Bezpečnost v oblacích: Dokončení – vnitřní hrozby

David Janoušek , 29. září 2014 08:36 0 komentářů
Bezpečnost v oblacích: Dokončení – vnitřní hrozby

Přestože v principu věříme našemu poskytovateli cloudové infrastruktury a jeho technologie je odolná proti všem výše zmíněným rizikům není ještě zaručeno, že jsou naše data v absolutním bezpečí. Vnitřní hrozby představují specifické riziko ve formě využívání dat ze strany vlastního poskytovatele služby.

Vnitřní hrozby

Nemusí se jednat o jejich zcizení nebo zneužití, ale o možnost strojového anonymního vytěžování za účelem poskytování různých statistik a analýz komerčního rázu bez výslovného souhlasu zákazníka, případně s jeho souhlasem, ovšem bez jasně definovaných pravidel. Další zcela specifické riziko pak představuje předávání informací utajeným vládním institucím bez potřebného souhlasu soudních orgánů. Vnitřní hrozbu může rovněž představovat nespokojený zaměstnanec poskytovatele, který se chce svému zaměstnavateli mstít a zneužitím dat tak poškodit jeho dobré jméno.

Jak se bránit:

Obrana proti vnitřním hrozbám, stejně jako v bodě č. 1 je rovněž založena na šifrování dat. Další možností je geografická volba poskytovatele cloudového řešení, zjištění jeho referencí, důraz na bezpečnost , smluvní podmínky a pod.

Cloud vs In-House

Bylo by naivní se domnívat, že úspěšná společnost, která se výhradně spoléhá na vlastní IT infrastrukturu nebude v hledáčku skupin, snažících se získat informace, případně narušit její chod.

Jak se tedy rozhodnout?

Cloud a jeho bezpečnost je téma, které pravidelně vyvolává vášně a rozděluje svět IT na dva tábory. Cílem tohoto článku je objektivně poukázat na nejčastější bezpečnostní rizika, kterým mohou budoucí uživatelé čelit, ale nikoliv je strašit nebo odrazovat. Stejně jako každý problém má své řešení ani bezpečnost cloud computingu není výjimkou. V porovnání se západním světem je adopce cloudových služeb ze strany menších a středních českých firem spíše váhavá. Tomuto stavu napomáhá řada zástupných problémů, které s bezpečností mají často málo co společného a spíše slouží jako záminka pro setrvání v zaběhnutých kolejích. Rozhodně zde nebudu tvrdit, že cloud je vhodný pro každého, nebo že 100% IT infrastruktury musí běžet v cloudu. Je zřejmé, že hodnota všech dat není stejná a riziko jejich případného zneužití rovněž ne. Jen pro malou ilustraci - asi bych váhal uložit do cloudu výrobní výkresy a technologické know-how nového přístroje nebo zdrojové kódy softwarové aplikace, naopak např. provoz mail serveru bych téměř určitě vyčlenil mimo vlastní síť.

V čem leží hlavní problém?

Proč banka umožní ovládání Vašeho účtu prostřednictvím internetového bankovnictví a nebojí se ztráty peněz, za které Vám ručí, zatímco malá nebo středně velká česká firma s tím má problém? A proč i zapřisáhlí odpůrci cloudu internet banking nakonec rádi využijí? Přitom se jedná o čistokrevné cloudové řešení! Odpověď zní - protože je to pohodlné a ušetří to čas i peníze.

Z pohledu té české firmy pak situace vypadá následovně:

Nepostradatelnost a strach o práci

IT administrátor rád dokazuje svou nepostradatelnost a technickou úroveň, když prezentuje, jak jsou jím spravované systémy zabezpečené proti všem rizikům. Zde je namístě zdůraznit, že přechodem firmy do cloudu nezaniká potřeba mít své IT specialisty a administrátory. Stoprocentně se spolehnout na nativní bezpečnost cloudu by zcela popřelo všechna rizika, která jsou zmíněna v předchozích odstavcích. Stále se někdo musí starat o doplňkovou bezpečnost, zálohování, správu uživatelů, aplikací a spoustu dalších s tím souvisejících činností. Tito lidé si také paradoxně neuvědomují, že pokud chtějí komplexně zajistit bezpečnost vlastní IT infrastruktury, jsou v boji proti všem hrozbám sami.

Neznalost

Neznalost a nedostatek informací vede k chybným závěrům a chybné závěry vyvolávají strach. Častým argumentem je rovněž výpadek internetu, kdy bude celá firma paralyzována. Je to podobné jako v případě výpadku elektrické energie. Když nebude k dispozici záložní elektrický generátor, chod IT celé firmy se zastaví. Pokud je tedy naše podnikání natolik závislé na stabilní internetové konektivitě, pak je více než prozřetelné vybavit objekt záložním internetovým připojením.

Interní směrnice a pokyny

Je neuvěřitelné, jaký problém může představovat změna směrnic, které si firma sama napsala. Častým důvodem bývá vnitrofiremní lobby, které vůbec nebere na zřetel to, co je pro firmu skutečně výhodnější a ekonomičtější. Taková směrnice se pak odvolává na všeobecně zažitý fakt, že za účelem zajištění bezpečnosti musí být všechna data na lokálním hardware. Přitom např. vůbec nebere v úvahu skutečnost, že stávající HW infrastruktura je natolik zastaralá, že tolikrát zdůrazňovaná bezpečnost je přinejmenším sporná.

Ztráta vlivu

Velmi často se také za argumentem bezpečnosti skrývá obava managementu nebo některých zaměstnanců, že přestanou kontrolovat část procesu, který je činní nepostradatelnými. Zprůhlednění nebo zjednodušení není vždy vítáno a ani argument úspory nákladů se nemusí setkat s pochopením. Někdy je ovšem problém mnohem prostší - ne všichni mají rádi změnu :-)

Závěr

Ať se již přikláníme na kteroukoliv stranu, cloud computing představuje zajímavý obchodní model, který umožní transparentní provoz IT infrastruktury ve smyslu, že budeme platit pouze za to, co skutečně spotřebujeme. Dále pak nabízí rychlý rozjezd celého prostředí a možnost držet krok s technologickými trendy, bez nutnosti výměny postupně zastarávajícího hardware a software. Řešení bezpečnosti IS obecně je o maximální eliminaci rizik a o snížení pravděpodobnosti útoku než o absolutních jistotách. Cloud computing ani In-House v tomto případě nemůže nabídnout ultimativní řešení všech bezpečnostech problémů.

David Janoušek

Autor článku dlouhodobě pracoval ve významných amerických IT společnostech zaměřených na vývoj aplikačních řešení pro velké firmy a státní správu. V současné době působí jako nezávislý IT konzultant a specializuje se na problematiku implementace cloudových řešení a jejich bezpečnost. Zabývá se rovněž vývojem webových aplikací na platformě Salesforce.com a Force.com.


Komentáře


RSS 

Komentujeme

Chatbot mluví za mrtvého – od nápadu k realizaci

Pavel Houser , 30. listopad 2016 13:00
Pavel Houser

Na webu The Verge popsala Casey Newton příběh dvou přátel (Eugenia Kuyda a Roman Mazurenko). Peripet...

Více





Kalendář


RSS 

Zprávičky

Nahradí otisky prstů přístupová hesla?

ČTK , 05. prosinec 2016 14:30

Zní to jako skvělý nápad: zapomeňte na hesla a zamykejte telefon místo nich otiskem svého prstu. Je ...

Více 0 komentářů

Počítač a internet má na jižní Moravě více než 75 pct domácností

ČTK , 05. prosinec 2016 10:30

Počet jihomoravských domácností, které mají počítač a přístup k internetu, se loni přehoupl na jižní...

Více 0 komentářů

Vodafone zvýšil do září počet zákazníků na 3,54 milionu

ČTK , 04. prosinec 2016 18:00

Mobilní operátor Vodafone zvýšil do konce září počet zákazníků na českém trhu meziročně o 146.000 na...

Více 0 komentářů

Starší zprávičky

Nový škodlivý program ukradl údaje k milionu účtů Google

ČTK , 02. prosinec 2016 14:00

Nový škodlivý program Goolian narušil bezpečnost více než jednoho milionu účtů Google. Šíří se na za...

Více 1 komentářů

Telefony Nokia se příští rok vrátí na trh

ČTK , 02. prosinec 2016 10:30

Chytré telefony se značkou Nokia se objeví zpátky na trhu v příštím roce. Finská společnost Nokia dn...

Více 2 komentářů

CETIN nabídne příští rok operátorům připojení až 250 Mbit/s

ČTK , 01. prosinec 2016 17:00

Společnost Česká telekomunikační infrastruktura (CETIN) zvýší od května příštího roku rychlost inter...

Více 0 komentářů

Akcie Samsungu stouply na nový rekord

ČTK , 01. prosinec 2016 12:00

Akcie jihokorejské společnosti Samsung Electronics dnes stouply o více než čtyři procenta na nový re...

Více 0 komentářů