Odvrácena strana cloudu: data v rukou třetích stran

Informace dnes mají cenu zlata. Podle toho by se s nimi také mělo nakládat. V době rozkvětu cloudových služeb je proto na místě otázka: jsou data v cloudu opravdu v bezpečí?
Odvrácena strana cloudu: data v rukou třetích stran

Cloud computing je časem prověřená technologie a aby ne, když se její koncept zrodil již před více než 50 lety! Ač lze cloud computing charakterizovat za pomoci hned několika definic, pro účel našeho článku postačí následující: Cloud computing je sdílení výpočetních prostředků (hardware) a aplikací (software) pomocí sítě (internetu). Do roku 2013 má být přitom dle analytiků nahrazena cloudem celá třetina objemu globálních IT služeb.

Cílovou skupinou cloudu přitom v podstatě všichni: jednotlivci využívající freemailu (cloud používají často nevědomky), malé a středně velké firmy bez vlastní IT divize (v takových subjektech mnohdy figuruje jediný administrátor), ale také podniky střední velikosti a v neposlední řadě je cloud jako dělaný pro státní správu.

Klepněte pro větší obrázek
Cloud z druhé strany.

V praxi tedy máme například poskytovatele cloudu, který vám pronajme výpočetní výkon a poskytne úložiště pro vaše aplikace a data. Tím pro vás sice, kromě poplatků odváděných tomuto poskytovateli, odpadá spousta režijních nákladů, na druhou stranu však vaše data putují třetí straně. Není divu, že tento přístup u mnohých majitelů firem vzbuzuje obavy.

In-house vs. cloud computing z hlediska zabezpečení

Na první pohled by se mohlo zdát, že in-house (tedy všechny výpočetní zdroje, aplikace a data pod vlastní střechou) z hlediska bezpečnosti jasně vítězí – jako v mnoha jiných situacích, i zde však první pohled velmi klame. Ukažme si to na konkrétním příkladu:

Jste majitelem středně velké firmy, která disponuje vlastní IT divizí a veškeré systémy si zabezpečuje vlastními prostředky a silami. Vynalézavost útočníků stále roste a IT systémy jsou napadány chytřeji, efektivněji a s větší profesionalitou. Ohrožuje vás tak nejen všudypřítomný malware (viry, červy, trojští koně), ale také cílené útoky z vnějšku (např. DDOS určený k paralyzaci vašich systémů) i zevnitř (vlastní zaměstnanci).

 

Tři čtvrtiny případů úniku či ztráty citlivých firemních informací jsou způsobeny zaměstnanci.

 

Možná mávnete rukou a řeknete, že poslední bod se vás netýká, že lidé jsou u vás spokojení a nikdy by záměrně neudělali nic, co by firmě uškodilo. Dle analýzy znaleckého ústavu Apogeo Esteeem je však opak často pravdou: Tři čtvrtiny případů úniku či ztráty citlivých firemních informací jsou způsobeny zaměstnanci dotčených firem, nikoli útokem zvenčí. „Většina úniků dat informací z firem je důsledkem nedbalosti nebo zlovolného jednání zaměstnanců, kteří svým laxním přístupem působí společnostem milionové škody,“ řekl Ivan Janoušek, soudní znalec v oblasti informačních technologií ze znaleckého ústavu Apogeo Esteem.

Úniky dat nejčastěji způsobují zaměstnanci svojí nedbalostí (50 %), ztrátou datových nosičů (13 %) či krádeží (12 %). Teprve pak následují útoky hackerů (14 %). Ve finančním vyjádření je navíc interní krádež dat dle analýz asi desetkrát nákladnější – namísto statisíců jsou v sázce řádově miliony korun. Úniky citlivých informací přitom mohou vést k poškození dobrého jména firmy, ztrátě konkurenčních výhod, ztrátě zákazníků či vést k sankcím za nedodržování uzavřených dohod. „Odhadujeme, že jen v loňském roce se potýkalo s únikem citlivých informací přes 28 procent tuzemských firem,“ dodává Janoušek.

Pro velkou firmu vlastní cloud

Na druhou stranu kvalitní poskytovatelé cloudových služeb nabízejí vždy pokud možno co nejlepší zabezpečení, aktuální software i smluvní garance. K datům tak smí přistupovat jen povolané osoby. Navíc je rozumné přenášet k poskytovateli již šifrovaná data. Poskytovatelé cloudových služeb neustále monitorují aktuální bezpečnostní hrozby a snaží se anticipovat další. To dává smysl: jediný únik dat by je totiž mohl navždy zruinovat, protože pro firmu podnikající v tak citlivé sféře je pověst klíčová a rozhoduje o jejím bytí a nebytí.

To, zda svěřit veškeré informace cloudu závisí na mnoha faktorech. Jedním ze základních proměnných je však samotná velikost společnosti. Malé a středně velké firmy (SMB) pravděpodobně nedisponují nejkvalitnějším zabezpečením a regulovaným prostředím, takže je pro ně úplná migrace do veřejného cloudu vysoce lákavou alternativou.

Oproti tomu velké podniky často mají robustní regulované IT infrastruktury a tak mohou využívat privátního cloudu (ať už vlastněného třetí stranou nebo in-house) v kombinaci se zachováním určitých kritických dat na jejich standardní infrastruktuře. Otázka cloudu má však kromě bezpečnosti dat ještě jeden rozměr – legislativní, týkající se ochrany osobních údajů.

Patriot Act – osobní údaje k nahlédnutí?

Nejprve se v rámci klarifikace podívejme na rozdíl mezi bezpečností dat a ochranou osobních údajů. Bezpečnost dat zahrnuje ochranu hardware, software a dat všeho druhu před poškozením, falšováním, vyzvídáním, odcizením a zničením. Ochrana osobních údajů oproti tomu značí ochranu jednotlivce před zneužitím dat vztahujících se k ní samotné či ke skupině osob (sem spadají například zákaznická, osobní, dodavatelská či smluvní data).

Klepněte pro větší obrázek
Mít či nemít svůj cloud.

Zásadní rozdíl je mezi pohlížením na soukromí jednotlivce v rámci EU a ve Spojených státech. Zatímco v Evropské unii jsou úřady povinny zajistit ochranu osobních dat a jejich zpracování je povoleno jen se souhlasem dotyčného jedince, v USA právo na soukromou sféru uznává jen minimum států (např. Kalifornie), na nějaký rozsáhlejší dohled na ochranu osobních údajů pak zapomeňte. V EU je stanovena směrnice o ochraně osobních údajů 95/46/ES, která stanovuje minimální standardy pro členské státy. Ta určuje, že předávání osobních dat do třetích zemí je povoleno pouze v případě, že daný stát zaručí „přiměřenou úroveň ochrany“. A protože Spojené státy nedisponují standardem ochrany osobních údajů, který by podle EU zaručoval onu „přiměřenou“ úroveň ochrany, nesmí se tato data automaticky předávat do USA. Z legislativního hlediska jsou tak vaše data umístěná na úložišti evropského, potažmo českého poskytovatele cloudu v bezpečí.

V České republice je dbáno na dodržování práva na ochranu soukromí, což je stanoveno Zákonem o ochraně osobních údajů (ZOOÚ) doplněném o Zákon o elektronických komunikacích (ZEK). U amerických firem je pak situace o něco komplikovanější. Důvodem je přitom zákon Patriot Act, který zavazuje americké firmy k předávání informací o zákaznících FBI a dalším federálním úřadům (pod záštitou boje proti terorismu a další trestné činnosti).

Americké firmy jsou za určitých okolností povinny předat informace o svých zákaznících, i když tito zákazníci mají sídlo mimo USA. Výjimkou jsou firmy, které se zaváží k dodržování principů SHP (Safe Harbor Principles), čímž dávají souhlas k dodržování standardů odpovídajících evropským standardům ochrany osobních údajů. Problém u většiny firem z USA je však převedení tohoto závazku do praxe.

Problém takového úniku dat se však týká také odvětví, kde je ochrana osobních údajů naprosto kritická. Hovoříme zde kupříkladu o bankovnictví, pojišťovnictví a dalších. A asi jen málokdo z nás by chtěl, aby jeho bankovní výpisy a další důvěrnosti byly v podstatě věcí veřejnou…

Autor je Senior Presales Consultant ve společnosti T-Systems Czech Republic a.s.

Diskuze (12) Další článek: Zajímavost: podívejte se na úžasný koncept budoucí formy tabletů

Témata článku: Cloud, Bezpečnost, Cloud Computing, Výpočetní zdroj, Osobní údaj, Jediný rozdíl, House, Výpočetní hardware, Třetí strana, Střední velikost, Třetí úroveň, Třetí firma, Velká bezpečnost, Kritická situace, Únik, Clo, Malé úložiště, Soudní ochrana, Evropská úroveň, Patriot, Samotný hardware, Ochrana


Určitě si přečtěte

Našli jsme 22 schopných internetových prohlížečů: Vyberte si, který vám nejvíc sedne

Našli jsme 22 schopných internetových prohlížečů: Vyberte si, který vám nejvíc sedne

** Není jen Chrome, Firefox, Edge či Opera. Na výběr máte mnohem více! ** Internetové prohlížeče se liší funkcemi, zaměřením i designem. Našli jsme 22 použitelných prohlížečů pro Windows ** Vyberte si prohlížeč, který vám bude nejvíce vyhovovat

Karel Kilián | 30

Google ADT-2: Miniaturní krabička s Android TV 8.0, kterou si nikdy nekoupíte

Google ADT-2: Miniaturní krabička s Android TV 8.0, kterou si nikdy nekoupíte

** Dlouho se nevědělo, co to přesně má být ** Pak se s krabičkou Google pochlubil na I/O ** Do „Chromecastu“ vtěsnal celý Android TV

Jakub Čížek | 17

Šmírovačka kamerami Googlu: Koukněte se, co nového zachytily na Street View

Šmírovačka kamerami Googlu: Koukněte se, co nového zachytily na Street View

Google stále fotí celý svět do své služby Street View. A novodobou zábavou je hledat v mapách Googlu vtipné záběry. Podívejte se na výběr nejlepších!

redakce | 42

Jak dopadl velký den Applu s náloží novinek: Sledujte, co letos připravil

Jak dopadl velký den Applu s náloží novinek: Sledujte, co letos připravil

** Apple večer představil novinky ** Ukáže nové operační systémy, ale čekala se i nová zařízení ** Začíná vývojářská konference Applu WWDC 2018

Karel Javůrek | 86

15 věcí, které umí Windows 10, ale možná o nich vůbec nevíte

15 věcí, které umí Windows 10, ale možná o nich vůbec nevíte

** Systém Windows 10 umí spoustu užitečných drobností ** O mnoha praktických funkcích pravděpodobně ani nevíte ** Poznejte užitečné tipy, které se vám mohou hodit každý den

Vladislav Kluska | 30