Rispettare i requisiti di protezione dei dati senza rivelare troppo?

30

Sono un appaltatore per alcune aziende. Costruisco e ospito i loro sistemi su server che affido da un host internazionale popolare. Conservo il codice di sistema su un famoso sistema di controllo versione ospitato internazionalmente. Ci sono un mix di tecniche di autenticazione in vari punti, la maggior parte delle quali pratiche quasi ottimali.

Tuttavia, faccio anche un po 'di oscurità. SSH è nascosto, alcune cose sono crittografate in modi non ovvi. Solo questi non sarebbero preziosi ma, accanto alla vera sicurezza, respingo le minacce più gravi.

Uno dei miei clienti ha ricevuto oggi una richiesta di protezione dei dati da uno dei suoi clienti: una grande organizzazione governativa. Ovviamente prendono molto sul serio questa burocrazia e ci hanno inviato un lungo questionario che richiede i dettagli di sicurezza specifici . Non solo i dati che raccogliamo, ma anche dove sono protetti, come sono protetti, dove sono i lucchetti e chi ha le chiavi.

Le ultime poche di queste cose sono il tipo di cose che tengo nascosto ai miei clienti, per non parlare dei loro. Come la persona con tutte le chiavi, sono molto consapevole di questo fumetto abusato ma accurato:

Attualmente i clienti dei miei clienti non sanno di me. Non proprio. Ma se rispettiamo la loro richiesta, chiunque abbia accesso a questa richiesta, improvvisamente sa chi sono, dove sono, a cosa ho accesso. Se vuoi entrare nella loro parte di questo sistema, vieni dopo di me.

E puoi andare più a fondo. Parte di questa richiesta menziona le politiche di controllo dell'accesso e fornisce un esempio che spiega dove (esattamente, geograficamente) viene memorizzata una chiave privata. Se segui questo attraverso ogni sistema che tocca tangenzialmente i dati inviati, essi hanno una mappa di ogni sistema che utilizziamo e sanno a chi rivolgersi (o hackerare) per ottenere l'accesso all'intera cosa. Mi sconvolge.

La mia domanda è, secondo la tua esperienza, c'è un modo per soddisfare le richieste della procedura di sicurezza che non hanno come target persone, computer o persino porte specifiche?

Molto poco di questa roba è un requisito legale reale. Abbiamo già seguito le linee guida sulla protezione dei dati personali ... Ma ancora una volta, essendo una grande agenzia governativa, la loro spinta a spuntare caselle sembra avere più poteri di qualsiasi altra organizzazione.

Solo un paio di chiarimenti.

  • Il mio cliente ha dettagli sul sistema. Non hanno accesso diretto alle operazioni del server. Hanno accesso al sistema di controllo della versione e ricevono backup dei dati crittografati su una pianificazione molto regolare e dispongono di un documento (e chiavi di crittografia) che spiega come sostituire il sistema che utilizzo con uno di loro in caso di mia scomparsa prematura. Abbiamo discusso la panoramica ma i dettagli esatti sono sotto il blocco fisico e la chiave.

  • Non abbiamo a che fare con i codici di lancio. Nomi, informazioni di contatto e indirizzi IP. Non mi aspettavo che questo sarebbe stato rilevante per la domanda, ma le persone stanno sollevando la regola dei due uomini. Questo è modo qui sopra. Questo è tecnicamente sub-PCI-DSS.

  • Sono uno sviluppatore e operazioni per questa piccola azienda (così come per gli altri). Molti di voi stanno parlando di me come il punto debole. Sono. Una chiave e hai i dati che ho. Ecco perché lo sto chiedendo.

    Per favore, piuttosto che limitarsi a segnalarlo, alcuni suggerimenti su cosa fare su queste cose su piccola scala sarebbero più utili. Non posso essere l'unico devop del pianeta che si occupa tangenzialmente dei governi.

posta Oli 02.08.2016 - 13:48
fonte

4 risposte

53

La richiesta di queste informazioni potrebbe non essere solo per un controllo di sicurezza, ma anche per un audit di processo, e sembra che potrebbe essere fondato, dal momento che:

If you wanted to break into their portion of this system, you come after me.

Cosa succederebbe se venissi "colpito da un camion" domani? Se sei l'unico a conoscere i sistemi, i tuoi clienti e i loro avranno sicuramente un grosso problema. Idealmente, qualcun altro deve avere accesso anche, e dovrebbe essere documentato chi è e come contattarli.

A seconda dei requisiti, potrebbe essere possibile che il detentore delle chiavi sia una società piuttosto che una persona, magari con un contatto primario e secondario denominato. Il contatto principale potrebbe anche essere qualcuno del tuo cliente e probabilmente dovrebbe avere tutta la documentazione su come accedere ai suoi sistemi in caso di emergenza se non sei disponibile.

Inoltre, potresti essere in grado di fornire un rapporto con alcune cose cancellate. Probabilmente sono più interessati a sapere che la documentazione non redatta esiste da qualche parte e che le persone giuste hanno accesso ad essa quando necessario. Probabilmente non si preoccuperanno che i numeri di porta, ecc. Siano oscurati, a patto che possano essere sicuri che siano presenti in un documento da qualche parte.

    
risposta data 02.08.2016 - 15:33
fonte
30

Hai detto "Molto poco di questa roba è un vero e proprio requisito legale" ma, a seconda del governo in questione, questo potrebbe essere un requisito legale molto severo. Se quel governo richiede ai propri dipartimenti / agenzie di seguire NIST SP800-53 allora non possono semplicemente rispondere "abbiamo un ragazzo." Le risposte a questi controlli di sicurezza richiedono informazioni dettagliate che forniscono chi, cosa, dove, quando, perché e come. La mancata fornitura di tali informazioni può impedire a tale ente governativo di ottenere l'autorizzazione a gestire tale sistema informativo. Pertanto, puoi aspettarti di lasciare che l'entità governativa sappia chi sei e quali sono i tuoi processi.

    
risposta data 02.08.2016 - 14:44
fonte
17

Non accumulare troppo, ma la tua domanda espone un grave difetto nel sistema, che sei tu.

Tu sei un singolo punto di errore, ed è abbastanza lontano dalle best practice.

A seconda delle specifiche di questo contratto governativo, avere tutte le chiavi di crittografia con una sola persona può essere una violazione squalificante, oltre ad essere una cattiva pratica. Oltre al problema "colpisci un autobus", alcune normative governative richiedono l'implementazione della regola dei due uomini / quattro occhi principio , spesso con una barra minima di accesso ai sistemi privilegiati monitorati o controllati da una persona diversa dalla persona che accede al sistema, il che non è possibile se sei l'unico con l'accesso.

È comprensibile che tu sia spiazzato rivelando informazioni personali identificabili su di te, insieme al fatto che tu sia probabilmente il miglior punto di attacco su questi sistemi, che tagli in entrambi i modi e che dovrebbe essere spiazzante. L'approccio corretto non è quello di oscurare questa vulnerabilità, ma di affrontarla. Se disponi di sistemi e processi sicuri, sono sicuri, indipendentemente dal fatto che qualcuno ne sia a conoscenza o meno, ed è quello su cui dovresti concentrarti. Portare i tuoi server in un centro dati sicuro e adeguato, implementare il monitoraggio / controllo degli accessi ed eliminarti come singolo punto di errore sono tutti molto possibili, migliorerebbe la sicurezza dei tuoi sistemi e renderebbe la risposta a questo questionario meno problematica . Come rivestimento d'argento, questa è probabilmente un'opportunità per vendere questo particolare client (e forse altri) su quei miglioramenti di sicurezza.

    
risposta data 03.08.2016 - 05:00
fonte
6

Altri hanno affermato che sei un singolo punto di errore nei sistemi / processi del client del tuo cliente, quindi non lo ripeterò più.

Quello che dirò è che potrebbe non essere richiesto di spiegare tutto fino all'ultimo dettaglio. Potresti essere in grado di descrivere i tuoi sistemi come hai nella domanda. Tutto ciò dipende dalle domande che ti sono state rivolte e dalla giurisdizione legale da cui sei governato.

Ad esempio, potresti non aver bisogno di dire "Tengo le chiavi e config su github", ma potrei semplicemente dire "Conservo le chiavi e la configurazione in un servizio di controllo delle versioni gestito privato, di terze parti che è ospitato negli Stati Uniti". Quest'ultimo dà via la giurisdizione legale dei server che ospitano i dati, ma non ne fornisce necessariamente l'esatta ubicazione.

Un'altra cosa da notare è che se qualcuno sta prendendo molto sul serio la burocrazia, è possibile che possano, diciamo, avere dei complessi di superiorità irrisolti. Cioè, potrebbero porre domande troppo dettagliate o precise, per le quali non esiste alcuna giustificazione nella legislazione sulla protezione dei dati. Solo perché hanno chiesto "Quali misure hai preso per proteggere SSH? Si prega di specificare le porte alternative utilizzate, le sequenze di porte o altri dettagli necessari per l'accesso", non significa che in realtà devi rivelare tutto ciò a loro.

Detto questo, il tuo cliente diretto ha assolutamente il diritto di chiedere quel tipo di cose (perché se sei investito da un autobus, sono loro che cercano di far girare le cose senza di te). Non c'è (probabilmente) nessuna legge che regoli questo, se non "se non lo fai, non aspettarti di essere assunto". Potrebbe essere il momento di iniziare a parlare di soluzioni di escrow con loro.

    
risposta data 03.08.2016 - 11:30
fonte

Leggi altre domande sui tag