Bezpečnost v oblacích: Dokončení – vnitřní hrozby

David Janoušek , 29. září 2014 08:36 0 komentářů
Bezpečnost v oblacích: Dokončení – vnitřní hrozby

Přestože v principu věříme našemu poskytovateli cloudové infrastruktury a jeho technologie je odolná proti všem výše zmíněným rizikům není ještě zaručeno, že jsou naše data v absolutním bezpečí. Vnitřní hrozby představují specifické riziko ve formě využívání dat ze strany vlastního poskytovatele služby.

Vnitřní hrozby

Nemusí se jednat o jejich zcizení nebo zneužití, ale o možnost strojového anonymního vytěžování za účelem poskytování různých statistik a analýz komerčního rázu bez výslovného souhlasu zákazníka, případně s jeho souhlasem, ovšem bez jasně definovaných pravidel. Další zcela specifické riziko pak představuje předávání informací utajeným vládním institucím bez potřebného souhlasu soudních orgánů. Vnitřní hrozbu může rovněž představovat nespokojený zaměstnanec poskytovatele, který se chce svému zaměstnavateli mstít a zneužitím dat tak poškodit jeho dobré jméno.

Jak se bránit:

Obrana proti vnitřním hrozbám, stejně jako v bodě č. 1 je rovněž založena na šifrování dat. Další možností je geografická volba poskytovatele cloudového řešení, zjištění jeho referencí, důraz na bezpečnost , smluvní podmínky a pod.

Cloud vs In-House

Bylo by naivní se domnívat, že úspěšná společnost, která se výhradně spoléhá na vlastní IT infrastrukturu nebude v hledáčku skupin, snažících se získat informace, případně narušit její chod.

Jak se tedy rozhodnout?

Cloud a jeho bezpečnost je téma, které pravidelně vyvolává vášně a rozděluje svět IT na dva tábory. Cílem tohoto článku je objektivně poukázat na nejčastější bezpečnostní rizika, kterým mohou budoucí uživatelé čelit, ale nikoliv je strašit nebo odrazovat. Stejně jako každý problém má své řešení ani bezpečnost cloud computingu není výjimkou. V porovnání se západním světem je adopce cloudových služeb ze strany menších a středních českých firem spíše váhavá. Tomuto stavu napomáhá řada zástupných problémů, které s bezpečností mají často málo co společného a spíše slouží jako záminka pro setrvání v zaběhnutých kolejích. Rozhodně zde nebudu tvrdit, že cloud je vhodný pro každého, nebo že 100% IT infrastruktury musí běžet v cloudu. Je zřejmé, že hodnota všech dat není stejná a riziko jejich případného zneužití rovněž ne. Jen pro malou ilustraci - asi bych váhal uložit do cloudu výrobní výkresy a technologické know-how nového přístroje nebo zdrojové kódy softwarové aplikace, naopak např. provoz mail serveru bych téměř určitě vyčlenil mimo vlastní síť.

V čem leží hlavní problém?

Proč banka umožní ovládání Vašeho účtu prostřednictvím internetového bankovnictví a nebojí se ztráty peněz, za které Vám ručí, zatímco malá nebo středně velká česká firma s tím má problém? A proč i zapřisáhlí odpůrci cloudu internet banking nakonec rádi využijí? Přitom se jedná o čistokrevné cloudové řešení! Odpověď zní - protože je to pohodlné a ušetří to čas i peníze.

Z pohledu té české firmy pak situace vypadá následovně:

Nepostradatelnost a strach o práci

IT administrátor rád dokazuje svou nepostradatelnost a technickou úroveň, když prezentuje, jak jsou jím spravované systémy zabezpečené proti všem rizikům. Zde je namístě zdůraznit, že přechodem firmy do cloudu nezaniká potřeba mít své IT specialisty a administrátory. Stoprocentně se spolehnout na nativní bezpečnost cloudu by zcela popřelo všechna rizika, která jsou zmíněna v předchozích odstavcích. Stále se někdo musí starat o doplňkovou bezpečnost, zálohování, správu uživatelů, aplikací a spoustu dalších s tím souvisejících činností. Tito lidé si také paradoxně neuvědomují, že pokud chtějí komplexně zajistit bezpečnost vlastní IT infrastruktury, jsou v boji proti všem hrozbám sami.

Neznalost

Neznalost a nedostatek informací vede k chybným závěrům a chybné závěry vyvolávají strach. Častým argumentem je rovněž výpadek internetu, kdy bude celá firma paralyzována. Je to podobné jako v případě výpadku elektrické energie. Když nebude k dispozici záložní elektrický generátor, chod IT celé firmy se zastaví. Pokud je tedy naše podnikání natolik závislé na stabilní internetové konektivitě, pak je více než prozřetelné vybavit objekt záložním internetovým připojením.

Interní směrnice a pokyny

Je neuvěřitelné, jaký problém může představovat změna směrnic, které si firma sama napsala. Častým důvodem bývá vnitrofiremní lobby, které vůbec nebere na zřetel to, co je pro firmu skutečně výhodnější a ekonomičtější. Taková směrnice se pak odvolává na všeobecně zažitý fakt, že za účelem zajištění bezpečnosti musí být všechna data na lokálním hardware. Přitom např. vůbec nebere v úvahu skutečnost, že stávající HW infrastruktura je natolik zastaralá, že tolikrát zdůrazňovaná bezpečnost je přinejmenším sporná.

Ztráta vlivu

Velmi často se také za argumentem bezpečnosti skrývá obava managementu nebo některých zaměstnanců, že přestanou kontrolovat část procesu, který je činní nepostradatelnými. Zprůhlednění nebo zjednodušení není vždy vítáno a ani argument úspory nákladů se nemusí setkat s pochopením. Někdy je ovšem problém mnohem prostší - ne všichni mají rádi změnu :-)

Závěr

Ať se již přikláníme na kteroukoliv stranu, cloud computing představuje zajímavý obchodní model, který umožní transparentní provoz IT infrastruktury ve smyslu, že budeme platit pouze za to, co skutečně spotřebujeme. Dále pak nabízí rychlý rozjezd celého prostředí a možnost držet krok s technologickými trendy, bez nutnosti výměny postupně zastarávajícího hardware a software. Řešení bezpečnosti IS obecně je o maximální eliminaci rizik a o snížení pravděpodobnosti útoku než o absolutních jistotách. Cloud computing ani In-House v tomto případě nemůže nabídnout ultimativní řešení všech bezpečnostech problémů.

David Janoušek

Autor článku dlouhodobě pracoval ve významných amerických IT společnostech zaměřených na vývoj aplikačních řešení pro velké firmy a státní správu. V současné době působí jako nezávislý IT konzultant a specializuje se na problematiku implementace cloudových řešení a jejich bezpečnost. Zabývá se rovněž vývojem webových aplikací na platformě Salesforce.com a Force.com.


Komentáře

RSS 

Komentujeme

Agilita a devops, přepracování a vyhoření

Pavel Houser , 12. červenec 2018 12:30
Pavel Houser

Michael Cote na The Register upozorňuje na častý problém: nové „agilní“ metody vývoje, všechny příst...

Více







RSS 

Zprávičky

50 let Intelu

ČTK , 16. červenec 2018 09:06

Intel nejprve produkoval paměti typu RAM, ale na počátku sedmdesátých let se firma rozhodla rozšířit...

Více 0 komentářů

USA zrušily zákaz dodávek amerického zboží čínské ZTE

ČTK , 14. červenec 2018 08:00

Firma již v rámci urovnání sporu s americkou vládou souhlasila, že zaplatí pokutu miliardy dolarů....

Více 0 komentářů

Trh PC ve 2. čtvrtletí rostl, tvrdí Gartner i IDC

ČTK , 13. červenec 2018 16:35

Růst odbytu táhla zejména poptávka firemního segmentu podpořená operačním systémem Windows 10....

Více 0 komentářů

Kalendář

04. 08.

09. 08.
Black Hat USA 2018
09. 08.

12. 08.
DEF CON 26
06. 09.

07. 09.
Humusoft Technical Computing Camp 2018

Starší zprávičky

Polovina kryptoměnových firem zanikne během čtyř měsíců od ICO

ČTK , 13. červenec 2018 10:09

Nejlepší strategií je prý mince v primární nabídce koupit a hned první den obchodů na otevřeném trhu...

Více 0 komentářů

Americká vláda se odvolává proti fúzi AT&T a Time Warner

ČTK , 13. červenec 2018 10:07

Ministerstvo se odvolalo proti červnovému rozhodnutí soudu, který spojení posvětil přes dřívější nám...

Více 0 komentářů

Německý soud: Rodiče mají mít přístup k facebooku mrtvé dcery

ČTK , 13. červenec 2018 09:00

Facebook nechtěl obsah účtu dívky otevřít, protože i její přátelé údajně spoléhali na to, že jejich ...

Více 1 komentářů

Broadcom koupí za 18,9 miliard dolarů CA Technologies

ČTK , 12. červenec 2018 13:01

Akvizice jsou důležité pro expanzi Broadcomu. Výběr firmy CA je však pro analytiky překvapením....

Více 0 komentářů