Diciamo che abbiamo una grande azienda X che memorizza le informazioni degli utenti privati. Ad esempio un provider di posta elettronica o un provider di social network. Ho principalmente in mente GMail e Facebook. Quindi la compagnia ha migliaia di dipendenti. Supponiamo inoltre che X usi Linux per tutte le loro macchine (dal mio punto di vista questo è davvero il caso di Google e Facebook per le loro macchine server).
Ora, da quanto ho capito, X avrebbe di solito alcuni data center che contengono molte macchine server e i dati dell'utente verrebbero archiviati su quelle macchine. Diciamo che abbiamo una macchina con i dati dell'utente su di essa. Può essere crittografato quando memorizzato, ma dovrebbe essere decifrabile se verrà restituito all'utente ad un certo punto. Quindi sembrerebbe che un amministratore di sistema con diritti di accesso sufficienti possa accedere a tali dati utente.
Ora capisco che in una simile azienda la maggior parte dei dipendenti non avrebbe diritti di accesso alle informazioni degli utenti, e quelli che lo farebbero sarebbero soggetti alla registrazione del loro accesso alle risorse. Tuttavia, non ci sarebbe sempre almeno una persona / amministratore di sistema che ha accesso da superutente a una determinata macchina? e una tale persona potrebbe accedere alle informazioni dell'utente e avere anche il controllo della funzionalità di registrazione su quella macchina, quindi sarebbe in grado di farlo senza tracce?
La mia analisi è corretta? Mi chiedo soprattutto se tali società che memorizzano i dati degli utenti, avrebbero tali amministratori di sistema che dispongono dell'accesso superutente ai dati utente e alla registrazione e quindi sarebbero in grado di recuperare i dati dell'utente senza lasciare tracce?
Se questa analisi è corretta, chi di solito ha tale permesso? sarebbe solo un sysadmin di basso rango? forse solo il responsabile della sicurezza informatica?
Se l'analisi non è corretta, come si configura una situazione in cui non esiste una singola persona / insider in grado di abusare dei dati utente nel modo in cui ho descritto? Alcune idee che ho per come ciò potrebbe forse essere fatto: (1) richiede l'autenticazione da più di una persona. (2) mantenere i dati utente su una macchina, con un sysadmin, e la chiave di decrittazione su una macchina separata che ha un altro amministratore di sistema (quindi ancora una volta richiederebbe una collusione di due insiders per abusare dei dati)