Chmura dla MŚP. To poprawa czy spadek bezpieczeństwa?

bezpieczeństwo IT

Cloud computing jest na fali wznoszącej od kilku lat. Dane m.in. Gartner, IDC czy Goldman Sachs wskazują – że ten trend utrzyma się na dłużej, także w sektorze MŚP, który coraz chętniej sięga po nowoczesne i tanie we wdrożeniu aplikacje webowe. Ale dylemat bezpieczeństwa danych w chmurze pozostaje i wymaga szerszej polemiki.

Właściwie samo pojęcie bezpieczeństwa danych wymaga nieco innego spojrzenia. Każda firma dąży do stworzenia jak najlepszego dla siebie  środowiska informatycznego. Ze względów własnej wygody i szybkości pracy, jak i z pobudek ekologicznych coraz więcej dokumentów na zawsze pozostaje zachowanych w wersji elektronicznej. Tradycyjnie przechowujemy dane na dysku twardym, czasem dokonując backupu danych lub nie robimy tego wcale, posiadamy własny serwer firmowy – z różnymi pomysłami na zabezpieczenie danych lub wybieramy trzecią opcję – przetrzymujemy dane w chmurze.

Spróbujemy w tym artykule odpowiedzieć na cztery istotne pytania, które pomogą jeśli nie w podjęciu decyzji o tym czy chmura może nam pomóc w biznesie, to przynajmniej zmobilizuje do zastanowienia się nad poziomem zabezpieczenia naszych urządzeń i danych na nich zgromadzonych.

 

  1. Co jest poważniejszym zagrożeniem – kradzież danych z chmury czy ich utrata na własnym serwerze?

Kilka lat przetwarzania danych w chmurze dało już przykłady, kiedy serwery dostawców usług były pod ostrzałem hackerów – np. przez atak DDoS przeciążając łącza usługodawcy wysyłaniem olbrzymiej ilości zapytań na sekundę. Były krótsze lub całkiem pokaźne zaniki dostępności ze względu na awarie. Były także niestety przypadki utraty zasobów. Książkowym przykładem jest defekt beyond.pl, który pozbawił zasobów posiadaczy kont na dysku e24cloud.com. Ale to jest jedyny przykład z polskiego rynku kiedy awaria spowodowała tak duże straty. Biorąc pod uwagę to jak często korzystamy z chmury sprawia, że jest to przypadek wynikający raczej z wieku dziecięcego zastosowanych technologii, niż faktycznie braku możliwość zabezpieczenia danych. Problemy nie ominęły nawet najbardziej znane marki jak np. Amazon czy iCloud. Ale prawdą jest, że ilość backupów stosowanych przez usługodawców umożliwia w większości odzyskanie danych. Inaczej sytuacja wygląda w małych firmach, gdzie serwer często jest urządzeniem zaplecza, na które zwraca się uwagę dopiero, gdy przestanie działać. I to jest właśnie największe zagrożenie dla danych przetwarzanych i przechowywanych na własnym urządzeniu. Brakuje nam czasu, umiejętności lub po prostu środków na zagwarantowanie dla naszego biznesu rozwiązań, które w razie awarii umożliwią łatwe odzyskanie cennych informacji. Wiele osób może się nie zgodzić, ale to olbrzymie zaplecze technologiczne i sprzętowe chmur obliczeniowych jest niewątpliwie ich największą zaletą. Gdy myśleliśmy o tym jak najlepiej scharakteryzować co jest główną zaletą chmury wymyśliliśmy pewne określenie. Odzyskanie danych przetrzymywanych w chmurze (i inne aspekty obsługi codziennej i kryzysowej) dla użytkownika końcowego to SEP – someone elses problem.

Dodatkowo powinniśmy się zastanowić jaki rodzaj utraty danych jest dla nas najgroźniejszy. Bez wątpienia jest nim wycelowana kradzież informacji – wycelowana w konkretną firmę. W tym przypadku, naszym zdaniem chmura ma nieco więcej do zaoferowania – zwyczajnie posiada większy i lepszy kompetencyjnie zespół administracyjny niż taki na jaki może sobie pozwolić małe przedsiębiorstwo.

 

  1. Jak najczęściej tracimy dane przetrzymywane klasycznie?

Nadal spora część osób wychodzi z założenia, że dane archiwizowane na własnym urządzeniu, od czasu do czasu backupowane na inne nośniki są o wiele bezpieczniejsze niż to wszystko, co wysyłamy na zewnątrz. Ale czy faktycznie tak jest? Dodajmy również fakt, że w związku z coraz częstszym wykorzystywaniem urządzeń mobilnych w pracy jesteśmy jeszcze bardziej narażeni na zgubienie lub kradzież. Przygotowaliśmy krótką listę najczęściej spotykanych przypadków kradzieży danych:

  • nieodpowiednie zabezpieczenie urządzeń, przez nie stosowanie przepisów bezpieczeństwa sieci i procedur (słabe hasła, zapisywanie ich na dysku, brak blokady systemu),
  • bezpośrednie ataki na hasła użytkowników i instalowanie w sieci np. trojanów, rootkitów itp.,
  • dostęp nieupoważnionych osób do wyszukiwania lub przeglądania, modyfikacji czy nawet przypadkowego kasowania danych,
  • kradzież urządzeń: laptopów, dysków twardych, tabletów itd.,
  • kradzież korporacyjnych baz danych w całości lub częściowo,
  • kopiowanie na nośniki wymienne: dyski twarde, urządzenia USB, czytniki kart, nośniki CD / DVD itp.,
  • włamania w wyniku korzystania z otwartych sieci Wi-Fi,
  • drukowanie ważnych dokumentów w celu usunięcia pozostałych egzemplarzy z siedziby przedsiębiorstwa.

Ale oprócz listy takich poważnych działań o charakterze przestępczym istnieje cała grupa wypadków losowych, których na pewno właściciele nie byli w stanie przewidzieć. Posłużę się raportem firmy Ontrack, który podaje kilka bardzo ciekawych case study:

Dziecko. Pewna mama, po nakarmieniu swojej miesięcznej córeczki, przełożyła ją przez ramię, aby dziewczynce mogło się odbić. Na nieszczęście, cały przed chwilą spożyty posiłek wylądował na otwartym laptopie. Wskutek tego komputer odmówił jakiejkolwiek współpracy.

Pranie. Przez przypadek przenośna pamięć flash z różnymi danymi trafiła do pralki w kieszeni spodni. Mężczyzna zapomniał po prostu wyjąć pendrive’a, kiedy przekazywał żonie rzeczy do prania. Wychodzi na to, że lepiej robić pranie samodzielnie lub nie kopiować wrażliwych danych na takie nośniki.

Użycie wiertarki. Pracownicy Ontracka otrzymali zlecenie odzyskania danych z macierzy RAID. W wyniku analizy napędu okazało się, iż brakuje w nim jednego dysku twardego. Nośnik odnalazł się w śmietniku. Informatycy firmy-zleceniodawcy uznali, że nie można z niego odzyskać danych i zgodnie z przyjętymi procedurami przewiercili go na wylot, skutecznie uniemożliwiając odzyskanie danych.

Znikająca literatura. Książka Ireneusza Betlewicza omal nie trafiłaby do księgarń z powodu błędu systemowego. W wyniku nieprawidłowego działania systemu operacyjnego utracił on tekst i ilustracje do książki. Wynajęcie specjalistycznej firmy ocaliło publikację. Jednak pewna pisarka nie miała tyle szczęścia. Pozostawiła otwartego laptopa w czasie przemeblowywania mieszkania. Laptop miał bliskie spotkanie z kilkukilogramowym glinianym naczyniem. Zniszczeniu uległa nie tylko elektroniczna wersja książki, nad którą kobieta pracowała od pięciu lat, ale również zeskanowane obrazy 150-letniego drzewa genealogicznego jej rodziny.

Majsterkowicz. Pewien użytkownik, który utracił dane, że sam potrafi je odzyskać. Wyjął dysk twardy z komputera, rozłożył go na czynniki pierwsze. Niestety, złożenie nie było już takie proste.

Rozwód. Pewien mężczyzna robiąc porządki na dysku usunął z niego całą galerię cyfrowych fotografii swoich dzieci (zdjęcia nie były wywołane). Żona niefortunnego użytkownika postawiła mu ultimatum – albo odzyska zdjęcia, albo wezmą rozwód. Niestety nie wiem jak zakończyła się ta sytuacja.

 

  1. Jakie są najpoważniejsze zagrożenia dla danych w chmurze?

Specjaliści firmy F-Secure, na podstawie badań użytkowników chmur obliczeniowych, opracowali listę zagrożeń, które wydają się najbardziej realne z punktu widzenia użytkownika:

  • nieautoryzowany dostęp do danych firmowych i klienckich,
  • brak dostępu do danych w chmurze,
  • zrzucanie odpowiedzialności za bezpieczeństwo i integralność danych wyłącznie na usługodawcę,
  • stabilność parametrów świadczonej usługi,
  • stabilność i długotrwałość prowadzenia działalności przez usługodawcę,
  • brak pełnego zrozumienia sposobu funkcjonowania chmury,
  • brak możliwości szybkiego odzyskania danych,
  • brak jasnej i otwartej polityki komunikacji z klientami,
  • wydajność systemu lub aplikacji.

Jak widzimy wiele sprecyzowanych powyżej zagrożeń – to elementy związane raczej z wyborem dostawcy usługi w chmurze, niż z samą formą cloud computingu.

 

  1. Kiedy warto skorzystać z rozwiązania hybrydowego? Które dane można trzymać w chmurze?

Wiele organizacji, lub firm ze względu na specyfikę prowadzonej działalności posiada pewne obszary danych które muszą mieć wyjątkową politykę w zakresie bezpieczeństwa, czy też form przechowywania. Można tu wymienić obszary np. związane z:

  • procedurami nakładanymi przez wymogi lokalnego prawa,
  • obostrzenia wynikające z umów z innymi podmiotami, takimi jak np. kontrahenci domagający się objęcia specjalną ochroną informacji przekazywanych w ramach zawartych umów o poufności,
  • specjalne procedury wewnętrzne organizacji nakładające określone wymogi postępowania z posiadanymi danymi szczególnie wrażliwymi.

Opisane powyżej uwarunkowania mogą skutkować sytuacją, w której usługa przechowywania, czy przetwarzania danych w chmurze, z której chciałaby skorzystać nasza organizacja, jest swoimi parametrami właściwa np. tylko dla 90% posiadanych przez nas danych. Jednocześnie skorzystanie z usługi która jest właściwa dla wszystkich naszych danych jest niesensowne np. z przyczyn ekonomicznych, lub też łatwości dostępu do nich.

W takich sytuacjach idealnym rozwiązaniem jest skorzystanie z swego rodzaju hybrydy zasobów na jakich trzymamy dane: dla danych mnie wrażliwych chmura publiczna, dla danych o wysokiej wrażliwości, obostrzonych specjalnymi procedurami – chmura prywatna lub innego rodzaju własne zasoby informatyczne. Zawsze wyznacznikami poszukiwania właściwego dla nas rozwiązani powinno być uwzględnienie wszystkich nakładających się czynników jak m.in. jakość, koszty czy bezpieczeństwo, dostępność, elastyczność.

 

Podsumowanie

Analizując zarzuty pod adresem bezpieczeństwa danych przechowywanych w chmurach często możemy zauważyć, że stawiane są one przez wysokiej klasy specjalistów w zakresie bezpieczeństwa. Często też są to uwagi jak najbardziej słuszne. Należy się jednak zastanowić czy czasem jeszcze większej liczby zarzutów nie można postawić sposobom, które do przechowywania danych wykorzystują małe i średnie przedsiębiorstwa na zasobach własnych? Powinniśmy z uwagą rozważyć migrację swoich danych – ale też nie mniej krytycznie patrzeć na rozwiązania z jakich korzystamy w chwili obecnej. I nie zapominajmy o najważniejszym – gdy chodzi o bezpieczeństwo danych najsłabszym ogniwem jesteśmy my sami – nie systemy, z których korzystamy. To właśnie takie wypadki jak zapisywanie hasła na kartce przy komputerze, ustawianie haseł typu
„admin1” lub inne efekty lenistwa czy nieostrożności, stwarzają największe zagrożenie.

Share on FacebookShare on Google+Tweet about this on TwitterShare on LinkedIn