Nincs titkos felhős szolgáltatás
Két, teljeskörű titkosítással rendelkező email-szolgáltatás állt le a héten, mivel a szoltáltatók nem tudták garantálni, hogy az Egyesült Államok kormánya nem fér hozzá a tárolt információhoz. A pont-pont kommunikáció továbbra is jól titkosítható, de ami a szervereken van, az megfigyelhető ma.
Nem tudja email-szolgáltatásának biztonságát garantálni a Lavabit és a Silent Circle, így mindkét cég leállítja azt. A két cég közleményéből egyértelműnek tűnik, hogy az amerikai jogi környezet teszi lehetetlenné a biztonságos szolgáltatást, a cégek ugyanis kötelezhetőek a levelek tartalmának kiadására. A Lavabit az elmúlt hónapokban vált híressé, miután Edward Snowden, az amerikai Nemzetbiztonsági Hivatal (NSA) dezertáló munkatársa itt működtetett postaládát. A Silent Circle sokkal nagyobb halnak számít, alapítói közé tartozik Phil Zimmermann, a PGP készítője is.
Pont-pont kommunikáció igen, szerver-alapú nem
A Silent Circle álláspontja szerint az olyan szolgáltatások esetében, ahol a szolgáltatást nyújtó is rendelkezik a titkosítási kulccsal, a mai amerikai jogi környezetben nem tekinthetőek biztonságosnak. Az email esetében a levelek a szolgáltató szervereire érkeznek, és bár a Silent Circle titkosítva tárolja és titkosítva küldi a felhasználóknak az adatokat, értelemszerűen rendelkeznie kell a titkosítást feloldó kulccsal is, a kormányzat pedig kötelezheti ennek kiadására. A Silent Circle állítása szerint egyelőre nem kaptak adatigénylést a nemzetbiztonsági vagy egyéb amerikai kormányzati hatóságtól, de mivel ennek lehetősége nem zárható ki (és ellenkezésnek, sőt, az adatszolgáltatás tényének nyilvánosságra hozatalára nem ad lehetőséget a törvény), a cég ezért leállítja a szolgáltatást.
Az olyan rendszereknél, amelyeknél a titkosítást feloldó kulcs kizárólag a felhasználóknál található, a jogi környezet ellenére a szolgáltató is képtelenek betekintést nyújtani a kommunikációba, így ezek továbbra is biztonságosnak tekinthetőek. Ennek megfelelően a Silent Phone, a Silent Text és a Silent Eyes (hang, szöveges és videókommunikáció) továbbra is biztosnak számít, mivel a két felhasználó között végig titkosítva halad az adat, azokat titkosítatlanul sem tárolja a szolgáltató és metaadatokat sem őriz. A cég szervereit használó Silent Mail azonban potenciálisan kormányzati kémkedés célpontja lehet.
NIS2 irányelv: megfelelőség vagy radikális átalakulás? (x) Gyere el online meetupunkra és tudj meg mindent az EU új kiberbiztonsági irányelvéről!
A Silent Circle szolgáltatásai kifejezetten népszerűnek számítanak a támadásoknak gyakran kitett emberek körében. "Van néhány igazán nagy nevű megrendelőnk, magas rangú állami vezetők, emberjogi csoportok, újságírók, több állam speciális alakulata" - nyilatkozta Michael Janke, a cég elnök-vezérigazgatója a TechCrunchnak. A szolgáltatás műszaki szempontból biztonságosnak számít, incidensre sem került sor eddig, azonban ezt a jövőben az email-szolgáltatása esetében már nem tudja garantálni, hogy az adatok ne kerüljenek ki. "Elnézést kérünk az esetleges kellemetlenségért, és reméljünk, hogy megérti, ha haboznánk, sokkal nagyobb kellemetlenséget kockáztatnánk" - búcsúzott a felhasználóktól a szolgáltató.
Lavabit: nincs biztonságos szolgáltatás
A Silent Circle-lel szemben a Lavabit (valószínűleg Snowden postaládája kapcsán) már célpontja lehetett kormányzati adatigénylésnek. A szolgáltatást egy személyben fejlesztő és üzemeltető Ladar Levison ezért úgy döntött, hogy a Lavabit szolgáltatását leállítja. A fejlesztő (feltehetően bírósági határozat nyomán) nem fedheti fel, hogy milyen kormányzati lépések révén kényszerült meghozni ezt a döntést, annak ellenére, hogy az Alkotmány garantálja a szólásszabadságot.
Tiszta beszéd.
A cég honlapján közzétett levélben a fejlesztő figyelmezteti a felhasználókat, hogy az amerikai jogi környezetnek köszönhetően egyik olyan szolgáltatás sem tekinthető biztonságosnak, amelynek fizikailag köze van az Egyesült Államokhoz és sürgeti az olvasókat, hogy adataikat ne bízzák ilyen entitásokra.
A felhős biztonsággal kapcsolatos kérdés nem elméleti. A hatóságoknál is emberek dolgoznak, és pont a Snowden-eset mutatja, hogy az emberek nem abszolút megbízhatóak. A tény, hogy érzékeny adatokhoz a jogosultakon kívül más, ismeretlen személyek is hozzáférnek, definíció szerint kétségbe vonja az adat biztonságát és megkérdőjelezi a szolgáltatást nyújtók őszinteségét.
Európai szolgáltatók profitálhatnak
A washingtoni Information Technology & Innovation Foundation az egyik legbefolyásosabb, független think tanknak számít műszaki területen. A szervezet legújabb jelentése azt állítja, hogy az NSA PRISM és egyéb lehallgatási akciók rendkívül keményen visszaütnek az amerikai felhős szolgáltatókra, és a következő három évben mintegy 22-35 milliárd dolláros bevételkiesést okoz a biztonságos szolgáltatást ellehetetlenítő jogi környezet.
A felhős bevételek egyre nagyobb aránya érkezik az USA-n kívülről (Gartner).
A jelentés szerint az Egyesült Államok, az Európai Unió és más nagy nemzetgazdaságok között késhegyre menő csata folyik jelenleg is a nyilvános felhős szolgáltatások terén. Az EU kinyilvánított szándéka versenyképessé tenni a kontinens hazai szolgáltatásait, ha kell, agresszív pénzügyi támogatásokkal és a szabályozási környezet módosításával. Egyelőre az amerikai szolgáltatások gyakorlatilag minden területen abszolút dominánsnak számítanak, de a robbanásszerűen növekvő piacon az amerikai jogi környezet bizonytalansága felboríthatja ezt a szituációt. Neelie Kroes, az EU digitális menetrendért felelős biztosa kaján fogalmazása szerint: "ha az európai felhő-vásárlók nem bíznak az Egyesült Államok kormányában, akkor talán nem bízhatnak az amerikai szolgáltatásokban sem. [...] Ha amerikai felhő-szolgáltató lennék, most meglehetősen bosszantana a saját kormányom." Az európai tervek szerint hamarosan elkészül egy felhős tanusítvány és szerződés-minta, amelyben külön kitételként szerepel az adatok biztonsága a széleskörű kormányzati adatigényléssel szemben - a várakozások szerint ezt az amerikai szolgáltatók csak nehezen vagy sehogyan nem fogják tudn teljesíteni.
A felhős szolgáltatások összbevétele a Gartner piackutatása szerint 2012 és 2016 között megduplázódik majd, miközben a teljes IT-költés csak 3 százalékkal bővül. A gyorsan növekvő piacon ráadásul roppant gyorsan változhat a szituáció, a potenciális vásárlókra még nem hat a lock-in, a pozíciókban pillanatok alatt megtörhet az amerikai dominancia. Az ITIF tanulmánya szerint a botrány kapcsán legjobb esetben 10, legrosszabb esetben 20 százalékát veszíthetik el, ez 22-35 millió dolláros bevételkiesésnek felelne meg.