由于斯诺登事件,各公司更加重视加密问题
“对付政府监控的办法就是全部加密。”
前中情局雇员斯诺登曝光美国国家安全局监控活动后,谷哥总裁施密特提出了这样一个想法。
施密特的忠告看来得到了一些提供网络服务的公司的重视。
比如,微软说它要在年底之前为Outlook.com,Office365以及SkyDrive等提供“最佳等级加密”。
雅虎也宣布在今年第一季度前为所有客户的数据包括电邮提供加密措施。
对许多小公司来说,2014年也同样很可能将是个加密年。美国宾西法尼亚州科技公司“优利系统”(Unisys)信息安全负责人福莱梅尔就持这种看法。
但是他认为这个动力不是政府的监控,而是黑客攻击的威胁。
钻石和曲别针
福莱梅尔提议,公司不是要加密所有的东西,而是鉴别出他认为的其中5%-15%真正机密信息,使用加密措施来保护它们。
他说应禁止雇员使用标准桌式和手提电脑或智能手机和平板电脑来处理这些信息,因为它们很容易感染病毒。信息处理要求雇员使用安全“加固”的电脑。
福莱梅尔说,“电脑病毒越来越复杂,显然需要建立高度保护的信息区域。唯一的办法是正确使用现代加密技术。”
“可以把信息分成钻石和曲别针,重要的是要加密钻石,而不在曲别针上费精力。”
2013年发生了数起引起很大关注的信息泄露案,包括黑客攻击美国零售商Target、软件公司Adobe和照片社交网站Snapchat。美国马里兰州信息保护公司“安全网”(Safenet)的总经理潘瓦尼说,这说明2014年对加密服务商来说将是个丰收年。
他说,“斯诺登把注意力放在(政府)监控问题上,但是真正的威胁是有组织犯罪以及不断发生的信息泄露事件。”
“2014年各公司将受到来自董事会,顾客和监管机构的极大压力,要其采取行动。如果发生信息泄露,他们就可以说,我们没有丢失任何信息因为它们已经被加密了。”
让监管机构满意
许多公司已经使用加密技术来保护在他们电脑系统中储存的以及来往云端的信息。
但是技术研究和咨询公司Gartner的分析员克里克恩认为,这些公司使用的加密技术在2014将发生变化。
他说,“由于斯诺登事件,各公司当然要更加重视加密问题。”
“目前,许多公司使用加密措施是为遵守规定,不是为了安全。他们使用加密措施不是为了保护信息,而是因为这样做是为达到符合规定的最简便途径。”
“后门”
各公司需要考虑的一个问题是使用哪一种加密方法来更好保护信息。由于一些较老的加密法现在可用普通电脑就可被轻易地很快“攻破”,因此选择何种加密法是一个非常重要的问题。
此外美国国家安全局是否故意利用其影响力来削弱一些加密系统,甚至为了打开一些加密信息而向一些人开“后门”,这也是人们质疑的一个问题。
他说,“问题是即便你能查看源码,你也不一定能在其中查看到后门。”
他认为更重要的是确定加密技术的各个部分来自何处。
克里克恩说“如果你从一个国家采购软件和硬件,而这个国家的政府没有真正把你的利益放在心里,你就需要记住它可能并不像你认为的那样安全。”
“所以你需要决定信任谁,查出供应商从何处得来其产品的各个部分。”
不要贪便宜
各公司在实施加密措施时需要考虑的另一个问题是,加密程度到底需要多强大。使用更长的加密码,黑客和政府就越难破解,但是也需要更强大的电脑。
但是美国伊利诺信息安全公司Neohapsis的高级安全顾问佛尔默说,许多公司过高估计了加密技术的复杂度。
“如果你有一台苹果电脑,你的处理器用更多时间让运作系统看上去更漂亮,而不是花费时间做加密工作。”
他因此建议使用的加密码要比目前许多公司使用的长两到四倍。
他说“我建议使用你的硬件和软件能支持的最强的加密方式。我敢担保,使用再强大的电脑,其费用也比信息泄露造成的损失要小。”
