Computerworld News Service: Brug af datakryptering kan gøre organisationer sårbare overfor nye risici og trusler, advarer et panel af sikkerhedseksperter.
Mange organisationer krypterer deres lagrede data for at undgå bekymringer over datatyveri eller -tab.
Det skyldes for eksempel, at de amerikanske love om påbudt offentliggørelse af dataindbrud ikke gælder for krypteret data.
Nye risici
Eksperter fra blandt andre IBM Internet Security Systems, Juniper og nCipher udtaler dog, at datakryptering også bringer nye risici - især gennem angreb – overlagte eller utilsigtede – på nøgleadministrationen.
Forandringen er sket i særdeleshed med overgangen fra at kryptere data under overførsel til at kryptere lagret data – ofte som en reaktion på regulerende krav – mener Richard Moulds, nCiphers direktør for produktstrategi.
"Kryptering er nyt for mange organisationer. Det eneste kendskab, de har til det, er i forhold til SSL, men det er kun en session. Når man går over til data, der ligger stille, krypterer sin laptop og mister nøglen, er det som at have smidt sin data i skraldespanden – det er et selvpåført Denial-of-Service angreb," siger han.
Han peger på, at organisationer med erfaring med kryptering er tilbageholdende.
"De siger, at dette er et potentielt mareridt. Det kan potentielt sætte din virksomhed pludseligt i stå," siger Richard Moulds.
Katten ud af sækken
Kryptering er også af lige så stor interesse for banditterne som for os andre, advarer Anton Grashion, europæisk sikkerhedsstrateg for Juniper.
"Så snart man slipper katten ud af sækken, vil de også udnytte det," siger han.
Eksempelvis ligner det en glimrende mulighed for at begynde at angribe infrastrukturer for nøgleadministration.
"Det er en ny klasse af DoS-angreb," siger en enig Moulds. "At gå ind og tilbagekalde en nøgle og så kræve en løsesum er en fantastisk nem måde at angribe en virksomhed på."
Nidkær brug
En anden risiko er, at en for nidkær brug af kryptering vil skade en organisations evne til ellers legitimt at dele og bruge vital virksomhedsdata, bemærker Joshua Corman, ledende sikkerhedsstrateg hos IBM ISS.
"Jeg kan godt frygte, at vi alle sammen vil gå og gemme al vores information, men virksomheder er drevet af information, og så tager vi en taktisk beslutning, og kvæler derved vores evne til at samarbejde," siger han.
"Nogle gange bliver resultatet af implementering af sikkerhedsteknologi en faktisk nettostigning i risiko," tilføjer Richard Reiner, sikkerheds- og teknologichef hos Telus Security Solutions.
Oversat af Thomas Bøndergaard
