Bezpečnost v oblacích: Dokončení – vnitřní hrozby

David Janoušek , 29. září 2014 08:36 0 komentářů
Bezpečnost v oblacích: Dokončení – vnitřní hrozby

Přestože v principu věříme našemu poskytovateli cloudové infrastruktury a jeho technologie je odolná proti všem výše zmíněným rizikům není ještě zaručeno, že jsou naše data v absolutním bezpečí. Vnitřní hrozby představují specifické riziko ve formě využívání dat ze strany vlastního poskytovatele služby.

Vnitřní hrozby

Nemusí se jednat o jejich zcizení nebo zneužití, ale o možnost strojového anonymního vytěžování za účelem poskytování různých statistik a analýz komerčního rázu bez výslovného souhlasu zákazníka, případně s jeho souhlasem, ovšem bez jasně definovaných pravidel. Další zcela specifické riziko pak představuje předávání informací utajeným vládním institucím bez potřebného souhlasu soudních orgánů. Vnitřní hrozbu může rovněž představovat nespokojený zaměstnanec poskytovatele, který se chce svému zaměstnavateli mstít a zneužitím dat tak poškodit jeho dobré jméno.

Jak se bránit:

Obrana proti vnitřním hrozbám, stejně jako v bodě č. 1 je rovněž založena na šifrování dat. Další možností je geografická volba poskytovatele cloudového řešení, zjištění jeho referencí, důraz na bezpečnost , smluvní podmínky a pod.

Cloud vs In-House

Bylo by naivní se domnívat, že úspěšná společnost, která se výhradně spoléhá na vlastní IT infrastrukturu nebude v hledáčku skupin, snažících se získat informace, případně narušit její chod.

Jak se tedy rozhodnout?

Cloud a jeho bezpečnost je téma, které pravidelně vyvolává vášně a rozděluje svět IT na dva tábory. Cílem tohoto článku je objektivně poukázat na nejčastější bezpečnostní rizika, kterým mohou budoucí uživatelé čelit, ale nikoliv je strašit nebo odrazovat. Stejně jako každý problém má své řešení ani bezpečnost cloud computingu není výjimkou. V porovnání se západním světem je adopce cloudových služeb ze strany menších a středních českých firem spíše váhavá. Tomuto stavu napomáhá řada zástupných problémů, které s bezpečností mají často málo co společného a spíše slouží jako záminka pro setrvání v zaběhnutých kolejích. Rozhodně zde nebudu tvrdit, že cloud je vhodný pro každého, nebo že 100% IT infrastruktury musí běžet v cloudu. Je zřejmé, že hodnota všech dat není stejná a riziko jejich případného zneužití rovněž ne. Jen pro malou ilustraci - asi bych váhal uložit do cloudu výrobní výkresy a technologické know-how nového přístroje nebo zdrojové kódy softwarové aplikace, naopak např. provoz mail serveru bych téměř určitě vyčlenil mimo vlastní síť.

V čem leží hlavní problém?

Proč banka umožní ovládání Vašeho účtu prostřednictvím internetového bankovnictví a nebojí se ztráty peněz, za které Vám ručí, zatímco malá nebo středně velká česká firma s tím má problém? A proč i zapřisáhlí odpůrci cloudu internet banking nakonec rádi využijí? Přitom se jedná o čistokrevné cloudové řešení! Odpověď zní - protože je to pohodlné a ušetří to čas i peníze.

Z pohledu té české firmy pak situace vypadá následovně:

Nepostradatelnost a strach o práci

IT administrátor rád dokazuje svou nepostradatelnost a technickou úroveň, když prezentuje, jak jsou jím spravované systémy zabezpečené proti všem rizikům. Zde je namístě zdůraznit, že přechodem firmy do cloudu nezaniká potřeba mít své IT specialisty a administrátory. Stoprocentně se spolehnout na nativní bezpečnost cloudu by zcela popřelo všechna rizika, která jsou zmíněna v předchozích odstavcích. Stále se někdo musí starat o doplňkovou bezpečnost, zálohování, správu uživatelů, aplikací a spoustu dalších s tím souvisejících činností. Tito lidé si také paradoxně neuvědomují, že pokud chtějí komplexně zajistit bezpečnost vlastní IT infrastruktury, jsou v boji proti všem hrozbám sami.

Neznalost

Neznalost a nedostatek informací vede k chybným závěrům a chybné závěry vyvolávají strach. Častým argumentem je rovněž výpadek internetu, kdy bude celá firma paralyzována. Je to podobné jako v případě výpadku elektrické energie. Když nebude k dispozici záložní elektrický generátor, chod IT celé firmy se zastaví. Pokud je tedy naše podnikání natolik závislé na stabilní internetové konektivitě, pak je více než prozřetelné vybavit objekt záložním internetovým připojením.

Interní směrnice a pokyny

Je neuvěřitelné, jaký problém může představovat změna směrnic, které si firma sama napsala. Častým důvodem bývá vnitrofiremní lobby, které vůbec nebere na zřetel to, co je pro firmu skutečně výhodnější a ekonomičtější. Taková směrnice se pak odvolává na všeobecně zažitý fakt, že za účelem zajištění bezpečnosti musí být všechna data na lokálním hardware. Přitom např. vůbec nebere v úvahu skutečnost, že stávající HW infrastruktura je natolik zastaralá, že tolikrát zdůrazňovaná bezpečnost je přinejmenším sporná.

Ztráta vlivu

Velmi často se také za argumentem bezpečnosti skrývá obava managementu nebo některých zaměstnanců, že přestanou kontrolovat část procesu, který je činní nepostradatelnými. Zprůhlednění nebo zjednodušení není vždy vítáno a ani argument úspory nákladů se nemusí setkat s pochopením. Někdy je ovšem problém mnohem prostší - ne všichni mají rádi změnu :-)

Závěr

Ať se již přikláníme na kteroukoliv stranu, cloud computing představuje zajímavý obchodní model, který umožní transparentní provoz IT infrastruktury ve smyslu, že budeme platit pouze za to, co skutečně spotřebujeme. Dále pak nabízí rychlý rozjezd celého prostředí a možnost držet krok s technologickými trendy, bez nutnosti výměny postupně zastarávajícího hardware a software. Řešení bezpečnosti IS obecně je o maximální eliminaci rizik a o snížení pravděpodobnosti útoku než o absolutních jistotách. Cloud computing ani In-House v tomto případě nemůže nabídnout ultimativní řešení všech bezpečnostech problémů.

David Janoušek

Autor článku dlouhodobě pracoval ve významných amerických IT společnostech zaměřených na vývoj aplikačních řešení pro velké firmy a státní správu. V současné době působí jako nezávislý IT konzultant a specializuje se na problematiku implementace cloudových řešení a jejich bezpečnost. Zabývá se rovněž vývojem webových aplikací na platformě Salesforce.com a Force.com.


Komentáře

RSS 

Komentujeme

Další na řadě je bezpečnost

Richard Jan Voigts , 09. říjen 2017 00:00
Richard Jan Voigts

Co všechno lze automatizovat pomocí strojového učení? Larry Ellison, technologický ředitel společnos...

Více







Kalendář

24. 10. VeeamON Forum 2017
25. 10.

26. 10.
Profesia days 2017
26. 10. Acronis Roadshow 2017
RSS 

Zprávičky

Firma vypsala odměnu za odhalení digitálního podpisu slovenského ministra

ČTK , 21. říjen 2017 08:00

Problém se týká čipů německého výrobce Infineon Technologies, které Slovensko používá v občanských p...

Více 0 komentářů

Electro World v účetním roce zmírnil ztrátu na 92 milionů Kč

ČTK , 20. říjen 2017 12:00

Firma se soustředila na zlepšení prodejní a distribuční sítě a rozšíření sortimentu....

Více 0 komentářů

Dohoda o ochraně dat mezi EU a USA prošla první kontrolou

ČTK , 20. říjen 2017 08:00

Cílem dohody je chránit osobní údaje osob v EU předávané společnostem v USA. ...

Více 0 komentářů

Starší zprávičky

Operátoři: Metro by mohlo být signálem pokryté do konce roku 2018

ČTK , 20. říjen 2017 08:00

Operátoři mají enormní zájem na pokrytí pražského metra, a to na vlastní náklady....

Více 0 komentářů

Firmu Moravia IT koupil britský konkurent RWS Holding

ČTK , 19. říjen 2017 21:26

Mezi zákazníky firmy specializující se na lokalizaci a testování softwaru patří např. Microsoft, IBM...

Více 0 komentářů

Státní ústav pro kontrolu léčiv hájí elektronické recepty

ČTK , 19. říjen 2017 10:00

V ČR se vydá 60-70 milionů papírových receptů ročně. Podle ministerstva je elektronizace zdravotnict...

Více 0 komentářů

Ransomware Locky v září masivně útočil ve světě i v ČR

Pavel Houser , 19. říjen 2017 09:30

Locky se neobjevil v Top 10 škodlivých kódů od listopadu 2016....

Více 0 komentářů