Dáta v cloude. Aká je obranná línia proti hrozbám?

Používaním cloudových služieb môžete ako firma rýchlejšie poskytovať svoje produkty, optimalizovať výkonnosť dát a zlepšiť spoľahlivosť služieb. Budúcnosť je v ich správnej správe a IT bezpečnosti.

Pred storočím bola najcennejšou komoditou ropa. V ére digitálnej transformácie ju však bezpochyby nahradili dáta – vďaka nevyčerpateľným spôsobom ich využitia a potenciálu výrazne ovplyvniť celú spoločnosť. „Firmy, ktoré majú kontrolu nad svojimi dátami, majú podstatnú výhodu pred konkurenciou a rovnako ako ropní baróni pred sto rokmi sa môžu stať svetovými lídrami,“ prezrádza pre Zisk manažment prezrádza pre Zisk manažment Rashi Mittal, riaditeľka produktového manažmentu softvérovej spoločnosti SAP, dodávateľa podnikových informačných systémov.

Udrží cloud dáta v bezpečí?

Medzi ropou a dátami je podľa jej slov však jeden veľký rozdiel: ukradnúť čierne zlato nebolo nikdy také jednoduché, ako je dnes ukradnúť dáta. „Aj preto šéfovia IT oddelení, informačnej bezpečnosti a ochrany dát (CIO, CISO, DPO) a iní technologickí lídri priznávajú, že ochrana dát a ich bezpečnosť ich znepokojujú – najmä ak svoje dáta presúvajú do cloudu,“ dodáva Rashi Mittal.

Čísla to potvrdzujú, pričom analytická spoločnosť Gartner očakáva, že globálne výdavky na bezpečnosť tento rok prekročia 124 miliárd dolárov. Ako podotýka Ondrej Macko, šéfredaktor projektu TouchIT, IT firmy riešia najčastejšie to, či ukladať dáta v cloude alebo na vlastných serveroch. „Tiež je podstatné, aký cloud si vybrať a u koho. Slovenský trh pre poskytovateľov cloudových riešení je zaujímavý hlavne cenou.“

Informácie predstavujú moc a s veľkou mocou prichádza veľká zodpovednosť. „Významnou súčasťou tejto zodpovednosti je povinnosť ochrániť ich a zabrániť únikom. Firma, ktorá presúva svoje dáta do cloudu, sa zodpovednosti za ich ochranu nemôže vyhnúť. Naopak, podľa modelu zdieľanej zodpovednosti sú firmy za ochranu svojich dát stále plne zodpovedné i v cloude,“ konštatuje Rashi Mittal. Zrejmá ďalšia otázka firiem, samozrejme, znie: ako správne dáta ochrániť? Existuje vôbec dokonalá obrana pred kyberzločincami a kybernetickými útokmi? Nanešťastie odpoveď je záporná.

Ukladanie dát ovplyvní budúcnosť firmy

Aj aktuálne dáta z nedávneho prieskumu spoločnosti Kaspersky Lab ukazujú, že 73 % podnikov má už aspoň jednu aplikáciu alebo časť svojej počítačovej infraštruktúry v cloude. To však zrejme nestačí – IT oddelenia cítia tlak prejsť na cloud úplne. V prieskume, v ktorom sa zúčastnilo viac ako 250 vedúcich pracovníkov z oblasti IT bezpečnosti, spoločnosť Kaspersky Lab zistila, že pre viac ako polovicu (58 %) vedúcich pracovníkov v oblasti IT je nekontrolovaný rozmach cloudu tou najväčšou bezpečnostnou obavou.

Čo na to hovorí IT odborník Ondrej Macko? „Cloud je jednoznačne riešením budúcnosti a nie je prekvapivé, že firmy ho používajú. Veľkým rizikom však je, pokiaľ používajú verejný cloud zdarma. Ak to má byť vhodné bezpečné riešenie, musí za tým stáť dôveryhodný poskytovateľ, ktorý vie zabezpečiť ochranu dát (fyzickú, ale aj na úrovni infraštruktúry).“

Posledná obranná línia – šifrovanie

Hoci sú správa identít, firewally a riadenie prístupu podľa slov Rashi Mittal kľúčové, jedným z najdôležitejších krokov je šifrovanie. To je aj „poslednou obrannou líniou“ proti kybernetickým hrozbám. Čo si vlastne pod tým predstaviť? „Najjednoduchšie vysvetlenie je, že šifrovanie je proces ochrany dát s použitím ‚tajného kódu‘, ktorý znemožní ich čítanie. Sú tak prístupné len ľuďom, ktorí majú autorizovaný kľúč. Inými slovami, šifrovanie bráni ľuďom vidieť to, čo vidieť nemajú. Dokonca ak už aj niekto správy zachytí, zašifrované dáta pre neho nemajú bez kľúča alebo hesla zmysel. Hoci šifrovanie nechráni pred všetkými kybernetickými útokmi, táto technológia krádež výrazne komplikuje,“ konštatuje odborníčka zo SAP.

Šifrovanie však chráni nielen dáta, chráni aj povesť a pomáha vyhnúť sa veľkým pokutám. Viaceré zákony, vyžadujúce nahlasovanie únikov, majú často výnimky pre prípady, ak boli odcudzené údaje zašifrované – v tom prípade sú totiž pre neautorizovaného čitateľa bezcenné.

Pre lepšiu ochranu (nielen) citlivých a hodnotných údajov v pokoji možno podľa slov Rashi Mittal súbory zašifrovať buď už pred ich presunom do úložiska, alebo sa dá zašifrovať samotný úložný disk. „Okrem šifrovania dát treba zadefinovať aj vhodnú stratégiu správy kľúčov. To, či k nim má prístup len firma, poskytovateľ cloudu alebo tretia strana, môže mať významné dôsledky pre celkový stav bezpečnosti.“

Aké dáta kódovať? Poraďte sa s expertmi

Šifrovanie jednoducho pomáha zabrániť únikom informácií. „Bez šifrovania sa dáta dajú odchytiť počas cesty medzi podnikom a cloudovým úložiskom. Šifrovať je nevyhnutné akékoľvek citlivé dáta, ako sú napríklad údaje o klientoch, ich adresách, kontaktoch a podobne. Najdôležitejšie sú potom čísla kreditných kariet a heslá. Bez ich zodpovedného šifrovania je to veľký hazard,“ spresňuje pre Zisk manažment Ondrej Macko.

Pri cloudových riešeniach treba podľa odporúčaní Rashi Mittal dáta chrániť v dvoch stavoch: v pohybe (počas presunu) a v pokoji (v úložisku). „Tie v pohybe sa aktívne presúvajú z jedného umiestnenia do druhého, napríklad cez internet alebo z on-premise úložiska do cloudu.“ Nedávna štúdia spoločnosti Skyhigh naznačuje, že informácie presúvajúce sa medzi používateľom a cloudovou službou šifruje 81,8 percenta poskytovateľov cloudových služieb. To znamená, že výrazný objem dát stále zostáva bez adekvátnej ochrany. Ak patria do tejto nechránenej kategórie, firmy by mali okamžite hľadať riešenie tohto problému.

„Dáta v pokoji sú údaje zbierané a uchovávané na jednom mieste: sú to databázy, súbory, úložná infraštruktúra a podobne. Len 9,4 percenta poskytovateľov cloudových služieb šifruje dáta, ktoré sú už uložené v cloude. Firmy, ktoré nad ich šifrovaním v cloudovom úložisku doteraz neuvažovali, by sa nad ním mali zamyslieť. Hrozbou totiž nemusia byť len útočníci zvonka. Nebezpečenstvo môže prísť napríklad i zo strany nespokojného interného zamestnanca,“ spresňuje Rashi Mittal.

Vyhnite sa zbytočným chybám v praxi

Ak podnikáte alebo pracujete ako manažér, vedzte, že nekontrolovaný rozmach cloudu vo vašom podniku môže byť vás bezpečnostným rizikom. Akým chybám sa teda oplatí vyhnúť? Ondrej Macko radí dobre zvážiť výber cloudového poskytovateľa. „Toto musí byť najzodpovednejšie rozhodnutie. Osobne si myslím, že treba reálne vyskúšať viac riešení, až potom si z nich vybrať. A nebáť sa s dátami migrovať aj do inej krajiny, určite však v rámci Európskej únie,“ spresňuje IT odborník.

Zahraničného dodávateľa odporúča zvoliť vtedy, keď je iná krajina na tom lepšie zo stránky spoľahlivosti a ceny. Cloudové riešenia však nemusia byť za každých okolností vhodné pre všetky typy spoločností. „Nie je to nutné napríklad vtedy, ak samotná firma má dobré riešenia na ukladanie dát. Napríklad telekomunikační operátori majú vlastné dátové centrá, u nich by to nemalo zmysel. Rovnako vtedy, ak je objem dát relatívne malý, prípadne firma má menej ako 10 zamestnancov.“ Alternatívou je tzv. NAS – network attached storage. To sú v podstate cloudy vo vlastnej réžii a dnes aj veľmi spoľahlivé. Dáta sú pritom dostupné aj zvonka.

Kybernetické hrozby ohrozujú váš biznis

Kybernetický priestor sa stal novým prostredím, v ktorom sa stretávajú IT systémy s útočníkmi bez hraníc či pravidiel. S rastúcim množstvom i sofistikovanosťou útokov sa táto téma stáva jedným z kľúčových bodov v agende predstavenstiev a top manažmentu. „Každú minútu firmy čelia miliónom kybernetických hrozieb. Každú minútu sú bližšie k prelomeniu ochrany, ktoré môže navždy zničiť ich povesť alebo ich pripraviť o ten najcennejší zdroj, ktorý v digitálnej ekonomike majú. Pochopenie šifrovania a jeho dôležitosti ako poslednej obrannej línie, ako aj služieb na správu kľúčov firmy posunie na ceste k zabráneniu únikov dát a neautorizovaných prístupov k údajom,“ uzatvára Rashi Mittal.

Článok je krátený pre účely webu. Celý ho nájdete v časopise Zisk manažment.