ענקריפּשאַן אין קריזיס: וק געשעפטן פּנים זיכערהייט טרייסלען-אַרויף אונטער פּראָפּאָסעד ינוועסטיגאַטאָרי פּאָווערס אקט רעפאָרם

די וק רעגירונג איז פּערסוינג ענדערונגען צו די ינוועסטיגאַטאָרי פּאָווערס אקט, איר אינטערנעט סנאָאָפּינג רעזשים, וואָס וועט געבן געזעץ ענפאָרסמאַנט און זיכערהייט באַדינונגס צו בייפּאַס די סוף-צו-סוף ענקריפּשאַן פון וואָלקן פּראַוויידערז און אַקסעס פּריוואַט קאָמוניקאַציע מער לייכט און מיט אַ גרעסערע פאַרנעם. עס קליימז אַז די ענדערונגען זענען אין די בעסטער אינטערעסן פון דעם ציבור ווי סייבער קריימז ספּיראַליז אויס פון קאָנטראָל און בריטאַן ס שונאים קוקן צו שפּיאָן אויף זייַן בירגערס.

אָבער, זיכערהייט עקספּערץ טראַכטן אַנדערש, אַרגיוינג אַז די אַמענדמאַנץ וועט מאַכן ענקריפּשאַן באַקדאָרז וואָס לאָזן סייבער קרימאַנאַלז און אנדערע נעפעריש פּאַרטיעס צו רויב אויף די דאַטן פון אַנסאַספּעקטינג ניצערס. זיי בעטן געשעפטן צו נעמען ענקריפּשאַן אין זייער אייגן הענט אין סדר צו באַשיצן זייער קאַסטאַמערז און זייער רעפּיאַטיישאַנז, ווייַל די וואָלקן באַדינונגס אויף וואָס זיי געוויינט צו פאַרלאָזנ זיך זענען ניט מער פריי פון רעגירונג סנאָפּינג. דאָס איז קענטיק פון עפּל ס באַשלוס צו האַלטן פאָרשלאָגן זיין אַוואַנסירטע דאַטאַ פּראַטעקשאַן געצייַג אין בריטאַן נאָך פאדערונגען פון בריטיש לאָמייקערז פֿאַר באַקדאָר אַקסעס צו דאַטן, טראָץ דעם פאַקט אַז די קופּערטינאָ-באזירט טעק ריז קען נישט אפילו אַקסעס עס.

ימפּרוווינג ציבור זיכערקייַט

די רעגירונג האפענונגען צו פֿאַרבעסערן ציבור זיכערקייַט און נאציאנאלע זיכערהייט דורך מאַכן די ענדערונגען. דאָס איז ווייַל די געוואקסן נוצן און סאַפיסטאַקיישאַן פון סוף-צו-סוף ענקריפּשאַן מאכט ינטערסעפּטינג און מאָניטאָרינג קאָמוניקאַציע האַרדער פֿאַר ענפאָרסמאַנט און סייכל יידזשאַנסיז. פאליטיקאנטן טענהן אז דאס פארמיידט די אויטאריטעטן פון טאן זייערע ארבעט און דערלויבט פארברעכערס זיך ארויסצולאזן מיט זייערע פארברעכנס, און מאכן סכנה דאס לאנד און איר באפעלקערונג.

Matt Aldridge, הויפּט לייזונג קאָנסולטאַנט ביי OpenText Security, דערקלערט אַז די רעגירונג וויל צו מאַכנ דעם אַרויסגעבן דורך געבן פּאָליצייַ און סייכל באַדינונגס מער כוחות און פאַרנעם צו צווינגען טעק קאָמפּאַניעס צו בייפּאַס אָדער ויסמעקן סוף-צו-סוף ענקריפּשאַן אויב זיי כאָשעד אַ פאַרברעכן.

אין טאן אַזוי, ינוועסטאַגייטערז קען אַקסעס די רוי דאַטן געהאלטן דורך טעק קאָמפּאַניעס. זיי קענען דעריבער נוצן די אינפֿאָרמאַציע צו העלפן זייער ינוועסטאַגיישאַנז און לעסאָף מאַכנ די פאַרברעכן.

Alridge דערציילט ISMS.online: "דער אַרגומענט איז אַז אָן די נאָך פיייקייט צו באַקומען אַקסעס צו ינקריפּטיד קאָמוניקאַציע אָדער דאַטן, בריטיש בירגערס וועלן זיין מער יקספּאָוזד צו פאַרברעכער און ספּייינג אַקטיוויטעטן, ווייַל אויטאריטעטן וועלן נישט קענען צו נוצן סיגנאַלז סייכל און פאָרענסיק ינוועסטאַגיישאַנז צו זאַמלען קריטיש זאָגן אין אַזאַ קאַסעס."

די רעגירונג פּרוּווט צו האַלטן אַרויף מיט קרימאַנאַלז און אנדערע סאַקאָנע אַקטערז דורך בראָדאַנד דאַטן סנאָאָפּינג כוחות, זאגט Conor Agnew, הויפּט פון העסקעם אַפּעריישאַנז אין Closed Door Security. ער זאגט אז עס נעמט אפילו סטעפּס צו דרוקן פירמעס צו בויען באַקדאָרן אין זייער ווייכווארג, און דערמעגלעכט באאמטע צו אַקסעס די באנוצערס דאַטן ווי זיי ווילן. אַזאַ אַ מאַך ריסקס "ראַבישינג די נוצן פון סוף-צו-סוף ענקריפּשאַן".

ריזיק קאָנסעקווענסעס פֿאַר געשעפטן

אָבער, די רעגירונג פרוווט צו באַרעכטיקן איר באַשלוס צו מאָדיפיצירן IPA, די ענדערונגען פאָרשטעלן באַטייטיק טשאַלאַנדזשיז פֿאַר אָרגאַנאַזיישאַנז אין מיינטיינינג דאַטן זיכערהייט, נאָכקומען מיט רעגולאַטאָרי אַבלאַגיישאַנז און האַלטן קאַסטאַמערז צופרידן.

Jordan Schroeder, אָנפירונג CISO פון באַריער נעטוואָרקס, טענהט אַז מינאַמייזינג סוף-צו-סוף ענקריפּשאַן פֿאַר שטאַט סערוויילאַנס און ינוועסטאַגייטינג צוועקן וועט מאַכן אַ "סיסטעמיק שוואַכקייַט" וואָס קענען זיין אַביוזד דורך סייבער קרימאַנאַלז, לאַנד-שטאַטן און בייזע ינסידערז.

"וויקאַנינג ענקריפּשאַן ינכעראַנטלי ראַדוסאַז די זיכערהייט און פּריוואַטקייט פּראַטעקשאַנז וואָס ניצערס פאַרלאָזנ אויף," ער זאגט. "דאָס שטעלט אַ דירעקט אַרויסרופן פֿאַר געשעפטן, ספּעציעל יענע אין פינאַנצן, כעלטקער און לעגאַל באַדינונגס, וואָס אָפענגען אויף שטאַרק ענקריפּשאַן צו באַשיצן שפּירעוודיק קליענט דאַטן.

Aldridge פון OpenText סעקוריטי שטימען אַז דורך ינטראָודוסינג מעקאַניזאַמז צו קאָמפּראָמיס סוף-צו-סוף ענקריפּשאַן, די רעגירונג איז געלאזן געשעפטן "גוואַלדיק יקספּאָוזד" צו ביידע ינטענשאַנאַל און ניט-ינטענשאַנאַל סייבערסעקוריטי ישוז. דאָס וועט פירן צו אַ "מאַסיוו פאַרקלענערן אין פארזיכערונג וועגן די קאַנפאַדענשיאַלאַטי און אָרנטלעכקייַט פון דאַטן".

צו נאָכקומען מיט די נייַע כּללים, Aldridge וואָרנז אַז טעכנאָלאָגיע סערוויס פּראַוויידערז קען זיין געצווונגען צו אָפּהאַלטן אָדער פאַרהאַלטן וויטאַל זיכערהייט פּאַטשאַז. ער מוסיף אַז דאָס וואָלט געבן סייבער קרימאַנאַלז מער צייט צו גווורע אַנפּאַטשט סייבערסעקוריטי וואַלנעראַביליטיז.

דעריבער, Alridge יקספּעקץ אַ "נעץ רעדוקציע" אין די סייבערסעקוריטי פון טעק קאָמפּאַניעס אַפּערייטינג אין די וק און זייער יוזערז. אָבער רעכט צו דער ינטערקאַנעקטיד נאַטור פון טעכנאָלאָגיע באַדינונגס, ער זאגט אַז די ריסקס קען ווירקן אנדערע לענדער אַחוץ די וק.

רעגירונג מאַנדייטיד זיכערהייט באַקדאָרז קען זיין עקאָנאָמיק דאַמידזשינג צו בריטאַן, אויך.

ווידער פון פארמאכט טיר זיכערהייט זאגט אז אינטערנאציאנאלע ביזנעסער קענען ארויסציען אפעראציעס פון די פאראייניגטע קעניגרייך אויב "דזשודישער איבערשרייבן" פּריווענץ זיי פון באהיטן באַניצער דאַטן.

אָן אַקסעס צו מיינסטרים ענקריפּטיד באַדינונגס, Agnew גלויבט אַז פילע מענטשן וועלן ווענדן צו די טונקל וועב צו באַשיצן זיך פון געוואקסן שטאַט סערוויילאַנס. ער זאגט אז די פארגרעסערטע באנוץ פון אומרעגיאלירטע דאטא סטאָרידזש וועט נאר שטעלן באנוצער אין א גרעסערע ריזיקירן און בענעפיטירן פאר קרימינאלן, און מאכן די רעגירונג'ס ענדערונגען אַרויסגעוואָרפן.

מיטאַגייטינג די ריסקס

אונטער אַ מער ריפּרעסיוו IPA רעזשים, ענקריפּשאַן באַקדאָרז ריזיקירן צו ווערן די קלאַל. אויב דאָס פּאַסירן, אָרגאַנאַזיישאַנז האָבן קיין ברירה אָבער צו מאַכן גרויס ענדערונגען אין זייער סייבער זיכערהייט האַלטנ זיך.

לויט Schroeder פון באַריער נעטוואָרקס, די מערסט קריטיש שריט איז אַ קולטור און מיינדסעט יבעררוק אין וואָס געשעפטן ניט מער יבערנעמען טעכנאָלאָגיע ווענדאָרס פאַרמאָגן די קייפּאַבילאַטיז צו באַשיצן זייער דאַטן.

ער דערקלערט: "וואו געשעפטן אַמאָל רילייד אויף פּראַוויידערז ווי עפּל אָדער ווהאַצאַפּפּ צו ענשור E2EE, זיי מוזן איצט יבערנעמען אַז די פּלאַטפאָרמס זענען אגב קאַמפּראַמייזד און נעמען פֿאַראַנטוואָרטלעכקייט פֿאַר זייער אייגענע ענקריפּשאַן פּראַקטיסיז."

אָן טויגן שוץ פון טעכנאָלאָגיע סערוויס פּראַוויידערז, Schroeder ערדזשיז געשעפטן צו נוצן פרייַ, זיך-קאַנטראָולד ענקריפּשאַן סיסטעמען צו פֿאַרבעסערן זייער דאַטן פּריוואַטקייט.

עס זענען עטלעכע וועגן צו טאָן דאָס. Schroeder זאגט אַז איין אָפּציע איז צו ענקריפּט שפּירעוודיק דאַטן איידער עס איז טראַנספערד צו דריט-פּאַרטיי סיסטעמען. אַזוי, דאַטן וועט זיין באַוואָרענען אויב דער באַלעבאָס פּלאַטפאָרמע איז כאַקט.

אַלטערנאַטיוועלי, אָרגאַנאַזיישאַנז קענען נוצן אָפֿן-מקור, דיסענטראַלייזד סיסטעמען אָן רעגירונג מאַנדייטיד ענקריפּשאַן באַקדאָרז. די דאַונסייד, זאגט Shroeder, איז אַז אַזאַ ווייכווארג האט פאַרשידענע זיכערהייט ריסקס און איז ניט שטענדיק פּשוט צו נוצן פֿאַר ניט-טעכניש ניצערס.

Aldridge פון OpenText סעקוריטי עקאָוינג ענלעך קוקן ווי Schroeder זאגט אַז געשעפטן מוזן ינסטרומענט נאָך ענקריפּשאַן לייַערס איצט אַז זיי קענען נישט אָפענגען אויף די סוף-צו-ענקריפּשאַן פון וואָלקן פּראַוויידערז.

איידער אָרגאַנאַזיישאַנז צופֿעליקער דאַטן צו די וואָלקן, Aldridge זאגט אַז זיי זאָל ינקריפּט עס לאָוקאַלי. געשעפטן זאָל אויך אָפּהאַלטן פון סטאָרינג ענקריפּשאַן שליסלען אין די וואָלקן. אַנשטאָט, ער זאגט אַז זיי זאָל אַפּט פֿאַר זייער אייגן לאָוקאַלי כאָוסטיד ייַזנוואַרג זיכערהייט מאַדזשולז, סמאַרט קאַרדס אָדער טאָקענס.

ווידער פון פארמאכט טיר זיכערהייט רעקאַמענדז אַז געשעפטן ינוועסטירן אין נול צוטרוי און פאַרטיידיקונג-אין-טיפקייַט סטראַטעגיעס צו באַשיצן זיך פון די ריסקס פון נאָרמאַלייזד ענקריפּשאַן צוריק.

אָבער ער אַדמיץ אַז אפילו מיט די סטעפּס, אָרגאַנאַזיישאַנז וועלן זיין אַבליידזשד צו געבן דאַטן צו רעגירונג יידזשאַנסיז אויב עס איז געבעטן דורך אַ באַרעכטיקן. מיט דעם אין זינען, ער ינקעראַדזשאַז געשעפטן צו פּרייאָראַטייז "פאָוקיסינג אויף וואָס דאַטן זיי פאַרמאָגן, וואָס דאַטן מענטשן קענען פאָרלייגן צו זייער דאַטאַבייסיז אָדער וועבסיטעס, און ווי לאַנג זיי האַלטן די דאַטן פֿאַר."

אַססעססינג די ריסקס

קריטיש, געשעפטן מוזן באַטראַכטן די טשאַלאַנדזשיז ווי אַ טייל פון אַ פולשטענדיק ריזיקירן פאַרוואַלטונג סטראַטעגיע. לויט Schroeder פון Barrier Networks, דאָס וועט אַרייַנציען רעגולער אַדאַץ פון די זיכערהייט מיטלען אָנגעשטעלט דורך ענקריפּשאַן פּראַוויידערז און די ברייט צושטעלן קייט.

Aldridge פון OpenText Security אויך סטרעסט די וויכטיקייט פון שייַעך-יוואַליוייטינג סייבער ריזיקירן אַסעסמאַנץ צו נעמען אין חשבון די טשאַלאַנדזשיז געשטעלט דורך וויקאַנד ענקריפּשאַן און באַקדאָרז. דערנאָך, ער מוסיף אַז זיי וועלן דאַרפֿן צו קאַנסאַנטרייט אויף ימפּלאַמענינג נאָך ענקריפּשאַן לייַערס, סאַפיסטאַקייטיד ענקריפּשאַן שליסלען, פאַרקויפער לאַטע פאַרוואַלטונג און היגע וואָלקן סטאָרידזש פון שפּירעוודיק דאַטן.

אן אנדער גוט וועג צו אַססעסס און פאַרמינערן די ריסקס געפֿירט דורך די רעגירונג ס IPA ענדערונגען איז דורך ימפּלאַמענינג אַ פאַכמאַן סייבערסעקוריטי פריימווערק.

Schroeder זאגט אַז ISO 27001 איז אַ גוט ברירה ווייַל עס גיט דיטיילד אינפֿאָרמאַציע אויף קריפּטאָגראַפיק קאָנטראָלס, ענקריפּשאַן שליסל פאַרוואַלטונג, זיכער קאָמוניקאַציע און ענקריפּשאַן ריזיקירן גאַווערנאַנס. ער זאגט: "דאָס קען העלפֿן אָרגאַנאַזיישאַנז צו ענשור אַז אפילו אויב זייער ערשטיק שפּייַזער איז קאַמפּראַמייזד, זיי האַלטן קאָנטראָל איבער די זיכערהייט פון זייער דאַטן."

קוילעלדיק, די IPA ענדערונגען ויסקומען צו זיין נאָך אן אנדער בייַשפּיל פון די רעגירונג זוכט צו באַקומען מער קאָנטראָל איבער אונדזער קאָמוניקאַציע. טאַוטיד ווי אַ שריט צו שטיצן די נאציאנאלע זיכערהייט און באַשיצן וואָכעדיק בירגערס און געשעפטן, די ענדערונגען פשוט שטעלן מענטשן אין אַ גרעסערע ריזיקירן פון דאַטן בריטשיז. אין דער זעלביקער צייט, קאָמפּאַניעס זענען געצווונגען צו אָפּגעבן שוין-אויסגעשטרעקט עס טימז און דין באַדזשיץ צו אַנטוויקלען זייער אייגן ענקריפּשאַן מיטל, ווייַל זיי קענען ניט מער צוטרוי די פּראַטעקשאַנז געפֿינט דורך וואָלקן פּראַוויידערז. וועלכער די פאַל, ינקאָרפּערייטינג די ריזיקירן פון ענקריפּשאַן באַקדאָרז איז איצט אַן אַבסאָלוט נייטיקייַט פֿאַר געשעפטן.