Ci co mnie znają osobiście, wiedzą, że nie jestem zwolennikiem rozwiązań chmurowych. Już na samą myśl, że moje dane mogą znajdować się nie wiadomo gdzie przyprawia mnie o ból głowy. Pisząc „nie wiadomo gdzie” mam na myśli to, że chmura, zgodnie ze swoją definicją jest rozwiązaniem opierającym się na centrach danych (farmie serwerów) rozlokowanych na całym świecie. Jeśli padnie jedno centrum to kopie zawsze można pobrać z innego miejsca.
Niewątpliwie jest to rozwiązanie zdobywające coraz większą popularność i trzeba się z nim liczyć. Jeśli zależy ci na szybkim dostępie do danych z dowolnego miejsca na świecie to chmura może być dla ciebie dobrym wyborem. Niestety, jeśli chodzi o bezpieczeństwo IT w biznesie, zawsze chodzi o tą równowagę pomiędzy zachowaniem bezpiecznej infrastruktury informatycznej, odpornej na ataki hackera i wirusy oraz na przyjazną formę użytkowania, zapewniającą komfort pracy i prostotę. Dzisiaj postaram się przytoczyć kilka aspektów bezpieczeństwa, o których powinieneś wiedzieć, wybierając chmurę na przechowalnię swoich plików.
Zagrożenia bezpieczeństwa w rozwiązaniach chmurowych
Na pewno już na początku należy powiedzieć jedno: bezpieczeństwo chmury ewoluuje. I to w tym dobrym kierunku. Firmy starają się pozyskać specjalistów z dużym doświadczeniem, którzy są w stanie opracować i prawidłowo zaimplementować procedury na chyba każdą ewentualność. Co jednak powoduje zagrożenie? Najbardziej technologie webowe takie jak WordPress, Joomla i inne silniki popularnych CMS-ów. Z reguły są to dość rozbudowane projekty nasycone podatnościami, które nie zostały do końca wyeliminowane. Mowa tutaj o dodatkowych modułach takich jak wtyczki i motywy. Sam silnik jest stosunkowo bezpieczny i ma zapewnione podstawowe bezpieczeństwo w postaci aktualizacji. Niestety bardzo często zdarza się, że przedsiębiorcy zbytnio rozbudowują taką stronę internetową i instalują bardzo dużo pluginów co zwiększa jej podatność na ataki. Różni autorzy. Administrowanie taką stroną jest bardziej kłopotliwe. Bardzo często atakowane są również aplikacje PHP oparte na platformie LAMP. Oczywiście to nie wszystkie zagrożenia.
A co jeśli nasze dane są w chmurze a nie mamy do nich dostępu?
Co może być przyczyną? Powodów jest naprawdę bardzo wiele. Podstawowym jest choćby brak dostępu do internetu. Pomiędzy chmurą a twoją firmą jest pośrednik czyli dostawca internetowy. Jeśli usługa będzie zaburzona i twój dostęp do sieci padnie lub zostanie mocno ograniczony, możesz nie być w stanie wykonywać podstawowych czynności biznesowych. Aby skompromitować firmę nie trzeba wcale atakować zasobów centrów danych. Wystarczy zaatakować usługodawcę internetowego i odciąć przedsiębiorstwo od świata cyfrowego. Jeśli dane klientów (lub inne wrażliwe) są na bieżąco pobierane i wysyłane do chmury to w momencie braku internetu firma jest sparaliżowana.
Obustronna odpowiedzialność za standardy bezpieczeństwa
W przypadku backupów konieczna jest weryfikacja poprawności ich tworzenia poprzez sprawdzanie integralności danych oraz wykonywania własnych kopii bezpieczeństwa. Myślenie w kategoriach, że to mój usługodawca chmurowy ma zapewnić moim danym bezpieczeństwo a ja już nie muszę, to duży błąd. Brak procedur bezpieczeństwa w przyszłości odbije się kosztowną czkawką a dział PR będzie miał nie lada wyzwanie aby przekonać klientów, że mają oni zapewnione wysokie standardy obsługi.
Stabilność usługi
Ze wzrostem popularności chmury będzie potrzebne więcej miejsca na dyskach i lokalnie (budynek). Zwiększą się zapotrzebowania sprzętowe, usługowe i programowe. Jeśli dana firma świadcząca usługi chmurowe nie będzie systematycznie powiększała swojej infrastruktury, to może się to skończyć spowolnieniem działania lub wręcz blokadą.
Obrona
Jak się bronić? Na początku należy korzystać z białych list a aplikacje powinny być stale poddawane ocenie pod względem ryzyka w stosunku do przydatności w biznesie. Pamiętaj, że jest tylko garstka aplikacji, których zastąpienie wiązałoby się ze sporym problemem. W pozostałych przypadkach, jeśli aplikacja stwarza duże ryzyko dla całego systemu, należy poszukać bardziej dopracowanego zamiennika. Ewentualnie można korzystać z usług innych firm, które mogą nas wyręczyć w podstawowych czynnościach takich jak wysyłanie mailingów, newsletterów, kampanii promocyjnych itp.
Kolejnym aspektem są poprawki, szczególnie te dotyczące bezpieczeństwa. Wysoka ważność aktualizacji jest podstawą bezpieczeństwa każdego systemu i nie może być zaniedbywana. Konieczne jest wdrożenie odpowiednich reguł, które zapewnią podział na użytkowników, którzy mają podstawowy dostęp i tych o uprawnieniach administratorskich. Nadal człowiek jest najsłabszym ogniwem w systemie. Szczególnie ten niewykształcony w dziedzinie informatyzacji.
Na pewno niemałym kłopotem będzie dla firm RODO. Te które chcą przenieść dane wrażliwe swoich klientów (dane osobowe) do chmury będą w dużej mierze uzależnione od zewnętrznego usługodawcy, który będzie musiał zapewnić odpowiedni poziom bezpieczeństwa. A chmura nie jest jednostkowym serwerem. Jeśli będą tam wrzucane ważne informację – finansowe, strategiczne, dane osobowe klientów i pracowników, raporty dotyczące kluczowych zagadnień firmy (będą w backupach) – to na pewno taka chmura będzie atakowana a ataki te będą ukierunkowane na konkretny cel. Skupienie wszystkiego w jednym miejscu nie jest dobrym pomysłem. Jest to tylko i wyłącznie moje zdanie, ty możesz mieć odmienne. Jednak ja nie trzymałbym wszystkich pieniędzy na koncie.
Mamy tutaj paradoks bowiem próbując zabezpieczyć system czynimy go bardziej złożonym. Ale im wyższy poziom złożoności, tym trudniej o bezpieczeństwo. Wniosek z tego nasuwa się jeden. Systemy bezpieczeństwa, które muszą zostać wdrożone aby móc utrzymać odpowiednio wysoki poziom bezpieczeństwa informatycznego chmury, same w sobie stanowią zagrożenie. Dlatego właśnie najważniejszym czynnikiem w procesie zapewnienia bezpieczeństwa jest człowiek (administrator).