Bezpečnost v oblacích: Dokončení – vnitřní hrozby

David Janoušek , 29. září 2014 08:36 0 komentářů
Bezpečnost v oblacích: Dokončení – vnitřní hrozby

Přestože v principu věříme našemu poskytovateli cloudové infrastruktury a jeho technologie je odolná proti všem výše zmíněným rizikům není ještě zaručeno, že jsou naše data v absolutním bezpečí. Vnitřní hrozby představují specifické riziko ve formě využívání dat ze strany vlastního poskytovatele služby.

Vnitřní hrozby

Nemusí se jednat o jejich zcizení nebo zneužití, ale o možnost strojového anonymního vytěžování za účelem poskytování různých statistik a analýz komerčního rázu bez výslovného souhlasu zákazníka, případně s jeho souhlasem, ovšem bez jasně definovaných pravidel. Další zcela specifické riziko pak představuje předávání informací utajeným vládním institucím bez potřebného souhlasu soudních orgánů. Vnitřní hrozbu může rovněž představovat nespokojený zaměstnanec poskytovatele, který se chce svému zaměstnavateli mstít a zneužitím dat tak poškodit jeho dobré jméno.

Jak se bránit:

Obrana proti vnitřním hrozbám, stejně jako v bodě č. 1 je rovněž založena na šifrování dat. Další možností je geografická volba poskytovatele cloudového řešení, zjištění jeho referencí, důraz na bezpečnost , smluvní podmínky a pod.

Cloud vs In-House

Bylo by naivní se domnívat, že úspěšná společnost, která se výhradně spoléhá na vlastní IT infrastrukturu nebude v hledáčku skupin, snažících se získat informace, případně narušit její chod.

Jak se tedy rozhodnout?

Cloud a jeho bezpečnost je téma, které pravidelně vyvolává vášně a rozděluje svět IT na dva tábory. Cílem tohoto článku je objektivně poukázat na nejčastější bezpečnostní rizika, kterým mohou budoucí uživatelé čelit, ale nikoliv je strašit nebo odrazovat. Stejně jako každý problém má své řešení ani bezpečnost cloud computingu není výjimkou. V porovnání se západním světem je adopce cloudových služeb ze strany menších a středních českých firem spíše váhavá. Tomuto stavu napomáhá řada zástupných problémů, které s bezpečností mají často málo co společného a spíše slouží jako záminka pro setrvání v zaběhnutých kolejích. Rozhodně zde nebudu tvrdit, že cloud je vhodný pro každého, nebo že 100% IT infrastruktury musí běžet v cloudu. Je zřejmé, že hodnota všech dat není stejná a riziko jejich případného zneužití rovněž ne. Jen pro malou ilustraci - asi bych váhal uložit do cloudu výrobní výkresy a technologické know-how nového přístroje nebo zdrojové kódy softwarové aplikace, naopak např. provoz mail serveru bych téměř určitě vyčlenil mimo vlastní síť.

V čem leží hlavní problém?

Proč banka umožní ovládání Vašeho účtu prostřednictvím internetového bankovnictví a nebojí se ztráty peněz, za které Vám ručí, zatímco malá nebo středně velká česká firma s tím má problém? A proč i zapřisáhlí odpůrci cloudu internet banking nakonec rádi využijí? Přitom se jedná o čistokrevné cloudové řešení! Odpověď zní - protože je to pohodlné a ušetří to čas i peníze.

Z pohledu té české firmy pak situace vypadá následovně:

Nepostradatelnost a strach o práci

IT administrátor rád dokazuje svou nepostradatelnost a technickou úroveň, když prezentuje, jak jsou jím spravované systémy zabezpečené proti všem rizikům. Zde je namístě zdůraznit, že přechodem firmy do cloudu nezaniká potřeba mít své IT specialisty a administrátory. Stoprocentně se spolehnout na nativní bezpečnost cloudu by zcela popřelo všechna rizika, která jsou zmíněna v předchozích odstavcích. Stále se někdo musí starat o doplňkovou bezpečnost, zálohování, správu uživatelů, aplikací a spoustu dalších s tím souvisejících činností. Tito lidé si také paradoxně neuvědomují, že pokud chtějí komplexně zajistit bezpečnost vlastní IT infrastruktury, jsou v boji proti všem hrozbám sami.

Neznalost

Neznalost a nedostatek informací vede k chybným závěrům a chybné závěry vyvolávají strach. Častým argumentem je rovněž výpadek internetu, kdy bude celá firma paralyzována. Je to podobné jako v případě výpadku elektrické energie. Když nebude k dispozici záložní elektrický generátor, chod IT celé firmy se zastaví. Pokud je tedy naše podnikání natolik závislé na stabilní internetové konektivitě, pak je více než prozřetelné vybavit objekt záložním internetovým připojením.

Interní směrnice a pokyny

Je neuvěřitelné, jaký problém může představovat změna směrnic, které si firma sama napsala. Častým důvodem bývá vnitrofiremní lobby, které vůbec nebere na zřetel to, co je pro firmu skutečně výhodnější a ekonomičtější. Taková směrnice se pak odvolává na všeobecně zažitý fakt, že za účelem zajištění bezpečnosti musí být všechna data na lokálním hardware. Přitom např. vůbec nebere v úvahu skutečnost, že stávající HW infrastruktura je natolik zastaralá, že tolikrát zdůrazňovaná bezpečnost je přinejmenším sporná.

Ztráta vlivu

Velmi často se také za argumentem bezpečnosti skrývá obava managementu nebo některých zaměstnanců, že přestanou kontrolovat část procesu, který je činní nepostradatelnými. Zprůhlednění nebo zjednodušení není vždy vítáno a ani argument úspory nákladů se nemusí setkat s pochopením. Někdy je ovšem problém mnohem prostší - ne všichni mají rádi změnu :-)

Závěr

Ať se již přikláníme na kteroukoliv stranu, cloud computing představuje zajímavý obchodní model, který umožní transparentní provoz IT infrastruktury ve smyslu, že budeme platit pouze za to, co skutečně spotřebujeme. Dále pak nabízí rychlý rozjezd celého prostředí a možnost držet krok s technologickými trendy, bez nutnosti výměny postupně zastarávajícího hardware a software. Řešení bezpečnosti IS obecně je o maximální eliminaci rizik a o snížení pravděpodobnosti útoku než o absolutních jistotách. Cloud computing ani In-House v tomto případě nemůže nabídnout ultimativní řešení všech bezpečnostech problémů.

David Janoušek

Autor článku dlouhodobě pracoval ve významných amerických IT společnostech zaměřených na vývoj aplikačních řešení pro velké firmy a státní správu. V současné době působí jako nezávislý IT konzultant a specializuje se na problematiku implementace cloudových řešení a jejich bezpečnost. Zabývá se rovněž vývojem webových aplikací na platformě Salesforce.com a Force.com.


Komentáře

RSS 

Komentujeme

Bezpečnost IT a tygří logika

Pavel Houser , 14. únor 2017 11:00
Pavel Houser

Jak praví známý vtip, běží-li za vámi tygr, netřeba se pohybovat rychleji než šelma – stačí předběhn...

Více






Kalendář

22. 02. IT mezi paragrafy
20. 03.

24. 03.
CeBIT 2017
25. 03. INSPO 2017
RSS 

Zprávičky

Majitel Snapchatu jde na burzu s nižší hodnotou, než se čekalo

ČTK , 18. únor 2017 09:00

Americká společnost Snap, která provozuje populární mobilní aplikaci Snapchat pro sdílení fotografií...

Více 0 komentářů

Rozšířená realita pro marketing a výdaje na bezpečnost IT kvůli požadavkům EU

Pavel Houser , 18. únor 2017 08:35

Co vlastně obnáší pojem "digitální transformace podniků"? A co z toho vyplývá dle prognóz IDC?...

Více 0 komentářů

Do roku 2020 vznikne v ČR 1200 stanic pro elektromobily

ČTK , 17. únor 2017 09:00

Do roku 2020 by mělo v Česku vzniknout celkem 1200 napájecích stanic pro elektromobily. Po setkání s...

Více 1 komentářů

Starší zprávičky

ČTÚ: Zákaz individuálních cen volání zakonzervuje odvětví

ČTK , 17. únor 2017 07:00

Zákaz individuálních cen volání pro spotřebitele, který obsahuje návrh novely telekomunikačního záko...

Více 0 komentářů

Ústečan platil falešnými eury, objednal si je na internetu

ČTK , 16. únor 2017 16:30

Případ padělaných bankovek nakoupených přes internet objasnili kriminalisté v Ústeckém kraji. Falešn...

Více 3 komentářů

Buffetova investiční firma prudce zvýšila svůj podíl v Applu

ČTK , 16. únor 2017 14:00

Investiční společnost Berkshire Hathaway amerického miliardáře Warrena Buffetta v posledním čtvrtlet...

Více 0 komentářů

Čistý zisk výrobce počítačů Lenovo klesl o 67 procent

ČTK , 16. únor 2017 11:00

Čistý zisk největšího světového výrobce osobních počítačů Lenovo Group ve třetím fiskální čtvrtletí ...

Více 1 komentářů