Cloud: Výpadky jsou nebezpečnější než útoky zločinců

Jay Heiser, bezpečnostní analytik v agentuře Gartner říká, že podle předpokladů je největším nebezpečím ve využití cloudu únik dat, ale výpadky jsou mnohem obvyklejší. Heiser míní, že na tuto eventualitu není mnoho společností příliš připraveno.

Například jeden z nejstarších a největších poskytovatelů cloudových služeb Amazon Web Services prodělal v posledních dvou letech výpadky tři. Po výpadku Elastic Compute Cloudu (EC2) v dubnu 2011 byla některá data nenahraditelně ztracena, řekl Heiser. I služba Evernote v roce 2010 ztratila data 6 000 zákazníků a Carbonite ztratilo část záloh klientů v roce 2009.

Několik z těchto událostí bylo způsobeno chybami po aktualizacích systému. Například Amazon připsal svůj poslední výpadek novému hardwaru, který byl nainstalován v datacentru. Výpadek vedl k nedostupnosti Redditu, Imugur a dalších populárních stránek.

Tyto problémy se opakují stále dokola, takže je vysoce pravděpodobné, že se stanou znovu, řekl Heiser během webináře společnosti Gartner tento týden. Podle Heisera má pouze polovina společností, které odpověděly v průzkumu provedeném agenturou Gartner, připraven proces k vyhodnocení svých procesů pro zajištění podnikové kontinuity.

„Častou stížností je názor, že poskytovatelé služeb nejsou schopni jednoznačně uvést, co dělají pro ochranu zákazníků,” řekl Heiser. Mnoho poskytovatelů nechce tyto informace šířit, protože by mohly způsobit bezpečnostní riziko.

Uživatelé by však pro bezpečnost svých dat mohli dělat také více, řekl Heiser. Jedna z prvních věcí, kterou by měli zákazníci udělat, je roztřídit data a zjistit, která z nich potřebují mít nejvíce chráněná. Nekompletní nebo neexistující klasifikace dat je běžným problémem. „Pokud zákazník neví, jaké bezpečnostní požadavky má specifická část dat, je těžké zjistit, zda může poskytovatel zajistit dostatečné zabezpečení,“ řekl Heiser. Organizace třetích stran pracují na vytvoření standardů a certifikací, ale podle analytika jsou v této chvíli stále slabé.

FedRAMP je program americké vlády, který má být sadou bezpečnostních požadavků pro všechny poskytovatele, ale zatím je na začátku a plně fungovat nebude pravděpodobně do roku 2014. Kupující jsou v nejlepší pozici vyvinout na prodejce tlak, aby byli tak transparentní jak jen je možné, dodal.

Společnosti by si měly udělat schéma klasifikace dat, nastavit priority a zjistit, která data potřebují mít nejvíce zabezpečena. Většina organizací bude mít těchto extrémně citlivých dat méně než 20 %, dokonce možná i méně než 5 %. Tato data by měla být zabezpečena opravdu důkladně: šifrováním, tokenizací, systémy, které předcházejí ztrátě dat, nebo je prostě neukládat do veřejného cloudu.