Bezpečnost v oblacích: Dokončení – vnitřní hrozby

David Janoušek , 29. září 2014 08:36 0 komentářů
Bezpečnost v oblacích: Dokončení – vnitřní hrozby

Přestože v principu věříme našemu poskytovateli cloudové infrastruktury a jeho technologie je odolná proti všem výše zmíněným rizikům není ještě zaručeno, že jsou naše data v absolutním bezpečí. Vnitřní hrozby představují specifické riziko ve formě využívání dat ze strany vlastního poskytovatele služby.

Vnitřní hrozby

Nemusí se jednat o jejich zcizení nebo zneužití, ale o možnost strojového anonymního vytěžování za účelem poskytování různých statistik a analýz komerčního rázu bez výslovného souhlasu zákazníka, případně s jeho souhlasem, ovšem bez jasně definovaných pravidel. Další zcela specifické riziko pak představuje předávání informací utajeným vládním institucím bez potřebného souhlasu soudních orgánů. Vnitřní hrozbu může rovněž představovat nespokojený zaměstnanec poskytovatele, který se chce svému zaměstnavateli mstít a zneužitím dat tak poškodit jeho dobré jméno.

Jak se bránit:

Obrana proti vnitřním hrozbám, stejně jako v bodě č. 1 je rovněž založena na šifrování dat. Další možností je geografická volba poskytovatele cloudového řešení, zjištění jeho referencí, důraz na bezpečnost , smluvní podmínky a pod.

Cloud vs In-House

Bylo by naivní se domnívat, že úspěšná společnost, která se výhradně spoléhá na vlastní IT infrastrukturu nebude v hledáčku skupin, snažících se získat informace, případně narušit její chod.

Jak se tedy rozhodnout?

Cloud a jeho bezpečnost je téma, které pravidelně vyvolává vášně a rozděluje svět IT na dva tábory. Cílem tohoto článku je objektivně poukázat na nejčastější bezpečnostní rizika, kterým mohou budoucí uživatelé čelit, ale nikoliv je strašit nebo odrazovat. Stejně jako každý problém má své řešení ani bezpečnost cloud computingu není výjimkou. V porovnání se západním světem je adopce cloudových služeb ze strany menších a středních českých firem spíše váhavá. Tomuto stavu napomáhá řada zástupných problémů, které s bezpečností mají často málo co společného a spíše slouží jako záminka pro setrvání v zaběhnutých kolejích. Rozhodně zde nebudu tvrdit, že cloud je vhodný pro každého, nebo že 100% IT infrastruktury musí běžet v cloudu. Je zřejmé, že hodnota všech dat není stejná a riziko jejich případného zneužití rovněž ne. Jen pro malou ilustraci - asi bych váhal uložit do cloudu výrobní výkresy a technologické know-how nového přístroje nebo zdrojové kódy softwarové aplikace, naopak např. provoz mail serveru bych téměř určitě vyčlenil mimo vlastní síť.

V čem leží hlavní problém?

Proč banka umožní ovládání Vašeho účtu prostřednictvím internetového bankovnictví a nebojí se ztráty peněz, za které Vám ručí, zatímco malá nebo středně velká česká firma s tím má problém? A proč i zapřisáhlí odpůrci cloudu internet banking nakonec rádi využijí? Přitom se jedná o čistokrevné cloudové řešení! Odpověď zní - protože je to pohodlné a ušetří to čas i peníze.

Z pohledu té české firmy pak situace vypadá následovně:

Nepostradatelnost a strach o práci

IT administrátor rád dokazuje svou nepostradatelnost a technickou úroveň, když prezentuje, jak jsou jím spravované systémy zabezpečené proti všem rizikům. Zde je namístě zdůraznit, že přechodem firmy do cloudu nezaniká potřeba mít své IT specialisty a administrátory. Stoprocentně se spolehnout na nativní bezpečnost cloudu by zcela popřelo všechna rizika, která jsou zmíněna v předchozích odstavcích. Stále se někdo musí starat o doplňkovou bezpečnost, zálohování, správu uživatelů, aplikací a spoustu dalších s tím souvisejících činností. Tito lidé si také paradoxně neuvědomují, že pokud chtějí komplexně zajistit bezpečnost vlastní IT infrastruktury, jsou v boji proti všem hrozbám sami.

Neznalost

Neznalost a nedostatek informací vede k chybným závěrům a chybné závěry vyvolávají strach. Častým argumentem je rovněž výpadek internetu, kdy bude celá firma paralyzována. Je to podobné jako v případě výpadku elektrické energie. Když nebude k dispozici záložní elektrický generátor, chod IT celé firmy se zastaví. Pokud je tedy naše podnikání natolik závislé na stabilní internetové konektivitě, pak je více než prozřetelné vybavit objekt záložním internetovým připojením.

Interní směrnice a pokyny

Je neuvěřitelné, jaký problém může představovat změna směrnic, které si firma sama napsala. Častým důvodem bývá vnitrofiremní lobby, které vůbec nebere na zřetel to, co je pro firmu skutečně výhodnější a ekonomičtější. Taková směrnice se pak odvolává na všeobecně zažitý fakt, že za účelem zajištění bezpečnosti musí být všechna data na lokálním hardware. Přitom např. vůbec nebere v úvahu skutečnost, že stávající HW infrastruktura je natolik zastaralá, že tolikrát zdůrazňovaná bezpečnost je přinejmenším sporná.

Ztráta vlivu

Velmi často se také za argumentem bezpečnosti skrývá obava managementu nebo některých zaměstnanců, že přestanou kontrolovat část procesu, který je činní nepostradatelnými. Zprůhlednění nebo zjednodušení není vždy vítáno a ani argument úspory nákladů se nemusí setkat s pochopením. Někdy je ovšem problém mnohem prostší - ne všichni mají rádi změnu :-)

Závěr

Ať se již přikláníme na kteroukoliv stranu, cloud computing představuje zajímavý obchodní model, který umožní transparentní provoz IT infrastruktury ve smyslu, že budeme platit pouze za to, co skutečně spotřebujeme. Dále pak nabízí rychlý rozjezd celého prostředí a možnost držet krok s technologickými trendy, bez nutnosti výměny postupně zastarávajícího hardware a software. Řešení bezpečnosti IS obecně je o maximální eliminaci rizik a o snížení pravděpodobnosti útoku než o absolutních jistotách. Cloud computing ani In-House v tomto případě nemůže nabídnout ultimativní řešení všech bezpečnostech problémů.

David Janoušek

Autor článku dlouhodobě pracoval ve významných amerických IT společnostech zaměřených na vývoj aplikačních řešení pro velké firmy a státní správu. V současné době působí jako nezávislý IT konzultant a specializuje se na problematiku implementace cloudových řešení a jejich bezpečnost. Zabývá se rovněž vývojem webových aplikací na platformě Salesforce.com a Force.com.


Komentáře


RSS 

Komentujeme

Zákaznické karty čekají změny

Pavel Houser , 17. leden 2017 13:00
Pavel Houser

Jedna z technologií, která se už po léta prakticky nezměnila, i když by mohla? Prý karty zákazníků d...

Více





Kalendář

06. 02.

07. 02.
konference G2B TechEd
15. 02. IDC Predictions 2017
18. 02. WordCamp Praha 2017
RSS 

Zprávičky

Výrobce obrazovek LG Display vykázal ve čtvrtletí rekordní zisk

ČTK , 24. leden 2017 13:00

Jihokorejskému výrobci obrazovek LG Display vzrostl ve čtvrtém čtvrtletí provozní zisk na rekordních...

Více 0 komentářů

Čtvrtletní zisk Samsungu se díky čipům více než zdvojnásobil

ČTK , 24. leden 2017 11:00

Zisk jihokorejského výrobce elektroniky Samsung Electronics se ve čtvrtém čtvrtletí více než zdvojná...

Více 0 komentářů

Rockaway získala minoritní podíl v Techloop.io

ČTK , 23. leden 2017 16:30

Investiční firma Rockaway Ventures získala minoritní podíl ve firmě Techloop.io, která zprostředkov...

Více 0 komentářů

Starší zprávičky

Za vznícení mobilů Samsungu mohly baterie, firma odloží Galaxy S8

ČTK , 23. leden 2017 12:00

Za případy vznícení chytrých telefonů Galaxy Note 7 jihokorejské společnosti Samsung Electronics stá...

Více 0 komentářů

Foxconn zvažuje velkou investici do továrny v USA

ČTK , 23. leden 2017 08:29

Tchajwanská společnost Foxconn zvažuje, že investuje přes sedm miliard dolarů (zhruba 177 miliard Kč...

Více 0 komentářů

ČTÚ pohrozil O2 a Vodafonu odebráním licencí na LTE kvůli cenám

ČTK , 22. leden 2017 14:00

Český telekomunikační úřad (ČTÚ) znovu vyzval operátory O2 a Vodafone, aby do měsíce snížili velkoob...

Více 1 komentářů

Menší e-shopy kvůli EET zruší platbu kartou

ČTK , 22. leden 2017 07:00

Řada menších tuzemských e-shopů od března, kdy pro ně začne platit elektronická evidence tržeb (EET...

Více 2 komentářů