Kako preživeti v oblaku
Kot vse kaže, v prihodnje ne moremo računati na uporabo računalniških naprav, ne da bi te bile tako ali drugače povezane s storitvami v oblaku. Kdor tega ne želi, postaja kot izobčenec na samotnem otočku, brez elektrike in stika s preostalim svetom. Po drugi strani pa skoraj vsak dan beremo ali doživljamo takšne ali drugačne vdore v oblačne storitve, ki smo jim zaupali podatke. Tudi tam, kjer ne gre za vdore, pa se občasno spoprijemamo z izpadi v delovanju, ki so posledica tako tehničnih kot človeških napak. Virtualni svet pač ni nič drugačen od resničnega. Tudi banke tu in tam oropajo, pa ljudje še vedno hranijo denar v njih.
K tokratnemu razmisleku me je spodbudila novica, da je največja spletna beležnica, odlična storitev Evernote, nedavno doživela vdor v sistem, pri čemer so nasilneži pridobili določeno število uporabniških imen in gesel. Nobenih dokazov ni bilo, da so z njimi pridobili tudi uporabniške podatke oziroma zapiske. Podjetje se je odzvalo zelo profesionalno in je uporabnike obvestilo o vdoru in celo sprožilo zamenjavo gesel, še preden jih je večina novico prebrala v medijih.
Pa vendar se je v drugem valu po medijih vnovič usul plaz prispevkov, v katerih so avtorji modrovali o tem, ali so spletne storitve dovolj zanesljive, ali jim gre zaupati podatke in kaj vse bi morali ponudniki in uporabniki storiti, da do teh zlorab ne bi prišlo. Skratka, vlivali so strah v kosti in v skrajnih primerih pozivali k prostovoljni osamitvi na že prej omenjenem samotnem otočku.
Po več letih rabe takih in drugačnih storitev v oblaku lahko najbrž z gotovostjo ugotovimo, da povsem varnih spletnih storitev pač ni. Razlikujejo se sicer po stopnji varovanja, profesionalnih ukrepih in drugih zadevah, toda absolutne varnosti seveda ne morejo doseči. Še več, tisti, ki se najbolj širokoustijo, postanejo običajno v naslednjem trenutku priljubljena tarča peščice, ki jim vdor v tak sistem pač postane izziv.
K sreči ljudje kot množica delujejo vse pogosteje bolj racionalno kot tisti, ki jih zavedno ali nezavedno strašijo. Lep zgled je lanskoletni vdor v spletno storitev Dropbox, ki je bil po poteku zelo podoben temu, kar je doživel Evernote. Prvi odziv ljudi in »strokovne« javnosti je bil, da morda tej storitvi ni več zaupati. Toda tistih, ki so preprosto pobrali svoje podatke in šli drugam, je bilo sila malo. Še več, nekaj mesecev za tem je Dropbox oznanil, da so presegli število 100 milijonov uporabnikov. Zaradi primernega ravnanja in okrepitve zaščite so zaupanje torej zadržali in celo pridobili.
Kdor misli, da je zaupanje povezano z velikostjo in pomembnostjo ponudnika storitev, se bržkone moti. Pred nekaj desetletji, v resničnem svetu, so banke zaupanje varčevalcev sicer utirale s tem, da so gradile monumentalne zgradbe, s katerimi so dajale vtis trdnosti, neprebojnosti, zanesljivosti. Le kdo jih ne bi občudoval in namesto tega zaupal majhni banki, ki prihranke hrani v zakotni ulici.
Sistem prijav zgolj z uporabniškim imenom in geslom je očitno že preživet. Pravzaprav povzroča več preglavic pravim uporabnikom (pozabljeno geslo, uporabniško ime ali kar oboje) kot pa spretnim vdiralcem.
V virtualnem svetu je drugače. Velikost ponudnika ne pomeni skoraj nič, če v ozadju niso ustrezni ukrepi in znanje. Lep zgled so razmeroma pogosti izpadi, ki jih srečamo skoraj pri vseh velikih ponudnikih storitev v oblaku. Amazon.com je kot največji morda še celo najpogosteje v poročilih o izpadih storitev. Microsoft in Google tudi nista imuna. Zadnjič se je to zgodilo tudi Applu pri njihovi storitvi iCloud. Tudi vdori v take sistemi niso prav redkost. Mar se bomo zaradi tega odrekli storitvam vseh štirih? Kaj pa potem?
Če že, potem moramo in morajo (ponudniki) razmišljati o tem, kako izboljšati sistem avtentikacije. Današnji najbolj razširjen način, ki omogoča prijavo zgolj z uporabniškim imenom in geslom, je očitno že preživet. Pravzaprav povzroča več preglavic pravim uporabnikom (pozabljeno geslo, uporabniško ime ali kar oboje) kot pa spretnim vdiralcem. Če to povežemo še z mobilnimi napravami, tak ekosistem kar kliče po težavah.
Prijava s pomočjo certifikatov in časovno spremenljivih, dvostopenjskih rešitev je vsekakor precej bolj varna alternativa, vendar obenem bolj zapletena in v praksi zamudna. Pomislite, da bi na svojem telefonu sredi gneče na avtobusu uporabljali generator vstopnega gesla. Ne gre, ali ne?
Videti je, da iščemo nekaj, kar je zelo težko doseči. Rešitev, ki bi bila hkrati preverjeno zanesljiva in nezlomljiva, preprosta za rabo, prenosljiva in uporabna tudi medtem, ko skačete s padalom, če se malo pošalimo. Nekaj, kar bi zadostilo paranoičnim strahovom, ki so v vsakem izmed nas. Vprašanje pa je, ali bomo tak trenutek sploh doživeli.
Zadovoljiti se bomo morali z racionalnimi, še sprejemljivimi rešitvami, ki nas varujejo pred večino, ne pa nujno vsemi zlorabami. Absolutnega cilja pač ne moremo doseči, vsaj ne z racionalnimi stroški in trudom. Podobno, kot se racionalno zadovoljimo z navadnim ključem kot sredstvom za zaščito svoje zasebnosti v hišah in stanovanjih, ne pa s 24-urnim varnostnikom.
Vprašanje torej ni, ali se bomo prepustili storitvam v oblaku, temveč kako zadržati nadzor nad njimi v mejah tistega, kar je posameznik voljan in sposoben narediti. Zavedati se moramo tudi, da prednosti kljub vsemu še vedno odtehtajo tveganja.