Fort Knox i Harry Potter

Największym majątkiem dzisiejszego przedsiębiorstwa są dane oraz zdolność podejmowania na ich podstawie właściwych decyzji biznesowych.

Analitycy bezpieczeństwa często mają dylemat: co to znaczy dobrze zabezpieczyć dane? Wedle szkoły tradycyjnej należy je przechowywać w bezpiecznym miejscu, chronionym zarówno fizycznie (ściany, kamery, kontrola dostępu itd.), jak i informatycznie (firewalle, analizatory ruchu sieciowego, "słoiki miodu"). Owocem tego podejścia są centra danych, które przypominają Fort Knox; to paradygmat warownego zamku przeniesiony do cyfrowej ery.

Jest druga szkoła, której przedstawiciele z góry zakładają, że o bezpieczeństwie danych przesądza nie ich odpowiednie przechowywanie, a możliwość uzyskania dostępu jedynie dla autoryzowanych osób. Cenne dla przedsiębiorstwa dane są szyfrowane, następnie dzielone na kawałki i rozsyłane po całym świecie, w kilku egzemplarzach. Dostęp do danych nie musi być chroniony tak bardzo jak w Forcie Knox, bardziej istotna jest wiedza, gdzie poszczególne elementy są przechowywane, jak je połączyć oraz odszyfrować. Gdybym miał szukać literackiego porównania, wskazałbym Lorda Voldemorta. Czarny charakter z serii Harry Potter zaklął cząstki swojej duszy w różnych istotach i przedmiotach (horkruksach) i nie można było go zabić, jeśli nie zniszczyło się ich wszystkich.

Które z tych rozwiązań daje większe bezpieczeństwo informacji, zarówno rozumiane jako angielskie safety jak i security? Adi Shamir (ten od litery "A" w algorytmie RSA) przekonuje, że ten drugi. Tymczasem kiedy spojrzeć na przedsiębiorstwa, ciągle są przekonane, że ten pierwszy. Budują warowne serwerownie, zaawansowane rozwiązania backupowe, taśmoteki itp. Choć wydaje się, że bardziej rozsądne (i korzystniejsze cenowo) byłoby zaszyfowanie informacji, poszatkowanie jej, rozesłanie jej do publicznej chmury i pozwolenie, by zaopiekował się tym wszystkim ktoś naprawdę dobrze znający się na przechowywaniu i udostępnianiu bitów.

Dlaczego tak jest? Zapewne wielu Czytelników wskaże na dojrzałość technologii oraz istniejące regulacje. A mi się wydaje, że chodzi przede wszystkim o czynniki kulturowe. Dzisiejsze kadry zarządzające IT są wychowane na filmach sensacyjnych i westernach, gdzie szajka szykowała skok na bank. Czy to w filmie "Goldfinger", czy to w "Butch Cassidy i Sundance Kid", zawsze jest skarbiec, drzwi, kraty, a za nimi miliony do przytulenia. Gdy dorośnie "pokolenie Y" wychowane na Harrym Potterze, w modzie będzie dzielenie informacji na wiele kawałków i ukrywanie takich "horkruksów" w publicznej chmurze. Zobaczycie!