κινδύνων

Σήμερα, οι περισσότεροι οργανισμοί δραστηριοποιούνται σε υβριδικά περιβάλλοντα όπου η διαχείριση της ασφάλειας γίνεται κεντρικά, ενώ ένας ορισμένος βαθμός αυτονομίας χορηγείται σε εσωτερικά τμήματα ή επιχειρηματικές μονάδες ώστε να είναι σε θέση να λειτουργούν αποτελεσματικά εφόσον λειτουργούν εντός του πλαίσιο της πολιτικής ασφάλειας των πληροφοριών του οργανισμού, ενώ πληροί τις κανονιστικές απαιτήσεις που ισχύουν για τον βιομηχανικό τομέα τους, καθώς και τα πρότυπα ασφάλειας στον κυβερνοχώρο που ισχύουν σε παγκόσμιο επίπεδο.

Δεν είναι ασυνήθιστο ότι ένα τμήμα ή μια επιχειρηματική μονάδα δεν είναι σε θέση να ανταποκριθεί στο σύνθετο σύνολο των απαιτήσεων συμμόρφωσης που θα έβαζε το σύνολο του οργανισμού σε κίνδυνο χρηματικών ποινών που επιβλήθηκαν από τις ρυθμιστικές αρχές, καθώς και απώλεια κερδών και ζημιάς στη φήμη που θα μπορούσε να επίσης να ζημιώνει τη θέση των οργανώσεων συνεργασίας στον εν λόγω κλάδο.

Ενώ ένας οργανισμός μπορεί να είναι σε θέση να διαχειριστεί τους συλλογικά εσωτερικούς κινδύνους αποτελεσματικά, άλλοι δεν μπορεί. Η έκθεση σε εντοπιστικούς κινδύνους και η αποτελεσματικότητα των ελέγχων που εφαρμόζονται για τον μετριασμό τους και, σε ορισμένες περιπτώσεις, η μη ύπαρξη τέτοιων ελέγχων, είναι εμπιστευτικά θέματα όπου οι οργανώσεις-συμπράξεις ενδέχεται να μην γνωρίζουν κάθε άλλη θέση κινδύνου, ως εκ τούτου, είναι κοινή πρακτική να επιδιώκεται η διασφάλιση και να ζητείται η απόδειξη της συμμόρφωσης μεταξύ των οργανισμών που λειτουργούν ανεξάρτητα, αλλά εξαρτώνται από τις πρακτικές επεξεργασίας δεδομένων των άλλων.

Καθώς εισάγονται νέοι κανονισμοί, ο ΓΚΠΔ της ΕΕ είναι ο πιο πρόσφατος, κάθε οργανισμός υλοποιεί το δικό του σύνολο ελέγχων με τον δικό του ρυθμό, σε διαφορετικά επίπεδα αποτελεσματικότητας, βάσει της δικής του ανάληψης κινδύνου. Η ανταλλαγή δεδομένων μεταξύ των οργανισμών δημιουργεί πολλαπλές αλυσίδες φύλαξης δεδομένων, όπου η αποτελεσματικότητα των συλλογικών ελέγχων τους είναι τόσο ισχυρή όσο ο ασθενέστερος κρίκος σε οποιαδήποτε από αυτές τις αλυσίδες.

Καθώς τα δεδομένα μοιράζονται συνήθως σε τμήματα διαφορετικής σπουδαιότητας της αξίας και της ασφάλειας, ανάλογα με την τεχνολογία και τις επιχειρηματικές διαδικασίες που μοιράζονται μεταξύ δύο ή περισσοτέρων οργανισμών, εφαρμόζεται μια κοινή πλατφόρμα επικοινωνίας για την ανταλλαγή δεδομένων. Η SWIFT είναι μία από τις πιο γνωστές πλατφόρμες για διατραπεζικές μεταβιβάσεις χρημάτων, η οποία αποδείχθηκε ευάλωτη, αλλά εξακολουθεί να υφίσταται, καθώς ο κίνδυνος μοιράζεται από τους συμμετέχοντες.

Για να είναι συμβατός με τον ΓΚΠΔ, ένας οργανισμός πρέπει να εφαρμόζει πρόσθετους ελέγχους για την ασφαλή διαχείριση της κατάστασης και της κυκλοφορίας των μπλοκ δεδομένων και να παρέχει μια τελική διαδρομή ελέγχου της αλυσίδας επιμέλειας. Οι διαδικασίες αυτές περιπλέκεται περαιτέρω από το γεγονός ότι ορισμένα από τα δεδομένα μπορεί να μην ανήκουν στον ίδιο τον οργανισμό, με άλλα λόγια είτε επεξεργάζονται τα δεδομένα για λογαριασμό άλλου οργανισμού είτε αποτελούν μέρος υπηρεσίας που παρέχουν στους πελάτες τους ή απλώς ο θεματοφύλακας και πιθανώς ένας συνδυασμός των παραπάνω στην περίπτωση ενός μεγάλου ομίλου ετερογενών δραστηριοτήτων.

Οι οργανισμοί με τους παραδοσιακά συγκεντρωτούς ελέγχους ασφαλείας πληροφοριών αντιμετωπίζουν μείζονες προκλήσεις και αγωνίζονται σε μεγάλο βαθμό στις προσπάθειές τους να λειτουργήσουν σε αποκεντρωμένο κόσμο που οδηγείται από δεδομένα, ενώ το επίπεδο απειλής για τα κεντρικά στοιχεία του ενεργητικού τους αυξάνεται. Η αυτοματισμός είναι η λέξη που χρησιμοποιείται σε τέτοιους οργανισμούς, αλλά η οποία, από μόνη της, θα αποτύχει, εκτός εάν υπάρχει ένα κοινό πρωτόκολλο, όπου οι διαφορετικές αυτοματοποιημένες διεργασίες έχουν τη δυνατότητα να επικοινωνούν με ασφάλεια όταν η αλυσίδα επιμέλειας αποτελεί μέρος του εν λόγω κοινού πρωτοκόλλου.

Ενώ η διαχείριση των δεδομένων δεν είναι μια νέα πειθαρχία, η ταχεία αύξηση των όγκων των δεδομένων, η αποκέντρωση των πηγών δεδομένων και οι αλλαγές στο μοντέλο ιδιοκτησίας, σύμφωνα με τις εντολές των ρυθμιστικών αρχών, σε ένα πολύ πρόστιμο λεπτομερές επίπεδο καθιστούν την πειθαρχία πολύ δύσκολη να ακολουθηθεί, Πόσο μάλλον να επιβάλει.


Λύση

Στην προηγούμενη ενότητα, η υποδιαίρεση δεδομένων παρουσιάστηκε με τη μορφή ενός μπλοκ δεδομένων, ενώ η αλλαγή κυριότητας αυτών των δεδομένων και το ιστορικό συναλλαγών του παρακολουθούνται από μια αλυσίδα επιμέλειας. Με την προσθήκη του βιομηχανικού τυπικού ασφαλούς ελέγχου ταυτότητας και πρωτοκόλλων επικοινωνίας, για τον έλεγχο της πρόσβασης στα δεδομένα και την παρακολούθηση της κίνησής του, λαμβάνουμε αυτό που είναι γνωστό σήμερα ως Blockchain.

Ένα blockchain, στην απλούστερη μορφή του, είναι η εφαρμογή ενός αυτοματοποιημένου εργαλείου διαχείρισης δεδομένων όπου η πρόσβαση στα δεδομένα ελέγχεται από μια μοναδική ταυτότητα που ανατίθεται σε κάθε συμμετέχοντα (ιδιοκτήτες δεδομένων, μεταποιητές, παραγωγοί και καταναλωτές), ενώ η ακεραιότητα, η εμπιστευτικότητα και η ανωνυμία μπορεί να προστατευθεί, εάν απαιτείται, και οι συναλλαγές είναι αμετάβλητες με μια διαδρομή ελέγχου για την ίδια την προέλευση κάθε μπλοκ δεδομένων.

Η επεξεργασία των δεδομένων αυτοματοποιείται με τη χρήση έξυπνων συμβάσεων. Μια έξυπνη σύμβαση είναι μια προκαθορισμένη διαδικασία γραμμένη σε λογισμικό/κώδικα που ένας συμμετέχων καλεί να εκτελέσει μια συγκεκριμένη ενέργεια σχετικά με τα δεδομένα που υποβάλλονται στο blockchain, υπό την προϋπόθεση ότι ο κάτοχος των δεδομένων τους έχει παραχωρήσει άδεια να εκτελέσει το έξυπνο συμβόλαιο ή να εκτελέσει το κώδικα λογισμικού, για την επεξεργασία των δεδομένων τους.

Για να δώσουμε ένα παράδειγμα, ας χρησιμοποιήσουμε την ηλεκτρονική υγεία ενώ αναφερόμαστε στη γλώσσα του ΓΚΠΔ, ένας ασθενής είναι ο κάτοχος των δεδομένων του, ενώ ο γιατρός και ο φαρμακοποιός είναι οι επεξεργαστές δεδομένων. Ο ασθενής έχει πλήρη πρόσβαση στα δικά του δεδομένα ανά πάσα στιγμή και μπορεί να επιλέξει να χορηγήσει άδεια σε γιατρό για να το προβάλει, να το τροποποιήσει ή να το διατηρήσει. Ο γιατρός μπορεί, στη συνέχεια, να εκδώσει συνταγή για να σερβιριστεί από κάποιον επιλεγμένο φαρμακοποιό. Αυτές οι διεργασίες (προβολή, τροποποίηση, διατήρηση) μπορεί να προπρογραμματιστεί με τη μορφή έξυπνων συμβάσεων, όταν εκτελεστεί, η συναλλαγή καταγράφεται και μπορεί να παρακολουθείται στο blockchain από όλους τους συμμετέχοντες. Επιπλέον, η έξυπνη σύμβαση μπορεί να υποβάλει τα στοιχεία της συναλλαγής σε ένα ή περισσότερα κατανεμημένα συστήματα πληροφοριών για μελλοντική αναφορά, εάν είναι προγραμματισμένο να το πράξει.

Δεδομένης της παραπάνω περίπτωσης χρήσης, μερικά από τα πλεονεκτήματα της χρήσης μιας τεχνολογίας blockchain μπορεί τώρα να είναι προφανές από τα οποία μια σύντομη λίστα δίνεται παρακάτω:

  1. Η πολυπλοκότητα των διαδικασιών διαχείρισης δεδομένων και οι έλεγχοι προστασίας δεδομένων, όπως απαιτείται από τις ρυθμιστικές αρχές, μπορούν να απομονωθούν από συστήματα πληροφοριών παρασκηνίου.
  2. Τα στοιχεία ελέγχου διαχείρισης ταυτότητας και πρόσβασης είναι ενσωματωμένα και μπορούν να εφαρμοστούν εξωτερικά σε επίπεδο blockchain, αντί για το σύστημα πληροφοριών παρασκηνίου που διαχειρίζεται κεντρικά, παρέχοντας μια καθολική σύνδεση και χωρίς σύνδεση, με μία σύνδεση, σε όλους τους συμμετέχοντες.
  3. Οι έξυπνες συμβάσεις μπορούν να αναπτυχθούν για να προσθέσουν λειτουργικότητα ή όταν προκύψουν νέες περιπτώσεις χρήσης, με ελάχιστη ή καθόλου αλλαγή σε συστήματα πληροφοριών παρασκηνίου και αναπτύσσονται στο blockchain για κοινή χρήση από πολλούς συμμετέχοντες.
  4. Οι κατανεμημένες εφαρμογές που αναπτύχθηκαν από ή για τους συμμετέχοντες μπορούν να χρησιμοποιηθούν για την αποθήκευση δεδομένων τοπικά σε συσκευές τελικού χρήστη που δεν απαιτούν σύνδεση ανά πάσα στιγμή, για την πρόσβαση σε δεδομένα που είναι αποθηκευμένα σε κεντρικά συστήματα πληροφοριών παρασκηνίου, για την απομακρυσμένη λειτουργία τους.
  5. Οι κατανεμημένες εφαρμογές μπορούν να επικοινωνούν με πολλαπλά συστήματα πληροφοριών παρασκηνίου ταυτόχρονα με τη χρήση έξυπνων συμβάσεων που συμπληρώνουν την Τούρινγκ.
  6. Καθώς ορισμένες από τις λειτουργίες και την επεξεργασία συναλλαγών μεταβιβάζονται σε συσκευές τελικού χρήστη, η ζήτηση για κεντρικούς πόρους υλικού υποδομής παρασκηνίου μειώνεται, μειώνοντας έτσι το συνολικό και μακροπρόθεσμο κόστος κατοχής ή χρηματοδοτικής μίσθωσης υποδομών φιλοξενίας.
  7. Οι συσκευές τελικού χρήστη μπορούν να επικοινωνούν απευθείας ή/και να συνδεθούν με συστήματα παρασκηνίου μέσω πολλαπλών κόμβων blockchain, ενισχύοντας τη διαθεσιμότητα και μειώνοντας τον κίνδυνο μεμονωμένων σημείων αποτυχίας.
  8. Τα συστήματα πληροφοριών παρασκηνίου μπορούν να διανεμηθούν ή/και να αναπαραχθούν, με βάση την κατάτμηση δεδομένων, τις απαιτήσεις αποθήκευσης και θέσης, αλλά είναι προσβάσιμα ως ομότιμο δίκτυο μέσω πολλών κόμβων Blockchain.

Στο καλοκαίρι, μια υποδομή blockchain είναι ένα δίκτυο κόμβων μέσω του οποίου οι κατανεμημένες εφαρμογές συνδέονται στο δίκτυο για την αποστολή και λήψη κρυπτογραφημένων δεδομένων που καταγράφονται μόνιμα στο Blockchain.

Ωστόσο, θα μπορούσε κανείς να ρωτήσει πού είναι η αξία της υιοθέτησης μιας νέας τεχνολογίας που διαταράσσει τα σχέδια για την εφαρμογή μιας λύσης που έχει εργαστεί για χρόνια;

Μια έγκυρη ερώτηση, αλλά εξαρτάται από το όραμα του έργου. Εάν ο στόχος είναι μόνο να επιτύχουμε μια λύση σε ένα πρόβλημα που εντοπίστηκε πριν από λίγα χρόνια, τότε πρέπει να προχωρήσουμε και να συνεχίσουμε το καλό έργο για να επιτύχουμε τις υποσχέσεις που έχουν γίνει στους χορηγούς του έργου. Θα μπορούσε επίσης κανείς να μελετήσει λύσεις για παρόμοια προβλήματα αλλού, ώστε να μην επαναλάβει κάποια από τα λάθη και να κατανοήσει τις προκλήσεις που αντιμετωπίζουν οι εταίροι και οι ανταγωνιστές.

Οι τεχνολογίες blockchain είναι μαζί μας για σχεδόν μια δεκαετία, είχαν χρηματικά έσοδα με τη μορφή κρυπτονομισμάτων, αποδεδειγμένα ανθεκτικές και εγκρίνονται από μεγάλες εταιρείες. Οι αλυσίδες είναι μοναδικές στη Μικτή τους προσφορά τεχνολογίας και οικονομικών που δίνει τη δυνατότητα στους καινοτόμους να εμπορευματοποιούν τις λύσεις τους σε παγκόσμιο επίπεδο και με ελάχιστη ή καθόλου αρχική επένδυση κεφαλαίου.

Το blockchain επιλύει μερικές από τις πιο πιεστικές προκλήσεις που παρουσιάζονται στους αρχιτέκτονες του συστήματος πληροφοριών, για τον μετριασμό των κινδύνων για την εμπιστευτικότητα, την ακεραιότητα και τη διαθεσιμότητα των δεδομένων, αλλά εισάγει και νέους όπως η εφαρμογή της τέχνης του ΓΚΠΔ. 17 — δικαίωμα να λησμονηθεί (RTBF) όπου οι αλυσίδες είναι αμετάβλητες από το σχεδιασμό.

Υπάρχουν ήδη λύσεις που έχουν εργαστεί για να κάνει ένα blockchain RTBF συμβατό με τη μορφή «προσωπικά» πιρούνια, μεταξύ blockchain επικοινωνίες και άλλες υβριδικές υλοποιήσεις. Αυτό είναι ένα θέμα για άλλη μέρα, καθώς αυτό το άρθρο γράφτηκε για να εξηγήσει τα οφέλη μιας λύσης blockchain χωρίς να μπει πολύ βαθιά στις τεχνολογικές της πτυχές και σας ευχαριστώ που το διαβάσατε μέχρι τέλους.

Αφήστε μια απάντηση