Informace dnes mají cenu zlata. Podle toho by se s nimi také mělo nakládat. V době rozkvětu cloudových služeb je proto na místě otázka: jsou data v cloudu opravdu v bezpečí?
Cloud computing je časem prověřená technologie a aby ne, když se její koncept zrodil již před více než 50 lety! Ač lze cloud computing charakterizovat za pomoci hned několika definic, pro účel našeho článku postačí následující: Cloud computing je sdílení výpočetních prostředků (hardware) a aplikací (software) pomocí sítě (internetu). Do roku 2013 má být přitom dle analytiků nahrazena cloudem celá třetina objemu globálních IT služeb.
Cílovou skupinou cloudu přitom v podstatě všichni: jednotlivci využívající freemailu (cloud používají často nevědomky), malé a středně velké firmy bez vlastní IT divize (v takových subjektech mnohdy figuruje jediný administrátor), ale také podniky střední velikosti a v neposlední řadě je cloud jako dělaný pro státní správu.
Cloud z druhé strany.
V praxi tedy máme například poskytovatele cloudu, který vám pronajme výpočetní výkon a poskytne úložiště pro vaše aplikace a data. Tím pro vás sice, kromě poplatků odváděných tomuto poskytovateli, odpadá spousta režijních nákladů, na druhou stranu však vaše data putují třetí straně. Není divu, že tento přístup u mnohých majitelů firem vzbuzuje obavy.
In-house vs. cloud computing z hlediska zabezpečení
Na první pohled by se mohlo zdát, že in-house (tedy všechny výpočetní zdroje, aplikace a data pod vlastní střechou) z hlediska bezpečnosti jasně vítězí – jako v mnoha jiných situacích, i zde však první pohled velmi klame. Ukažme si to na konkrétním příkladu:
Jste majitelem středně velké firmy, která disponuje vlastní IT divizí a veškeré systémy si zabezpečuje vlastními prostředky a silami. Vynalézavost útočníků stále roste a IT systémy jsou napadány chytřeji, efektivněji a s větší profesionalitou. Ohrožuje vás tak nejen všudypřítomný malware (viry, červy, trojští koně), ale také cílené útoky z vnějšku (např. DDOS určený k paralyzaci vašich systémů) i zevnitř (vlastní zaměstnanci).
Tři čtvrtiny případů úniku či ztráty citlivých firemních informací jsou způsobeny zaměstnanci.
Možná mávnete rukou a řeknete, že poslední bod se vás netýká, že lidé jsou u vás spokojení a nikdy by záměrně neudělali nic, co by firmě uškodilo. Dle analýzy znaleckého ústavu Apogeo Esteeem je však opak často pravdou: Tři čtvrtiny případů úniku či ztráty citlivých firemních informací jsou způsobeny zaměstnanci dotčených firem, nikoli útokem zvenčí. „Většina úniků dat informací z firem je důsledkem nedbalosti nebo zlovolného jednání zaměstnanců, kteří svým laxním přístupem působí společnostem milionové škody,“ řekl Ivan Janoušek, soudní znalec v oblasti informačních technologií ze znaleckého ústavu Apogeo Esteem.
Úniky dat nejčastěji způsobují zaměstnanci svojí nedbalostí (50 %), ztrátou datových nosičů (13 %) či krádeží (12 %). Teprve pak následují útoky hackerů (14 %). Ve finančním vyjádření je navíc interní krádež dat dle analýz asi desetkrát nákladnější – namísto statisíců jsou v sázce řádově miliony korun. Úniky citlivých informací přitom mohou vést k poškození dobrého jména firmy, ztrátě konkurenčních výhod, ztrátě zákazníků či vést k sankcím za nedodržování uzavřených dohod. „Odhadujeme, že jen v loňském roce se potýkalo s únikem citlivých informací přes 28 procent tuzemských firem,“ dodává Janoušek.
Pro velkou firmu vlastní cloud
Na druhou stranu kvalitní poskytovatelé cloudových služeb nabízejí vždy pokud možno co nejlepší zabezpečení, aktuální software i smluvní garance. K datům tak smí přistupovat jen povolané osoby. Navíc je rozumné přenášet k poskytovateli již šifrovaná data. Poskytovatelé cloudových služeb neustále monitorují aktuální bezpečnostní hrozby a snaží se anticipovat další. To dává smysl: jediný únik dat by je totiž mohl navždy zruinovat, protože pro firmu podnikající v tak citlivé sféře je pověst klíčová a rozhoduje o jejím bytí a nebytí.
To, zda svěřit veškeré informace cloudu závisí na mnoha faktorech. Jedním ze základních proměnných je však samotná velikost společnosti. Malé a středně velké firmy (SMB) pravděpodobně nedisponují nejkvalitnějším zabezpečením a regulovaným prostředím, takže je pro ně úplná migrace do veřejného cloudu vysoce lákavou alternativou.
Oproti tomu velké podniky často mají robustní regulované IT infrastruktury a tak mohou využívat privátního cloudu (ať už vlastněného třetí stranou nebo in-house) v kombinaci se zachováním určitých kritických dat na jejich standardní infrastruktuře. Otázka cloudu má však kromě bezpečnosti dat ještě jeden rozměr – legislativní, týkající se ochrany osobních údajů.
Patriot Act – osobní údaje k nahlédnutí?
Nejprve se v rámci klarifikace podívejme na rozdíl mezi bezpečností dat a ochranou osobních údajů. Bezpečnost dat zahrnuje ochranu hardware, software a dat všeho druhu před poškozením, falšováním, vyzvídáním, odcizením a zničením. Ochrana osobních údajů oproti tomu značí ochranu jednotlivce před zneužitím dat vztahujících se k ní samotné či ke skupině osob (sem spadají například zákaznická, osobní, dodavatelská či smluvní data).
Mít či nemít svůj cloud.
Zásadní rozdíl je mezi pohlížením na soukromí jednotlivce v rámci EU a ve Spojených státech. Zatímco v Evropské unii jsou úřady povinny zajistit ochranu osobních dat a jejich zpracování je povoleno jen se souhlasem dotyčného jedince, v USA právo na soukromou sféru uznává jen minimum států (např. Kalifornie), na nějaký rozsáhlejší dohled na ochranu osobních údajů pak zapomeňte. V EU je stanovena směrnice o ochraně osobních údajů 95/46/ES, která stanovuje minimální standardy pro členské státy. Ta určuje, že předávání osobních dat do třetích zemí je povoleno pouze v případě, že daný stát zaručí „přiměřenou úroveň ochrany“. A protože Spojené státy nedisponují standardem ochrany osobních údajů, který by podle EU zaručoval onu „přiměřenou“ úroveň ochrany, nesmí se tato data automaticky předávat do USA. Z legislativního hlediska jsou tak vaše data umístěná na úložišti evropského, potažmo českého poskytovatele cloudu v bezpečí.
V České republice je dbáno na dodržování práva na ochranu soukromí, což je stanoveno Zákonem o ochraně osobních údajů (ZOOÚ) doplněném o Zákon o elektronických komunikacích (ZEK). U amerických firem je pak situace o něco komplikovanější. Důvodem je přitom zákon Patriot Act, který zavazuje americké firmy k předávání informací o zákaznících FBI a dalším federálním úřadům (pod záštitou boje proti terorismu a další trestné činnosti).
Americké firmy jsou za určitých okolností povinny předat informace o svých zákaznících, i když tito zákazníci mají sídlo mimo USA. Výjimkou jsou firmy, které se zaváží k dodržování principů SHP (Safe Harbor Principles), čímž dávají souhlas k dodržování standardů odpovídajících evropským standardům ochrany osobních údajů. Problém u většiny firem z USA je však převedení tohoto závazku do praxe.
Problém takového úniku dat se však týká také odvětví, kde je ochrana osobních údajů naprosto kritická. Hovoříme zde kupříkladu o bankovnictví, pojišťovnictví a dalších. A asi jen málokdo z nás by chtěl, aby jeho bankovní výpisy a další důvěrnosti byly v podstatě věcí veřejnou…
Autor je Senior Presales Consultant ve společnosti T-Systems Czech Republic a.s.