Czy Twoje dane są bezpieczniejsze w chmurze?

bezpieczeństwo, FIRMA

Czy Twoje dane są bezpieczniejsze w chmurze? Mogą być bezpieczne, ale nie łudź się, że możesz zapomnieć o ich ochronie tylko dlatego, że powierzyłeś je komuś innemu.

Kilka tygodni temu gościłem na konferencji Nordic Digital Business Summit 2016 w Helsinkach. Wziąłem tam udział w dyskusji panelowej pod hasłem „Czy Twoje dane są bezpieczniejsze w chmurze?”. To bez wątpienia interesujące pytanie, więc podsumujmy kilka ważnych zagadnień, które się z nim wiążą.

Krótka odpowiedź, jak w przypadku wielu innych pytań, brzmi: to zależy. Spróbujmy jednak udzielić nieco dłuższej i bardziej szczegółowej odpowiedzi w dziesięciu kluczowych punktach.

  1. Wielu z nas, w tym i ja, pamięta czasy, w których bardzo podejrzliwie traktowano bezpieczeństwo w chmurze. Internet nie jest bezpieczny, więc i przechowywanie danych w sieci nie może być bezpieczne. Cóż, na szczęście ta faza jest już za nami, a usługi chmurowe są realną opcją nawet dla tych, którzy zwracają szczególną uwagę na bezpieczeństwo.
  2. Bądźmy szczerzy: dostawca usług chmurowych zwykle ma lepsze kwalifikacje i więcej zasobów niezbędnych do zabezpieczenia swojego środowiska, niż Twoja własna organizacja. Korzystanie z usługi chmurowej to doskonała okazja, żeby powierzyć swoje bezpieczeństwo kompetentnemu partnerowi.
  3. Znaj swojego wroga. Jak we wszystkich sprawach bezpieczeństwa, należy koniecznie przeanalizować zagrożenia i zdecydować, przed czym trzeba się chronić. Czy obawiasz się przede wszystkim cyberprzestępczości, agencji wywiadowczych, czy utraty danych? Jak poważne skutki miałby wyciek informacji, uszkodzenie danych albo tymczasowy przestój?
  4. Nie zapominaj, w jakim kraju działa Twój dostawca usług i gdzie będą znajdować się Twoje dane. Prawodawstwo może ograniczać miejsca przechowywania danych. Nie trzeba też przypominać, że kwestia ta staje się jeszcze ważniejsza, jeśli możesz być przedmiotem zainteresowania obcego wywiadu.
  5. Powierzenie danych dostawcy usług chmurowych nie oznacza, że możesz zrelaksować się i zapomnieć o ich bezpieczeństwie, nawet jeśli twierdzi tak dział marketingu dostawcy. Nadal odpowiadasz za swoje bezpieczeństwo, choć potrzebujesz do tego innego zestawu umiejętności. Zamiast wiedzieć, jak budować i obsługiwać zabezpieczone systemy, musisz nauczyć się oceniać i monitorować poziom bezpieczeństwa dostawcy.
  6. Bezpieczeństwo musi być kluczową kwestią podczas oceniania dostawców i podpisywania umowy. Jeśli nie szukasz bezpieczeństwa i nie domagasz się go w kontrakcie, zdajesz się na szczęście.
  7. Główną wadą outsourcingu bezpieczeństwa jest to, że tracisz kontrolę i widoczność. Oznacza to, że musisz zaufać dostawcy. Nie powinno to być jednak ślepe zaufanie. Prawdziwą sztuką jest zatem wiedzieć, kto jest godny zaufania.
  8. Powinieneś zbadać, jak dostawca dokumentuje swoje środki i procesy bezpieczeństwa oraz jakie ma wyniki. Dla mnie szczególnie przekonującym argumentem jest dobrze obsłużony incydent naruszenia bezpieczeństwa. Wiadomo, że w każdym systemie są punkty podatne na atak. Szybka, otwarta i profesjonalna reakcja na incydent to najlepszy dowód na to, że dostawca potrafi zapewnić bezpieczeństwo systemu. Niektórzy mogą chwalić się „czystym kontem” bez żadnych incydentów. W praktyce oznacza to, że są albo tak niekompetentni, że nawet nie dostrzegają ataków, albo coś ukrywają. A tuszowanie wpadek to ostatnie, czego byś sobie życzył, kiedy ktoś kradnie Twoje dane!
  9. Pamiętaj, że użytkownik często jest najsłabszym ogniwem. Bez względu na to, jak bezpieczna jest Twoja chmura, przegrywasz, jeśli przeciwnik zaloguje się z wykorzystaniem danych legalnego użytkownika. Policzyłem, ile usług chmurowych jest otwartych na mojej komórce, żebym mógł uzyskać do nich dostęp jednym stuknięciem ikony. Nieco szokujący wynik to 63! (i to bez usług z uwierzytelnianiem dwuczynnikowym oraz tych, które za każdym razem wymagają podania hasła). Zatem bezpieczeństwo wszystkich tych usług w praktyce zależy od tego, jak skutecznie zabezpieczam swój telefon.
  10. Owszem, logowanie i uwierzytelnianie jest słabym ogniwem w większości systemów. Domagaj się systemu uwierzytelniania dwuczynnikowego, który jest na tyle łatwy w obsłudze, że sprawdzi się w praktyce, i którym można objąć wszystkich użytkowników.

Niektórym czytelnikom zapewne zabrakło tu wyczerpującej listy technicznych środków bezpieczeństwa, których należy domagać się od dostawy usług. Zostawmy to na inną okazję. Przeniesienie danych do chmury (i w ogóle outsourcing) oznacza, że mniej uwagi poświęca się szczegółom technicznym, a większy nacisk kładzie na wybór i monitorowanie dostawcy na bardziej ogólnym poziomie. Na tym właśnie chciałem się skupić.

Podsumowując: nie bój się chmury. Zapewnia ona oczywiste korzyści i bez wątpienia jest naszą przyszłością. Chmura może też być bezpieczniejsza, niż Twoje własne systemy. Nie łudź się jednak, że możesz zapomnieć o bezpieczeństwie tylko dlatego, że powierzyłeś je komuś innemu.

Micke
Specjalista ds. bezpieczeństwa
F-Secure Labs

Tagi

Oceń artykuł

0 głosów

0 komentarzy

Wprowadź swoje dane lub kliknij jedną z tych ikon, aby się zalogować:

Logo WordPress.com

Komentujesz korzystając z konta WordPress.com. Log Out / Zmień )

Zdjęcie z Twittera

Komentujesz korzystając z konta Twitter. Log Out / Zmień )

Facebook photo

Komentujesz korzystając z konta Facebook. Log Out / Zmień )

Google+ photo

Komentujesz korzystając z konta Google+. Log Out / Zmień )

Connecting to %s

Może Ci się też spodobać

%d bloggers like this: