Tradicionalna tehnologija koja se koristi kako bi se osigurali podaci je enkripcija – upotreba kompleksnih algoritama za kodiranje informacija koja se ustalila kao industrijski standard koji počiva na činjenici da iako je moguće dekriptirati kriptirane informacije, većina napadača nema pristup znanju, algoritmima ili procesorskoj snazi koja je potrebna za dekriptiranje kodiranih informacija.
Tehnika kriptiranja podataka u raznim oblicima i tehnološkim rješenjima primjenjuje se na podatke sadržane na mrežama, na podatke koji se nalaze u tranzitu unutar komunikacijskih kanala od izvora do primatelja, te na osobnim računalima i “pametnim” telefonima.
Međutim, ukoliko se gleda razvojnost informacijskih sustava, možemo lako posumnjati da li je enkripcija pravi odgovor na pitanje kako osigurati sigurnost podataka. Razlozi su sljedeći:
1. Upravljanje ključevima
Za dekodiranje enkriptiranih datoteka korisnik treba enkripcijski ključ. Upravljanje velikim brojem takvih ključeva može biti problematično – iako postoje rješenja za korporativno upravljanje ključevima (EKM – Enterprise Key Management) koja obećavaju mogućnost upravljanja i promjene ključeva tijekom njihovog životnog ciklusa – ona su više “flaster na otvorenoj rani” cjelokupnog sustava. Pošto je lanac jak koliko je jaka najjača karika, korporativno upravljanje ključevima sigurno je toliko koliko su sigurni integrirani sustavi upravljanja ključevima. Ako je ključ kompromitiran u hijerarhijski nižem sustavu od sigurnog managera ključeva ili neki sistem nije dizajniran da bi adekvatno adresirao određenu prijetnju, čitav sustav upravljanja ključevima postaje nesiguran.
2. Zakonska regulativa
U mnogim državama postoje zakoni koji zahtijevaju od raznih organizacija, poduzeća i državnih tijela da obavijeste pojedince o tome kako postoji sumnja ili saznanje da su njihove osobne informacije kompromitirane od neautoriziranih osoba. U praksi to često rezultira medijskim aferama koje su noćna mora za sve pogođene organizacije. Dobro razumijevanje tehnika enkripcije zasigurno može pomoći u tome da odgovorne osobe budu sigurne kako su podaci zaštićeni, no to ne pomaže javnom mnijenju. Jednom kada su osobni podaci postali ranjivi ili lako dostupni, izgubljeno je povjerenje onih na koje se oni odnose i javnosti općenito. Stoga enkripcija nije dovoljna mjera za adresiranje poslovnih zahtjeva za sigurnost podataka.
3. Računalna moć
Temeljna postavka klasične tehnologije enkripcije, kao što je rečeno, je nesrazmjer između procesorske moći potrebne za enkripciju i dekripciju podataka te odvraćanje onoga tko pokušava kompromitirati podatke kompleksnošću postupka. Međutim, porast procesorske snage je tako eksponencijalan da je posve izvjesno kako ono što je danas sigurno, sutra više neće biti. Iz tog razloga već danas su mnoge organizacije prisiljene sistematski vršiti re-enkripciju kako bi ostale sigurne od potencijalnih hakera. Sustavna je pak enkripcija problematična, skupa, povezana s dodatnih problemima po pitanju sigurnosti sadržanih podataka i zahtijeva puno ljudskog rada, odnosno direktnih intervencija.
Jedna od tehnika kojom se ova problematika može donekle riješiti je tehnika rasapa (disperzije) koja dijeli podatke na dijelove (“tranše”) koje su spremljene na različitim logičkim ili geografskim lokacijama. Svaki djelić sadrži premalo informacija da bi bio koristan sam za sebe ili da bi mogao kompromitirati sadržane podatke, no sve podatke moguće je rekreirati iz inicijalno zadanog broja dislociranih tranši. Nadalje, u slučaju ispada nekog od servera ili lokacija na kojima su sadržani podaci, ne dolazi do njihovog gubitka jer se mogu rekreirati iz preostalih lokacija i sadržanih tranši. Neovisno o napretku procesorske snage, maliciozni hakeri ne mogu na jednostavan način doći do podataka a tehnika disperzije ne zahtijeva značajno vrijeme i rad u postupak re-enkripcije kako bi podaci bili dodatno zaštićeni.
Zanimljivo je da norma ISO 27001:2005 u okviru Aneksa A *ne predviđa* kontrole vezane uz tehniku disperzije niti adresira temeljni koncept “cloud computinga”.