Представьте, что сейчас 2019 год.

Вас просят оценить оффшорную консалтинговую фирму для работы с конфиденциальными приложениями вашей организации. После проверки инфраструктуры онлайн-безопасности вы осматриваете офис консалтинговой компании. Консультационная фирма выделила вашей организации безопасный оффшорный центр разработки (ODC). Только сотрудники, которые работают с вашей учетной записью, будут иметь доступ к этому ODC. Везде камеры видеонаблюдения. Охранник круглосуточно наблюдает за тем, кто входит и выходит. Сканирующие машины гарантируют, что никто не сможет пронести устройства хранения внутрь ODC. Никто не может даже носить внутри смартфон.

Вы впечатлены. На основании ваших отзывов ваша организация выбирает консалтинговую фирму для работы с несколькими приложениями, работающими с конфиденциальными данными. Все идет нормально несколько месяцев.
Но затем случается Covid-19.

Не существует учебника по обеспечению безопасности данных в условиях пандемии. Внезапно приоритетом стало выполнение работы, а не защита данных. Сотрудников просят забрать свои рабочие столы домой. Бремя безопасности данных было возложено на доверие и соглашения о неразглашении (NDA).

И как это получилось?

Этот отчет от IBM показывает, что удаленная работа увеличила среднюю стоимость утечки данных на 1 37 000 долларов. В том же отчете также отмечается всплеск инцидентов кибербезопасности из-за удаленной работы.

Является ли гибридная работа решением?

Это 2022 год.

Теперь, когда человечество научилось жить в условиях пандемии, консалтинговые фирмы, как и другие организации, уговаривают своих сотрудников вернуться в свои офисы. Но сотрудники открыли для себя преимущества удаленной работы. Время, сэкономленное на поездках на работу, общий уровень удовлетворенности сотрудников и другие преимущества заставляют их выбирать организации, поддерживающие удаленную работу. В результате консалтинговые компании сталкиваются с беспрецедентное истощение когда они заставляют своих сотрудников вернуться в свои офисы.

Многие считают, что гибридная работа — это волшебная палочка, которая решает загадку удаленной работы и безопасности данных. Три дня в офисе и два дня дома — идеальный компромисс, не так ли? Конечно нет! Любой специалист по кибербезопасности знает, что безопасность данных зависит от самого слабого звена. Таким образом, если сотрудник работает два дня в неделю из дома, это лишь немногим более безопасно, чем работа из дома все время.

Итак, есть ли решение этой проблемы?


Технологии на помощь

Ответ, мой друг, как песня Боба Дилана, всегда дул на ветру. Сохраняющие конфиденциальность вычислительные технологии, такие как доказательства с нулевым разглашением, гомоморфное шифрование и доверенные среды выполнения (TEE), существовали задолго до пандемии. Однако некоторые из этих технологий были слишком сложны в использовании, что ограничивало их широкое промышленное внедрение. Необходимость, вызванная пандемией, заставила техническое сообщество повысить удобство использования некоторых из этих технологий.
Среди этих технологий наиболее многообещающими являются TEE.


Надежные среды выполнения

Trusted Execution Environments (TEE) — это защищенные области памяти внутри ЦП, известные как анклавы. Данные в анклав не может быть доступен даже владельцу этого компьютера.

Производители микросхем, такие как Intel, разработали специализированные процессоры со встроенными TEE. Разработчики могут создавать приложения, которые обрабатывают конфиденциальные данные внутри этих TEE или анклавов. Такие приложения не позволяют мошенническим сотрудникам и злоумышленникам получить доступ к конфиденциальным данным или изменить их, а также обеспечивают цифровые доказательства что никто не изменил конфиденциальные данные.

Предположим, вы разрабатываете приложение на основе анклава, которое обнаруживает подозрительные транзакции на банковском счете. Сотрудники, работающие из дома, используя небезопасное соединение WiFi, могут запускать приложение, не имея доступа к каким-либо личным данным. Злоумышленники также не могут выудить данные о клиентах из таких приложений, поскольку компоненты компьютера, на котором работает приложение, включая операционную систему, не имеют доступа к конфиденциальным данным. Такое шифрование используемых данных обеспечивает правильный баланс между безопасностью данных и гибкой удаленной работой.


Проблемы использования доверенных сред выполнения

Не все приложения можно преобразовать в безопасные приложения на основе анклава. Другие технологии, такие как доказательства с нулевым разглашением и гомоморфное шифрование, также необходимо учитывать.
Кроме того, только разработчики с глубокими знаниями в области криптографии и технологий доверия могут напрямую разрабатывать приложения, использующие TEE, такие как Intel SGX.

Однако существуют простые в использовании комплекты для разработки программного обеспечения (SDK), такие как R3. Конклав которые можно использовать для создания безопасных приложений, работающих на процессорах Intel SGX. R3 также обеспечивает облачное предложение которые можно использовать для разработки безопасных функций.


Итак, кто побеждает в битве за безопасность данных и удаленную работу?

Многие организации делают первый шаг к повышению безопасности данных своих приложений, внедряя конфиденциальные вычисления. Прогнозируется, что рынок конфиденциальных вычислений вырастет с 19,6 млрд долларов в 2020 году до 51,6 млрд долларов к 2026 году.. Консультационные компании должны активно поддерживать своих клиентов, чтобы получить преимущество первопроходца во внедрении технологий конфиденциальных вычислений. Таким образом, как консалтинговые компании, так и их клиенты могут работать лучше и оставаться устойчивыми в эпоху удаленной работы.

Технологии повышения конфиденциальности, такие как TEE, — это только одна часть головоломки безопасности данных. Очевидно, что вы не можете преобразовать все приложения в мире для использования технологий повышения конфиденциальности, таких как TEE. Наряду с внедрением технологий сохранения конфиденциальности организациям следует продолжать следовать другим передовым методам защиты удаленной работы, таким как двухфакторная проверка подлинности и ограничение доступа к приложениям по мере необходимости.
При тщательной расстановке приоритетов и быстром внедрении технологий сохранения конфиденциальности безопасность данных действительно может сосуществовать с удаленной работой.

В таком случае выигрывают все.