Odvrácena strana cloudu: data v rukou třetích stran

Informace dnes mají cenu zlata. Podle toho by se s nimi také mělo nakládat. V době rozkvětu cloudových služeb je proto na místě otázka: jsou data v cloudu opravdu v bezpečí?

Cloud computing je časem prověřená technologie a aby ne, když se její koncept zrodil již před více než 50 lety! Ač lze cloud computing charakterizovat za pomoci hned několika definic, pro účel našeho článku postačí následující: Cloud computing je sdílení výpočetních prostředků (hardware) a aplikací (software) pomocí sítě (internetu). Do roku 2013 má být přitom dle analytiků nahrazena cloudem celá třetina objemu globálních IT služeb.

Cílovou skupinou cloudu přitom v podstatě všichni: jednotlivci využívající freemailu (cloud používají často nevědomky), malé a středně velké firmy bez vlastní IT divize (v takových subjektech mnohdy figuruje jediný administrátor), ale také podniky střední velikosti a v neposlední řadě je cloud jako dělaný pro státní správu.

Klepněte pro větší obrázek
Cloud z druhé strany.

V praxi tedy máme například poskytovatele cloudu, který vám pronajme výpočetní výkon a poskytne úložiště pro vaše aplikace a data. Tím pro vás sice, kromě poplatků odváděných tomuto poskytovateli, odpadá spousta režijních nákladů, na druhou stranu však vaše data putují třetí straně. Není divu, že tento přístup u mnohých majitelů firem vzbuzuje obavy.

In-house vs. cloud computing z hlediska zabezpečení

Na první pohled by se mohlo zdát, že in-house (tedy všechny výpočetní zdroje, aplikace a data pod vlastní střechou) z hlediska bezpečnosti jasně vítězí – jako v mnoha jiných situacích, i zde však první pohled velmi klame. Ukažme si to na konkrétním příkladu:

Jste majitelem středně velké firmy, která disponuje vlastní IT divizí a veškeré systémy si zabezpečuje vlastními prostředky a silami. Vynalézavost útočníků stále roste a IT systémy jsou napadány chytřeji, efektivněji a s větší profesionalitou. Ohrožuje vás tak nejen všudypřítomný malware (viry, červy, trojští koně), ale také cílené útoky z vnějšku (např. DDOS určený k paralyzaci vašich systémů) i zevnitř (vlastní zaměstnanci).

 

Tři čtvrtiny případů úniku či ztráty citlivých firemních informací jsou způsobeny zaměstnanci.

 

Možná mávnete rukou a řeknete, že poslední bod se vás netýká, že lidé jsou u vás spokojení a nikdy by záměrně neudělali nic, co by firmě uškodilo. Dle analýzy znaleckého ústavu Apogeo Esteeem je však opak často pravdou: Tři čtvrtiny případů úniku či ztráty citlivých firemních informací jsou způsobeny zaměstnanci dotčených firem, nikoli útokem zvenčí. „Většina úniků dat informací z firem je důsledkem nedbalosti nebo zlovolného jednání zaměstnanců, kteří svým laxním přístupem působí společnostem milionové škody,“ řekl Ivan Janoušek, soudní znalec v oblasti informačních technologií ze znaleckého ústavu Apogeo Esteem.

Úniky dat nejčastěji způsobují zaměstnanci svojí nedbalostí (50 %), ztrátou datových nosičů (13 %) či krádeží (12 %). Teprve pak následují útoky hackerů (14 %). Ve finančním vyjádření je navíc interní krádež dat dle analýz asi desetkrát nákladnější – namísto statisíců jsou v sázce řádově miliony korun. Úniky citlivých informací přitom mohou vést k poškození dobrého jména firmy, ztrátě konkurenčních výhod, ztrátě zákazníků či vést k sankcím za nedodržování uzavřených dohod. „Odhadujeme, že jen v loňském roce se potýkalo s únikem citlivých informací přes 28 procent tuzemských firem,“ dodává Janoušek.

Pro velkou firmu vlastní cloud

Na druhou stranu kvalitní poskytovatelé cloudových služeb nabízejí vždy pokud možno co nejlepší zabezpečení, aktuální software i smluvní garance. K datům tak smí přistupovat jen povolané osoby. Navíc je rozumné přenášet k poskytovateli již šifrovaná data. Poskytovatelé cloudových služeb neustále monitorují aktuální bezpečnostní hrozby a snaží se anticipovat další. To dává smysl: jediný únik dat by je totiž mohl navždy zruinovat, protože pro firmu podnikající v tak citlivé sféře je pověst klíčová a rozhoduje o jejím bytí a nebytí.

To, zda svěřit veškeré informace cloudu závisí na mnoha faktorech. Jedním ze základních proměnných je však samotná velikost společnosti. Malé a středně velké firmy (SMB) pravděpodobně nedisponují nejkvalitnějším zabezpečením a regulovaným prostředím, takže je pro ně úplná migrace do veřejného cloudu vysoce lákavou alternativou.

Oproti tomu velké podniky často mají robustní regulované IT infrastruktury a tak mohou využívat privátního cloudu (ať už vlastněného třetí stranou nebo in-house) v kombinaci se zachováním určitých kritických dat na jejich standardní infrastruktuře. Otázka cloudu má však kromě bezpečnosti dat ještě jeden rozměr – legislativní, týkající se ochrany osobních údajů.

Patriot Act – osobní údaje k nahlédnutí?

Nejprve se v rámci klarifikace podívejme na rozdíl mezi bezpečností dat a ochranou osobních údajů. Bezpečnost dat zahrnuje ochranu hardware, software a dat všeho druhu před poškozením, falšováním, vyzvídáním, odcizením a zničením. Ochrana osobních údajů oproti tomu značí ochranu jednotlivce před zneužitím dat vztahujících se k ní samotné či ke skupině osob (sem spadají například zákaznická, osobní, dodavatelská či smluvní data).

Klepněte pro větší obrázek
Mít či nemít svůj cloud.

Zásadní rozdíl je mezi pohlížením na soukromí jednotlivce v rámci EU a ve Spojených státech. Zatímco v Evropské unii jsou úřady povinny zajistit ochranu osobních dat a jejich zpracování je povoleno jen se souhlasem dotyčného jedince, v USA právo na soukromou sféru uznává jen minimum států (např. Kalifornie), na nějaký rozsáhlejší dohled na ochranu osobních údajů pak zapomeňte. V EU je stanovena směrnice o ochraně osobních údajů 95/46/ES, která stanovuje minimální standardy pro členské státy. Ta určuje, že předávání osobních dat do třetích zemí je povoleno pouze v případě, že daný stát zaručí „přiměřenou úroveň ochrany“. A protože Spojené státy nedisponují standardem ochrany osobních údajů, který by podle EU zaručoval onu „přiměřenou“ úroveň ochrany, nesmí se tato data automaticky předávat do USA. Z legislativního hlediska jsou tak vaše data umístěná na úložišti evropského, potažmo českého poskytovatele cloudu v bezpečí.

V České republice je dbáno na dodržování práva na ochranu soukromí, což je stanoveno Zákonem o ochraně osobních údajů (ZOOÚ) doplněném o Zákon o elektronických komunikacích (ZEK). U amerických firem je pak situace o něco komplikovanější. Důvodem je přitom zákon Patriot Act, který zavazuje americké firmy k předávání informací o zákaznících FBI a dalším federálním úřadům (pod záštitou boje proti terorismu a další trestné činnosti).

Americké firmy jsou za určitých okolností povinny předat informace o svých zákaznících, i když tito zákazníci mají sídlo mimo USA. Výjimkou jsou firmy, které se zaváží k dodržování principů SHP (Safe Harbor Principles), čímž dávají souhlas k dodržování standardů odpovídajících evropským standardům ochrany osobních údajů. Problém u většiny firem z USA je však převedení tohoto závazku do praxe.

Problém takového úniku dat se však týká také odvětví, kde je ochrana osobních údajů naprosto kritická. Hovoříme zde kupříkladu o bankovnictví, pojišťovnictví a dalších. A asi jen málokdo z nás by chtěl, aby jeho bankovní výpisy a další důvěrnosti byly v podstatě věcí veřejnou…

Autor je Senior Presales Consultant ve společnosti T-Systems Czech Republic a.s.

Diskuze (12) Další článek: Zajímavost: podívejte se na úžasný koncept budoucí formy tabletů

Témata článku: Cloud, Bezpečnost, Velká bezpečnost, Samotný hardware, Jediný rozdíl, Ochrana osobních údajů, Osobní údaj, Třetí firma, Kritická situace, Stráň, Clo, SHP, Zneužití dat, Únik, House, Evropská úroveň, Soudní ochrana, Třetí úroveň, Ochrana, Střední velikost, Třetí strana, Laxní přístup, Str, Cloud Computing, Výpočetní hardware



Recenze hry SpongeBob SquarePants: Cosmic Shake. Zábavný chaos pro fanoušky houby v kalhotách

Recenze hry SpongeBob SquarePants: Cosmic Shake. Zábavný chaos pro fanoušky houby v kalhotách

Hrdina animovaného seriálu (ale i filmů a her) se vrací na naše monitory a obrazovky, aby opět rozvířil poklidné dny v podmořském městečku Bikini Bottom. Máte být u toho?

Jindřich Landa
Spongebob Squarepants: Cosmic ShakeRecenze
Bude to o prsa. Facebook a Instagram pořád neví, kdy jsou zobrazené bradavky porno

Bude to o prsa. Facebook a Instagram pořád neví, kdy jsou zobrazené bradavky porno

**Meta má zjednodušit pravidla a být ke všem spravedlivá **Facebook s Instagram věnují samostatný odstavec bradavkám **Pravidla ale neřeší nebinární, transsexuální a intersexuální osoby

Petr Urban
InstagramFacebookSociální sítě
Z Androidů se jednoduše stane webkamera. Nebudete k tomu potřebovat žádnou aplikací navíc

Z Androidů se jednoduše stane webkamera. Nebudete k tomu potřebovat žádnou aplikací navíc

** Google v Androidu 14 přidá funkci, se kterou přišel jako první Apple ** Androidy využijete jako webkameru k počítači ** Nebudete k tomu potřebovat žádnou externí aplikaci navíc

Martin Chroust
Android 14Záznamová kamera
Spousta řidičů v Česku riskuje pokutu kvůli umístění držáku mobilního telefonu. Zákon hovoří jasně

Spousta řidičů v Česku riskuje pokutu kvůli umístění držáku mobilního telefonu. Zákon hovoří jasně

** Kam s telefonem v autě, které nemá palubní počítač? ** Variant držáků je celá řada, ale každý má svá specifika ** Není možné jej umístit, kam se vám zlíbí

AutoRevue.cz
LegislativaPro řidičePříslušenství
Google není jen vyhledávač: 15 užitečných funkcí, o kterých možná ani nevíte

Google není jen vyhledávač: 15 užitečných funkcí, o kterých možná ani nevíte

** Google umí kromě vyhledávání i spoustu dalších věcí ** Vybrali jsme více než 15 užitečných funkcí a schopností ** Stačí zadat do vyhledávače ta správná klíčová slova

Karel Kilián
TipyVyhledávačeGoogle
Návod, jak dostat maximum z Peněženky Google

Návod, jak dostat maximum z Peněženky Google

Služba Google Wallet (Peněženka Google) schlamstla před několika měsíci platební aplikaci Google Pay. Díky tomu se původní platforma rozrostla o další funkce. Je zde však i prostor pro zlepšení.

Jan Spěšný
15 praktických tipů a triků pro Mapy.cz, které možná neznáte

15 praktických tipů a triků pro Mapy.cz, které možná neznáte

** Mapy.cz neslouží jen k zobrazení podkladů a plánování tras ** Nabízejí celou řadu dalších praktických funkcí a možností ** Vybrali jsme 15 tipů a triků, o kterých možná nevíte

Karel Kilián
Mapy.czMapyTipy
Za WhatsApp se bude platit! Za předplatné dostanete funkci, která je u konkurence zadarmo

Za WhatsApp se bude platit! Za předplatné dostanete funkci, která je u konkurence zadarmo

** Bylo to jen otázkou času ** Už i WhatsApp nabízí prémiové předplatné ** Za poplatek dostanete funkci, která je u konkurence zadarmo

Martin Chroust
předplatnéWhatsAppMobilní aplikace
iPhone 14 Plus je propadák, Apple omezil jeho výrobu a dodávky displejů. Byl by rád, kdyby se na něj zapomnělo

iPhone 14 Plus je propadák, Apple omezil jeho výrobu a dodávky displejů. Byl by rád, kdyby se na něj zapomnělo

** Apple již dříve omezil výrobu iPhonu 14 Plus ** Dva měsíce nebyly pro telefon dodány žádné displeje ** Jedná se o model, na který by Apple nejraději zapomněl...

Martin Chroust
DisplejeiPhone
5 nejlevnějších mobilů z AliExpressu, s nimiž se nenapálíte. Modely bez loga nebrat

5 nejlevnějších mobilů z AliExpressu, s nimiž se nenapálíte. Modely bez loga nebrat

** Koupit levný telefon z Číny jde, musíte však dobře vybírat ** Při duplicitách platí vždy horší položka ve specifikacích ** Ukážeme si vybrané telefony „z Ali“, které mají smysl

Martin Chroust
AliExpressNižší třídaČínaNákup a ceny
Vědci zkoumali přesnost měření stavby těla u hodinek od Samsungu. Výsledky všechny překvapily

Vědci zkoumali přesnost měření stavby těla u hodinek od Samsungu. Výsledky všechny překvapily

** Chytré hodinky běžně bereme jako informativní měřidla ** Jak si však stojí ve srovnání s profesionálními měřiči ** Při měření stavby těla se na hodinky můžete spolehnout

Martin Chroust
Galaxy Watch4Měření