《雲端運算與網路安全》愛國者法案研究顯示，你的資料在任何國家都不安全

全球資料隱私法律事務所Hogan Lovells發表一份白皮書，概述關於政府存取雲端資料的研究結果。這份報告是由Hogan Lovells的隱私和資訊管理實務主任 – Christopher Wolf和巴黎辦事處的合夥人 – Wiston Maxwell所撰寫。Hogan Lovells的新聞稿在這裡，而完整的白皮書在這裡。

全世界的IT媒體都提到了這份研究報告，包括Computerworld、PC World、IT World和IDG新聞。不幸的是，一般都是說「美國的愛國者法案沒有賦予美國特殊權利在資料上」，淡化了美國和其他十個國家法律間的差異。

的確，在大多數國家，如果政府想要貴公司的資料，那他們都有方法可以取得。也的確，如果西方政府想要放在其他西方國家雲端伺服器內的資料，他們也都有方法來取得。

我在一個資安研討會上親自跟某位聯邦調查局副主任確認了後者。我問說：「如果妳需要一家德國公司放在德國雲端服務供應商的資料以供美國調查，那妳會怎麼做呢？妳有權取得嗎？」她笑著說出類似以下的回答：「我們只要聯絡我們在德國情報單位的同伴們並要求該資料。他們會提供給我們，因為我們也會在他們下次調查時做出一樣的幫助。」當然也有共同法律互助協定（MLAT）來提供法律上的框架以解決這類問題。

這項研究也指出，只有德國和美國有禁制令規定來防止雲端服務供應商提出所交出的資料是客戶付錢要求保護的事實。這是「愛國者法案」傷害到美國雲端服務供應商的部分。

任何IT安全專業人士都會想知道公司的資料是否被存取了，無論是因為政府合法調查而存取或是受到網路犯罪攻擊。重點是這是你的資料，任何人想要看到都需要對你出示合法命令以取得資料。

政府在你背後去要求你的雲端服務供應商來做這種事是很卑鄙的，也對全世界所有的雲端服務供應商很不好。它從根本上打破雲端服務供應商和客戶間的業務信任關係。

但以更高的角度來看，這研究證明了一個更大的問題 – 你的資料會被提供出去，不管你同不同意或知不知情，只要你是在這十個國家範圍之內。一個IT專業人士會怎麼做？

答案只有一個，而且顯而易見：加密。如果你放在雲端上的資料是「上鎖」的，只有有鑰匙的人才可以看，那你就受到保護了。政府或任何人想要看到你的資料都必需問你要鑰匙（循合法途徑），這也給了你機會去反對這要求，如果真是合法要求的話。

而這裡最重要的小細節是你如何處理加密金鑰。如果你的資料和你的金鑰放在一起，都在同一個雲端服務供應商那，雲端服務供應商可能會被迫交出你的金鑰和你的資料，那你還是沒有得到真正的保障。

但是如果你的資料都加過密，安全地存放在雲端服務供應商那裡，你的加密金鑰位在基於策略的金鑰管理伺服器，放在另一個雲端服務供應商，或由你自己控制，那你的金鑰只能提供給被授權的對象，而你可以控制授權的對象是誰。

換句話說，基於策略的金鑰管理可以從那些來自你的政府、其他國家政府甚至犯罪份子來的非法資料要求下保護你。

如果你還沒開始在雲端使用基於策略的金鑰管理，那是時候問問自己為什麼不這麼做了。

＠原文出處：Patriot Act Study Shows Your Data Isn’t Safe in Any Country

@延伸閱讀

Apple Store提供「優惠禮物卡」作為「長期客戶獎勵」?網路釣客提供的!