Varnost računalniškega oblaka – mit ali resnica?
Sistemi IT, aplikacije in storitve, ki gostujejo v računalniških oblakih prevzemajo vse pomembnejšo vlogo v poslovanju sodobnih podjetij. Podjetja vseh panog, različne organizacije, vladne in izobraževalne ustanove uporabljajo oblak za hrambo in obdelavo svojih podatkov, gostovanje aplikacij in zagotavljanje storitev. A vse (nas) zanima predvsem eno – so računalniški oblaki varni?
Varnost računalniškega oblaka je treba obravnavati v širšem kontekstu kibernetske varnostne strategije. Vse, kar je danes omreženo oziroma povezano, je pač treba varovati pred kibernetskimi grožnjami in napadalci. Ko je govor o računalniških oblakih, je varnost na vrhu seznama prioritet – tako na strani ponudnika kot stranke. Učinkovito upravljanje varnosti v oblaku je bistvenega pomena za vsako podjetje, ki želi izkoriščati prednosti porazdeljenega okolja IT.
Sleherno okolje IT premore edinstvene varnostne izzive, oblak pri tem ni izjema. Misel, da bodo podatki v okolju, kakršen je računalniški oblak, varni, je vrsto let veljala za »misijo nemogoče«. A ponudniki storitev iz oblaka, sploh največji, zadnja leta dokazujejo, da se zavedajo pomena varnosti oblačnega okolja kot glavnega dejavnika njegove rabe, zato lahko zapišemo, da je učinkovito varnost podatkov v oblaku v praksi vsekakor možno doseči. Ponudniki, vsaj večina, varnosti posvečajo resnično zelo veliko pozornosti, posledice tega pa so zelo spodbudne – v povprečju so računalniški oblaki postali bistveno varnejša okolja za podatke kot krajevno okolje povprečnega podjetja. Obenem ponudniki oblačnih storitev zaposlujejo bistveno več varnostnih strokovnjakov kot podjetja.
Čeprav oblačna okolja in storitve na področju varnosti naštevajo vse mogoče standarde, katerim ustrezajo, je treba oblačno varnost jemati celovito.
Ustrezna varnost se začne z dobrim načrtom
Noben projekt s področja varnosti IT ne bo uspešen brez temeljitega načrta. V okoljih, kjer se poslovni uporabniki zanašajo na storitve iz računalniškega oblaka, oziroma je oblak sestavni del okolja IT (hibridnega okolja), je varnostni načrt, prilagojen dejanski podobi in implementaciji rešitev, še toliko bolj podoben. Trend nošenja lastnih naprav na delovno mesto, t. i. BYOD, je informatikom v podjetjih pošteno zagrenil življenje. Sploh upoštevaje, da je njihovo število veliko, predvsem mobilne naprave pa zelo raznolike, na njih pa teče cel kup aplikacij, ki dostopajo do praktično česarkoli, zahtevajo pogosto posodabljanje itd. Pa možnosti odtujitve (beri: kraje) ali zlorabe mobilne naprave zaposlenega, ki lahko dostopa do oblačnih virov podjetja, še omenili nismo.
Prav zato velja ustrezno zaščititi vse, kar se povezuje v oblak ali z njim. Računalniški oblaki so v povprečju zelo varna okolja, žal kaj takega niti približno ne moremo trditi za njihovo »okolico« in odjemalce storitev. Okužena ali zlorabljena naprava zaposlenega lahko tako kaj hitro postane vstopna točka v sicer dobro zaščiteno oblačno okolje podjetja. Prevzemanje nadzora nad pametnimi mobilnimi telefoni, tablicami in prenosniki zaposlenih torej tudi sodi med nujne ukrepe zaščite in varovanja oblaka.
Kako dobro so si informatiki v podjetju in na strani ponudnika zastavili varnostni načrt ter ga izvedli, lahko podjetje ali organizacija preveri z varnostnim pregledom s strani zunanjega neodvisnega izvajalca ali revizijo IT. Podjetjem redne (beri: letne) preglede okolja IT nalaga že sama zakonodaja oziroma regulativa.
Pričakujte napad, pripravite odziv
Informacijska varnost seveda ni zgolj zloženka varnostnih mehanizmov, politik in naprav, ki skrbijo, da napadalci ostanejo na drugi strani okolja IT podjetja, torej zunaj njega. V časih, ko lahko finančno motivirani napadalci prodrejo v praktično sleherno okolje ali sistem, je treba biti pripravljen tudi na to, da bomo napadeni. Odziv na napad je zelo pomemben, tako v lastnem okolju kot pri ponudniku iz oblaka. Brez »odgovorov« v obliki postopkov za obravnavo varnostnih incidentov, tehnik forenzičnega preiskovanja teh incidentov in rezervnih scenarijev ter analize in upravljanja tveganj bo vsaka »razpoka« lahko povzročila velikansko (poslovno) bolečino.
Kako naj torej podjetja zagotovijo, da bodo njegovi podatki v oblaku res varni? Odgovor na to vprašanje se začne še pred samo selitvijo podatkov v oblak. Podjetja morajo namreč preveriti, kakšno stopnjo varnosti (in kako) jim zagotavlja ponudnik. Delno ali celotno poslovanje iz oblaka namreč temelji na zaupanju – zaupanju podjetja v ponudnika, njegovo infrastrukturo, osebje, storitve. Ne glede na to, kako uveljavljen ali (ne)poznan je posamezen ponudnik, mora podjetje preveriti, kako njegovo oblačno okolje oziroma ponudba ustreza zahtevam podjetja glede varnosti, hrambe in ravnanja s podatki. Varnostni pregledi in revizije imajo ponavadi več točk, če ponudnik teh ne deli s strankami, si velja ogledati njegovo zgodovino – preveriti, katere stranke so z njim že dlje časa in katere je izgubil – ter poiskati vzroke, zakaj je prišlo do odhoda.
Bolj proaktivni, bolj varni
Čeprav oblačna okolja in storitve, kot sta Amazon AWS ali pa Microsoft Azure, na področju varnosti naštevajo vse mogoče standarde, katerim ustrezajo, je treba oblačno varnost jemati celovito. To pomeni, da mora biti udeleženo tudi podjetje in uporabniki, ne zgolj ponudnik. Torej si mora podjetje s svojimi zaposlenimi prizadevati za delovanje po načelu »visokih« varnostnih standardov in najboljših praks. Podjetja s posebej občutljivimi podatki in načini varne hrambe in obdelave teh podatkov utegnejo od ponudnikov zahtevati več, kot ti ponujajo v svojih standardiziranih paketih storitev – lahko gre le za posamezno (varnostno) funkcijo ali pa cel nabor varnostnih postopkov. Izdelovalci pametnih medicinskih pripomočkov bodo bržkone imeli drugačne varnostne zahteve kot izdelovalci pohištva. Teh razlik se v zadnjih letih ponudniki oblačnih storitev vse bolj zavedajo in zato tudi ustrezno prilagajajo svojo ponudbo, nekateri izjemno visoko varnostno raven izpostavljajo celo kot ključno konkurenčno prednost. Sicer pa čez manj kot leto dni začne veljati nova evropska splošna uredba o hrambi in obdelavi podatkov državljanov EU (GDPR), ki bo dodobra prevetrila področje dela in upravljanja podatkov v podjetjih in pri ponudnikih oblačnih storitev. Eno je jasno – podjetja bodo morala postati bolj proaktivna, ko gre za ravnanje in zaščito podatkov, ki jih hranijo bodisi pri sebi bodisi v oblaku.
A tudi če podjetje oziroma organizacija vse podatke preseli v oblak, je še vedno odgovorna za varen prenos podatkov v oblačno okolje – in seveda vse scenarije, ko te podatke uporablja pri sebi. Klasični varnostni mehanizmi, kot so varna gesla, varnostne politike za sisteme in zaposlene ter varnostne rešitve, se tudi ob delni selitvi poslovanja v oblak seveda ohranijo. Če uspe napadalec zlorabiti geslo zaposlenega, je še tako varen oblak ranljiv. Podjetja morajo torej prevzeti odgovornost za vzdrževanje visoke stopnje varnosti na svoji strani. To pa pomeni, da se mora podjetje znebiti senčnega ITja in slabih praks zaposlenih, kot sta npr. deljenje poslovnih dokumentov in datotek prek aplikacije Skype ali e-poštne storitve Gmail. Izobraževanje zaposlenih je v primeru rabe oblačnih storitev IT prav tako pomembno kot sicer. Naučiti jih je treba, kaj lahko počno in česa ne – predvsem pa jim pojasniti, zakaj so določene stvari poslovanju nevarne, kako jih prepoznati in se jim izogniti.
Varnost, zapisana v pogodbo SLA
Ponudniki oblačnih storitev se pogosto držijo pogodbe o izvajanju storitev (SLA) kot pijanec plota. Zato velja doseči, da bo čim več varnostnih postopkov in praks ter tudi področje prevzemanja odgovornosti zanje jasno opredeljeno v tej pogodbi. Ponudniki se precej dobro zavedajo, kje se začne in konča skrb za varnost podatkov in storitev na njihovi strani – podjetja pa se morajo o tem še podučiti – po možnosti, preden pride do varnostnega incidenta.
Informacijska varnost ni rešitev, ki bi jo postavili in bi nemoteno delovala desetletja. Z njo se je treba redno ukvarjati – preverjati okolja in iskati grožnje varnosti, jih spremljati, posodabljati zaščito … Pametni ljudje redno menjajo gesla, nekateri sistemi zahtevajo menjavo gesel uporabnikov vsako četrtletje. Tako bi tudi morebitni napadalci ostali brez dostopa do oblaka prek zlorabljenega računalnika (odvisno od tega, kaj vse »vidijo«).
Učinkovita oblačna varnost torej ni mit, temveč dosegljiva oziroma uresničljiva realnost. Je pa res, da si morata zanjo prizadevati tako ponudnik kot stranka, predvsem od slednje je odvisno, kako močan bo sicer najšibkejši člen v varnostni verigi. Pod črto je oblak še vedno le »računalnik nekoga drugega«, do katerega lahko dostopamo, a se moramo zavedati, da smo za svoje delo v njem vendarle odgovorni sami.
Kaj vprašati ponudnika oblačnih storitev?
Podjetja in organizacije, ki svoje podatke zaupajo ponudnikom storitev iz oblaka, se morajo zavedati, da s selitvijo svojih podatkov v oblak in prenašanjem podatkov na najrazličnejše naprave podatke izpostavljajo dodatnim kibernetskim grožnjam. Ponudnik sicer v svojem oblaku zagotavlja zmogljive varnostne mehanizme, zato je pomembno tudi, kako ščiti »podatke na poti«. Uporaba enkripcije podatkov in povezav je praktično nujna, poleg varnostnih naprav in mehanizmov pa velja ponudnika oblačnih rešitev izprašati še, kako varuje oblačno okolje pred kibernetskimi grožnjami, škodljivimi kodami, tehnikami socialnega inženirstva, spletnimi prevarami in morebitnim državnim vohunjenjem.
Ključni vprašanji ponudniku oblačnih storitev naj se glasita:
• Kako spremljate in zaustavljate kibernetske grožnje, kot so virusi, škodljive kode in napadi s ciljem kraje podatkov in informacij?
• Ali opravljate neodvisne varnostne preglede in ste rezultate/ugotovitve teh pregledov pripravljeni deliti s strankami?
Poleg varnosti je zelo pomembna tudi zasebnost podatkov. Ponudniki načeloma vedo, kateri podatki so vaši, ne vedo pa nujno, kaj je v teh podatkih. Podjetje se mora s ponudnikom dogovoriti, da ima popoln dostop in nadzor nad svojimi podatki, nikoli pa mu ne sme dovoliti, da podatke stranke »skenira« v oglaševalske namene (zato pa je treba prebrati pogoje rabe pri brezplačnih ali nenavadno poceni storitvah javnih oblakov!). Med dodatnimi vprašanji, ki jih lahko zastavite ponudniku oblačnih storitev, so:
• Kako bodo moji podatki hranjeni, jih boste kakorkoli skenirali in za kakšen namen?
• Kako bo urejen dostop do podatkov, hranjenih v oblačnem okolju – kdo vse lahko dostopa do njih in kako?
• Kaj se zgodi z mojimi podatki, če se odločim opustiti rabo vaših storitev? Kako je urejena selitev podatkov?