Bezpečný cloud – realita, nebo zbožné přání?

24. 6. 2012

Sdílet

 Autor: Delphimages - Fotolia.com
Informace mají dnes cenu zlata. V “době cloudové“ je proto na místě otázka: Jsou data v cloudu opravdu v bezpečí?

I když je koncept cloud computingu ve své podstatě historický, teprve v nedávné době nastal jeho opravdový rozmach. Dnes jsou cílovou skupinou pro cloudové služby prakticky všichni: od jednotlivců využívajících freemailové služby, kteří ani netuší, jaká technologie je v pozadí, přes malé a středně velké firmy, jež se mohou obejít bez vlastní IT divize, až po velké a nadnárodní společnosti a státní správu.

Poskytovatel cloudu tedy pronajme výpočetní výkon a poskytne úložiště pro vaše aplikace a data. Tím sice zmizí spousta režijních nákladů, na druhou stranu přibudou poplatky poskytovateli, ale co je podstatné, vaše data putují do jeho úložišť. Není divu, že právě to u mnohých vzbuzuje obavy.

Na rozdíl od dřívějška nejsou společnosti vystaveny jen všudypřítomným virům, ale také cíleným útokům z vnějšku a také zevnitř (vlastní zaměstnanci). Podle analýzy znaleckého ústavu Apogeo Esteeem jsou tři čtvrtiny případů úniku či ztráty citlivých firemních informací způsobeny zevnitř, zaměstnanci, nikoli útokem zvenčí.

„Většina úniků dat informací z firem je důsledkem nedbalosti nebo zlovolného jednání zaměstnanců, kteří svým laxním přístupem působí společnostem milionové škody,“ říká Ivan Janoušek, soudní znalec v oblasti informačních technologií ze znaleckého ústavu Apogeo Esteem.

Nejčastějšími příčinami jsou nedbalost (50 %), ztráta datových nosičů (13 %) nebo krádeže (12 %). Teprve pak následují útoky zvenku. Finančně jsou ztráty způsobené vlastními zaměstnanci asi desetkrát větší než útoky zvenku – namísto statisíců jsou v sázce řádově miliony korun.

Úniky citlivých informací navíc mohou vést ke ztrátě konkurenčních výhod, určitě způsobí poškození dobrého jména firmy, což může přinést destruktivní odliv zákazníků či vysoké sankce za nedodržování uzavřených dohod. „Odhadujeme, že jen v loňském roce se potýkalo s únikem citlivých informací přes 28 procent českých firem,“ dodává Janoušek.

Velcí a skutečně dobří poskytovatelé cloudových služeb mají zájem nabízet vždy pokud možno co nejlepší zabezpečení, aktuální software i smluvní garance. A disponují také prostředky a potřebnou energií pro prosazení zabezpečení do praxe – např. k  datům zákazníků smí přistupovat jen povolané osoby.

Navíc je rozumné přenášet k poskytovateli pouze šifrovaná data. Poskytovatelé cloudových služeb pak neustále monitorují aktuální bezpečnostní hrozby a snaží se anticipovat další. Je to v jejich vlastním zájmu – jediný únik dat by je totiž mohl jednou provždy zruinovat, protože pro firmu podnikající v oblasti IT služeb je pověst alfou a omegou a rozhoduje de facto o jejím bytí a nebytí.

Dodavatelé cloudových technologií jsou pod velkým tlakem zákazníků a regulátorů, aby plnili požadavky na bezpečnost. Z principu cloudu ale plyne, že klient nemá přímý vliv na bezpečnost (za niž on nese odpovědnost vůči svým zákazníkům) a někdy se bude i velmi těžko domáhat kontroly smluvně deklarované bezpečnosti.

Poskytovatelé cloudu často prokazují deklarované parametry bezpečnosti cloud computingu absolvovaným auditem, ale jen málé množství nechá nahlédnout pod pokličku k procesům, které garantují, že data zákazníků jsou skutečně v bezpečí.

Otázka cloudu má však kromě bezpečnosti dat, což je hlavně věc technologická a procesně-organizační, ještě jeden rozměr – legislativní, týkající se ochrany osobních údajů.

Bezpečnost dat zahrnuje ochranu hardwaru, softwaru a dat všeho druhu před poškozením, falšováním, vyzvídáním, odcizením a zničením. Ochrana osobních údajů oproti tomu značí ochranu jednotlivce před zneužitím dat vztahujících se k ní samotné či ke skupině osob (sem spadají například zákaznická, osobní, dodavatelská či smluvní data).

 

Zkostnatělá Evropa vs. pružná Amerika? Ale kde…

Existuje zásadní rozdíl mezi pohlížením na soukromí jednotlivce v rámci EU a ve Spojených státech. Zatímco v Evropské unii jsou úřady povinny zajistit ochranu osobních dat a jejich zpracování je povoleno jen se souhlasem dotyčného jedince, v USA právo na soukromou sféru uznává jen minimum států (třeba Kalifornie), na nějaký rozsáhlejší dohled na ochranu osobních údajů pak zapomeňte.

V EU je stanovena směrnice o ochraně osobních údajů 95/46/ES, která stanovuje minimální standardy pro členské státy. Určuje, že předávání osobních dat do třetích zemí je povoleno pouze v případě, že daný stát zaručí „přiměřenou úroveň ochrany“.

A protože Spojené státy nedisponují standardem ochrany osobních údajů, který by podle EU zaručoval onu „přiměřenou“ úroveň ochrany, nesmí se tato data automaticky předávat do USA. Z legislativního hlediska jsou tak vaše data umístěná na úložišti evropského, potažmo českého poskytovatele cloudu v bezpečí.

V České republice je právo na ochranu soukromí upraveno mj. zákonem o ochraně osobních údajů (ZOOÚ) doplněném o zákon o elektronických komunikacích (ZEK). U amerických firem je pak situace výrazně komplikovanější.

Důvodem je přitom zákon Patriot Act, který zavazuje americké firmy (tj. i ty působící v Česku) k předávání informací o zákaznících federálním bezpečnostním složkám a dalším  úřadům (pod záštitou boje proti terorismu a další trestné činnosti).

Americké firmy jsou za určitých okolností povinny předat informace o svých zákaznících i bez jejich vědomí, i když mají sídlo mimo USA. Výjimkou jsou firmy, které se zavážou k dodržování principů SHP (Safe Harbor Principles), čímž dávají souhlas k dodržování standardů odpovídajících evropským standardům ochrany osobních údajů. Problém u většiny firem z USA je však prosazení tohoto závazku do reality.

Velcí američtí poskytovatelé už otevřeně přiznali, že nejsou schopni zabránit federálním úřadům v přístupu k datům jejich zákazníků (i těch uložených mimo USA). Google dokonce přiznal, že umožňuje, aby všechna data posbíraná na evropských datových serverech byla přístupná americkým úřadům.

Když se ho německý magazín Wirtschafts Woche na to ptal, firemní mluvčí potvrdil, že Google již několikrát předal data evropských uživatelů americkým zpravodajským službám.

Problém takového přístupu k datům se však týká také odvětví, kde je ochrana osobních údajů naprosto kritická. Hovoříme zde kupříkladu o bankovnictví, pojišťovnictví a dalších. Málokdo by stál o to, aby jeho bankovní operace a další důvěrná data byly v podstatě věcí veřejnou…

ICTS24

Autor je pracovníkem společnosti T-Systems Czech Republic