Czy słusznie obawiamy się o zagrożenie bezpieczeństwa w chmurze?

Szybki rozwój i rosnąca popularność rozwiązań chmurowych sprawia, że pojawiają się pytania o bezpieczeństwo danych przechowywanych w chmurze. Afera Edwarda Snowdena i ujawnione dzięki niej fakty dają kolejny powód do dyskusji na ten temat, dlatego warto jeszcze raz przyjrzeć się zagadnieniu, które dotyczy coraz większej ilości prywatnych i firmowych użytkowników.

Zaniepokojenie i konsternację wśród milionów internautów wzbudziły doniesienia, że NSA (amerykańska Agencja Bezpieczeństwa Narodowego) ma bezpośredni dostęp do serwerów firm takich jak Microsoft, Google, Facebook, Skype, Apple, AOL. Burzę wywołały również informacje dotyczące ilości wydanych nakazów, na podstawie których firmy musiały przekazywać NSA informacje na temat konkretnego konta oraz zobowiązanie do zachowania przekazanych danych w tajemnicy przed użytkownikami.

Informacje o podłączeniu do serwerów są prawdopodobne i w niektórych przypadkach potwierdzone. Część firm informatycznych, w których okazało się, że NSA przeglądało dane, wprowadziło dodatkowe zabezpieczenia wewnątrz infrastrukturalne. Pozostałe praktyki NSA jak np. domaganie się od operatora telefonicznego przekazywania informacji o abonentach i rozmowach oraz istnienie projektu PRISM nie ulegają już żadnej wątpliwości. Budzi to uzasadnione obawy w kwestii prywatności, bezpieczeństwa danych oraz ich kontroli bez wiedzy użytkownika i dotyczy zarówno kont e-mail, komunikatorów, rozmów telefonicznych jak i chmur. Z drugiej strony to, że służby podsłuchują i podglądają nie jest żadną nowiną, nowością jest jednak skala zjawiska. Trzeba jednak pamiętać, że głównym celem działania służb jest identyfikowanie i przeciwdziałanie zagrożeniom poprzez analizę komunikacji i szukanie powiązań między osobami i grupami, a nie inwigilowanie poszczególnych użytkowników.

Co grozi danym przechowywanym w chmurze

Główna zaleta chmury to prosty i szybki dostęp do danych za pomocą przeglądarki oraz przechowywanie ich na serwerach profesjonalnej firmy, co minimalizuje możliwość utraty plików i informacji w przypadku popełnienia błędu lub awarii sprzętu. Oczywiście niesie to ze sobą również pewne ryzyko, podobnie jak korzystanie z bankowości elektronicznej czy dokonywanie zakupów w sieci. Niepowołana osoba może zdobyć login i hasło, a wraz z nimi dostęp plików i informacji. Zagrożeniem mogą być nawet nieuczciwi administratorzy, którzy mają dostęp do danych, ze względu na charakter ich pracy. Każda chmura może być również celem ataku cyberprzestępców. Trzeba też mieć świadomość, że dane są przechowane na serwerach, które mogą być fizycznie zlokalizowane w innym państwie, a kwestie związane z plikami użytkownika są regulowane przez prawo kraju, gdzie znajduje się dane urządzenie. Jednak czy te zagrożenia są na tyle realne, aby rezygnować z udogodnień, jakie niesie ze sobą chmura? Sprawdźmy.

Przewaga chmur nad dyskiem lokalnym

Generalnie przechowywanie danych w chmurze jest bezpieczniejsze niż na dysku komputera, ponieważ zapobiega ich utracie w przypadku awarii sprzętu, błędu człowieka, działania wirusów lub zgubienia/kradzieży np. laptopa. Przypadki te stanowią  najczęstsze przyczyny utraty danych, także w firmach. Nic takiego nie może się wydarzyć w przypadku wdrożenia rozwiązań chmurowych, kiedy dane przechowywane są w wyspecjalizowanych centrach danych, które dysponują odpowiednią infrastrukturą i zatrudniają najlepszych specjalistów do jej obsługi. Jednym z podstawowych zabezpieczeń jest tworzenie automatycznie kopii zapasowych na różnych urządzeniach, aby zminimalizować ryzyko bezpowrotnej utraty danych. Ponadto, centra bazodanowe są zabezpieczane fizycznie i technologicznie. Budynki te często posiadają tajną lokalizację, chroniną sztabami ochroniarzy i wysokimi murami. Wstęp do nich mogą mieć tylko osoby spełniające restrykcyjne warunki i posiadadające odpowiednie uprawnienia. Dodatkowo centra bazodanowe wyposażone są w różnego rodzaju rozwiązania zabezpieczające, np. skanery biometryczne (skanowane są już nie tylko linie papilarne, ale i gałka oczka osoby chcącej uzyskać wstęp). To jednak nie wszystko. Centra danych są również doskonale chronione przed ewentualnym atakiem hakerów i wirusami. Efekt skali, ale także i wieloletnie doświadczenie i najlepsi fachowcy pozwalają na zastosowanie takich zabezpieczeń, na które nie może pozwolić sobie żadna firma posiadająca własną serwerownię, nie wspominając o prywatnych komputerach chronionych najczęściej tylko podstawową wersją programu antywirusowego.

Zabezpieczenia przed niepowołanym dostępem

Dostawcy rozwiązań z zakresu Cloud Computingu wdrażają liczne rozwiązania, które minimalizują możliwość zdobycia dostępu do danych przez osoby nieupoważnione.  Proponują użytkownikom takie zabezpieczenia jak dwuetapowe logowanie wymagające podania dodatkowego jednorazowego hasła np. wysyłanego SMS-em, co ma na celu zmniejszenie ryzyka niepowołanego dostępu do danych. Stosowane jest również szyfrowanie przesyłu danych, podobne jak w przypadku bankowości elektronicznej. Coraz częściej dostawcy usług oferują szyfrowanie danych 'jeszcze przed przesłaniem ich do chmury, aby nawet w przypadku uzyskania do nich dostępu nie było możliwe ich odczytanie bez odpowiedniego klucza. Istotnym elementem bezpieczeństwa jest w tym przypadku zarówno dobór odpowiednich zabezpieczeń jak i odpowiedzialność samych użytkowników.

Aspekty prawne Cloud Computingu

Niektórzy przedsiębiorcy wstrzymują się z wprowadzeniem Cloud Computingu do firmy w obawie o kwestie prawne, choć korzyści z zastosowania chmur przewyższają znacznie wynikające z nich zagrożenia. Tymczasem właściwa umowa podpisana z dostawcą usług zapewnia formalną ochronę danych przetwarzanych w chmurze. W takiej umowie powinny być zamieszczone dokładne informacje, co dzieje się z danymi, kto będzie miał z do nich dostęp, co się z nimi stanie w razie awarii itp. Decydując się na zewnętrzne usługi serwerowe, można wybrać dostawcę, który zapewnia lokalizację urządzeń w Polsce lub uni Europejskiej, aby przechowywane dane były w pełni chronione zgodnie z przepisami polskiego i europejskiego prawa.

Natomiast firmy, które zamierzają przenieść swoje dane do centrów danych zlokalizowanych w USA, mogą sprawdzić czy usługodawca przeszedł pozytywnie program Safe Harbour (narzucony przez GIODO), który zapewnia odpowiedni poziom ochrony danych osobowych, o którym mowa w unijnej dyrektywie 95/46/WE. W przypadku każdego dostawcy warto również dowiedzieć się, czy posiada on certyfikaty lub potwierdzenia zgodności z normami czy ustawami, które powinni posiadać dostawcy usług w chmurze w UE i USA takie jak np. ISO/IEC 27001 czy ANSi/TIA-942.

Różne rodzaje chmur

Większość obaw o bezpieczeństwo danych dotyczy chmur publicznych, podczas gdy chmury prywatne i hybrydowe pozwalają na zachowanie pełnej kontroli nad danymi przy jednoczesnym wykorzystaniu zalet, które oferują użytkownikom tego rodzaju rozwiązania. Z tych powodów chmury prywatne i mieszane cieszą dużym się zainteresowaniem klientów instytucjonalnych oraz biznesowych, gdzie co dzień operuje się danymi poufnymi i wrażliwymi.

Podsumowanie

Już teraz wiadomo, że przyszłość należy do chmur, dlatego należy przypuszczać, że szybki rozwój tego typu rozwiązań pociągnie za sobą także dalszą poprawę zabezpieczeń przed różnymi zagrożeniami. Niedługo po aferze Snowdena pojawiły się głosy, że Google planuje wprowadzić dodatkowe szyfrowanie danych w chmurze, aby, jeśli nie zapobiec, to na pewno utrudnić inwigilację. O podobnych rozwiązaniach zaczęli mówić również głośno niemieccy operatorzy jak Deutsche Telekom w stosunku do poczty e-mail. Firmy i instytucje publiczne będą zapewne nadal skłaniać się ku chmurom prywatnym i hybrydowym, ale użytkownicy prywatni i mniejsi klienci biznesowi będą spokojniejsi o bezpieczeństwo swoich danych przechowywanych w chmurze publicznej.

Dog