Zápisník manažera bezpečnosti: Cloudové úložiště zatím ne

Trouble Ticket
Co řešit: Jedno z našich firemních oddělení začalo poskytovat svým zaměstnancům přístup k úložnému prostoru přes internet.
Akční plán: Zarazit to a zajistit, že nikdo další nebude využívat cloudová úložiště do doby, než dodavatelé vyřeší bezpečnostní rizika.

Chcete vědět, co mi jako osobě zodpovědné za zabezpečení naší společnosti nedává v noci spát? Mohu vás ujistit, že je to hodně věcí, ale největší hrozbou pro klidný spánek byl nárůst využití SaaS v naší firmě.

Noční můrou je pro mě přesně to, co je snad pro každého tak přitažlivé: Je velmi snadné nasadit novou architekturu pomocí kreditní karty a několika kliknutí myší. Pokud není potřeba žádná integrace s dalšími IT systémy, lze to provést, aniž si toho někdo další ve firmě všimne.

Příklad: Jedno firemní oddělení nedávno zprovoznilo pro své zaměstnance úložiště s využitím cloudové služby. Vůbec jsem to nemusel zjistit, ale narazil jsem v jídelně na někoho, kdo mi sdělil své obavy, že takovým způsobem může dojít k vyzrazení citlivých dat. (Nebylo to poprvé, co jsem se při jídle dozvěděl něco alarmujícího – nošení si vlastního jídla namísto regulérního stravování v jídelně by tak mohlo nepříznivě ovlivnit moji kariéru.)

Když jste chtěli v dřívějších dobách přidat servery, další storage nebo jiné prostředky datového centra, museli jste koupit server, rozbalit krabici, nový hardware přesunout do datového centra, přimontovat sadu držáků, zasunout nové disky a připojit napájení s Ethernetem. Byly to činnosti, které určitě přitahovaly pozornost, takže bylo celkem snadné zajistit, aby vše probíhalo podle směrnic.

Já sám mám myšlenku ukládání dat do cloudu rád. Určitě to šetří peníze a nabízí to velkou míru pružnosti z hlediska dostupnosti dat. Ona snadná dostupnost se však zároveň stává nevýhodou, pokud se to týká citlivých dat.

Jakmile jsou údaje přesunuty do cloudového úložiště, lze k nim přistupovat z téměř jakéhokoli počítače či mobilního zařízení. Toto pohodlí je jedním z hlavních prodejních argumentů, ale pokud jde o důvěrná data společnosti, která by neměla být ohrožena, je snadnost přístupu k nim noční můrou pro právníky, bezpečnostní oddělení i personalisty.

Protože jsem neměl zájem o další bezesné noci, okamžitě jsem upozornil kolegu spravujícího firewall a ten vytáhl report obsahující přístupy k různým cloudovým úložištím z firemních počítačů. Jak se ukázalo, weby zmíněných služeb byly využívané celkem často.

To bylo alarmující, ale když jsme se podívali podrobněji, zjistili jsme, že většina aktivit zahrnovala osobní fotografie, hudbu či videa. To je dobré – cloudová úložiště jsou pro tento účel ideální a všechny tyto osobní záležitosti jsou díky tomu uloženy mimo naše servery.

Nedochází tak ke zbytečné spotřebě kapacity síťového disku, který je používán pro sdílení dat mezi zaměstnanci. Zjistili jsme však, že došlo i k přenosům některých citlivých dat včetně plánů výroby strategických produktů.

Rychlé odpojení
To bylo vše, co jsem potřeboval vidět, abych se přesvědčil, že musím iniciativu využívání cloudových úložišť zarazit, dokud nebudeme schopni vymyslet způsob, jak data dostatečně chránit.

Někteří dodavatelé se v této oblasti zlepšili, ale dosud žádný z nich nesplňuje naše požadavky, které zahrnují omezení přístupu k důvěrným firemním zdrojům. Nechci, aby měli zaměstnanci možnost stahovat data do internetových kaváren v kdejaké Tramtárii.

Prověřil jsem záležitost s právním oddělením a rozhodl se zablokovat přístup pro celou kategorii těchto úložišť pomocí rekonfigurace filtrování obsahu našimi firewally. Museli jsme ale udělat několik výjimek, které nám umožňují sdílet data s našimi partnery.

Problematiku cloudových úložných služeb budu samozřejmě bedlivě sledovat, a jakmile najdu dodavatele, který uspokojivě vyřeší bezpečnostní rizika, mohli bychom tento přístup přehodnotit. V současné době však budeme řešit úložnou kapacitu interními prostředky, kde máme naše data plně pod kontrolou.

Řešíte podobné problémy jako Mathias Thurman? Podělte se o svoje zkušenosti s námi i se čtenáři Computerworldu. Můžete psát na adresu bezpecnost@idg.cz.

Tento příspěvek do Zápisníku manažera pro bezpečnost napsal skutečný manažer bezpečnosti, který zde vystupuje jako Mathias Thurman. Jeho pravé jméno ani jméno zaměstnavatele z pochopitelných důvodů neuvádíme.