Med relativt nylige høyprofilbrudd som iCloud-affæren fortsatt i våre sinn, er det på tide å ta en lang titt på risikoen som SaaS-filsynkroniser og dele (FSS) -løsninger gir. Det har blitt sagt mange ganger at slike løsninger ikke er sikre - men la oss gå utover slagordene, dissekere hva de gjør det som er så usømmelig, og hvilke konklusjoner bedrifter bør trekke fra alt dette.

For å forstå mønsteret, har jeg gått tilbake det siste året eller så for å undersøke ulike hendelser, og magisk endte opp med syv av dem - og så tar jeg deg med de syv dødelige synder av filsynkronisering og deling.

Begjær

Hackere lurer etter dine FSS data: Som rapportert av en Google-studie tidlig i fjor, og demonstrert også av en Dropbox-avsløring i 2012, er kontokapring en vanlig trussel.

Mulighetene for hackere er uendelige - i mange tilfeller brukte de bare kontoene til å målrette brukere med spam, men da FSS-tjenester synkroniserer filer til datamaskinen din, kan tilgang til kontoer enkelt brukes til å sette malware inn i brukernes PCer, eller faktisk for alt fra keylogging til infiltrerende virksomhetssystemer. Naturligvis er de mer brukte tjenestene mer sannsynlig å bli målrettet av hackere.

Din bot: Det finnes måter å redusere slike risikoer, inkludert brukerautentisering ved hjelp av Active Directory-integrasjon, hyppige passordendringer, samt tofaktor- eller multifaktorautentiseringsmetoder, kan alle gjøre mye for å forhindre kontokapring.

Gluttony

Big Brother vil gobble opp dataene dine: Som det ble avslørt av Edward Snowden, trykker National Security Agency's PRISM-program inn i brukerdata fra en rekke amerikanske baserte tjenesteleverandører, inkludert Apple, Google og andre. Dropbox har også mottatt forespørsler om avsløring, og man kan bare gjette hvor mye data er samlet inn på andre måter som ikke involverer NSA, spør pent.

Din bot: Hvis du vil gjøre filene mindre appetittvekkende og mindre tilgjengelige for intelligensbyråer, kan du enten gå helt privat på din egen infrastruktur eller bruke en skygtjeneste som lar deg kryptere dataene dine ved kilden og være den eneste eieren av krypteringen nøkler.

Grådighet

Global krypteringsnøkkel, deplikasjon på tvers av alle kontoer, svarer til flere penger: Se på noen FSS-leverandør, og de vil fortelle deg at dataene dine er kryptert med kryptering av militær klasse. Det handler om å være så nyttig som å vite at huset ditt har en dør og den er låst. Men hvem har nøkkelen? Og hvor mange andre dører bruker samme nøkkel?

Dropbox ble saksøkt i 2011 for villedende brukere på sikkerhet, og endret deres sikkerhetserklæring som et resultat. Men sannheten er at de (og mange andre tilbydere) fortsetter å de-duplisere alle filer på tvers av brukerkontoer for å øke lagringsplassutnyttelsen og optimalisere sine fortjenestemarginer - rent og enkelt.

Med bedrifter som Box mister nesten 170 millioner dollar (rundt 110 millioner dollar, 220 millioner dollar) på bare 12 måneder, er det ingen overraskelse at SaaS-leverandører føler seg presset for å tjene penger på bekostning av sikkerheten din. Det kan være greit for forbrukerne - hvem bryr seg om deres bilde av Eiffeltårnet er de-duplisert mot de nesten like forskjellige variasjonene som millioner av andre mennesker lastet opp - men for bedrifter er dette uakseptabelt når det gjelder sikkerhets- og personvernstandarder, og kan også øke alvorlige samsvar problemer.

Din bot: Bekreft at leverandøren gir deg kontroll over krypteringsnøklene.

Dovendyr

Comfort trumps sikkerhet: Denne er på oss, folkens - brukerne. Nesten alle FSS-leverandører har muligheter for tofaktorautentisering og sterke passord som ville ha forhindret brudd som iCloud Celebrity Photo leak, men vanligvis de ikke håndheve dem. Derfor bruker brukerne minst motstandsveien og lar seg være sårbare for brudd.