7 pytań o bezpieczeństwo chmury

 

Chmura obliczeniowa w biznesie nie jest już nowym tematem. Coraz więcej polskich firm zaczyna z niej korzystać. Wciąż jednak wielu menadżerów i prezesów wzbrania się przed przenoszeniem danych firmowych do chmury. Głównym (i chyba jedynym) powodem jest kwestia bezpieczeństwa. I wcale nie ma się co dziwić, biorąc pod uwagę fakt, że firmy gromadzą i przetrzymują ogromne ilości informacji o swoich klientach. Tutaj pojawia się nie tylko obawa o bezpieczeństwo własnych danych, ale także danych klientów, których wyciek może spowodować fatalne konsekwencje prawne, finansowe i przede wszystkim wizerunkowe.

Firmy w Polsce mają bardzo zróżnicowane opinie o bezpieczeństwie chmury publicznej i wykorzystywaniu jej w biznesie. Często wypowiadają się na ten temat bardzo negatywnie, jednocześnie nie mając świadomości, że od dawna z takich usług korzystają, np. w formie bankowości internetowej, zewnętrznych serwisów pocztowych, czy sklepów online. Jeśli firma rozważa korzystanie z cloud computing, to powinna bardzo uważnie przeanalizować oferowane jej usługi pod kątem bezpieczeństwa. Trzeba mieć świadomość, że cedujemy na inny podmiot dużą odpowiedzialność za funkcjonowanie naszego biznesu. Dlatego decydującym kryterium przy wyborze dostawcy nie powinna być cena, a raczej udokumentowane kompetencje do wywiązania się z przyjętych zobowiązań. Ważne, aby jasno określić zasady działania w przypadku pojawienia się problemów z dostępnością usługi oraz możliwość i warunki skorzystania z pomocy technicznej - Radosław Dudziak, specjalista ds. rozwiązań chmurowych w firmie extendo.pl

Rozważając wdrożenie cloud computing w firmie, warto zapytać firmy oferujące takie usługi o to, jak zabezpieczają dane swoich klientów oraz czy w swojej polityce bezpieczeństwa stosują się do obowiązujących przepisów i zaleceń instytucji zajmujących się cyberbezpieczeństwem. Większość z nas jednak nie ma wystarczającej wiedzy technicznej i po prostu nie wie, jak taką rozmowę poprowadzić. Dlatego poniżej znajdziesz nie tylko 7 pytań i zagadnień, które należy poruszyć, ale także wskazanie dobrych praktyk, jakie powinien stosować twój przyszły usługodawca cloud.

1. Kto jest właścicielem moich danych przechowywanych w chmurze? Czy usługodawca może wykorzystywać moje dane do celów reklamowych?
   Właścicielem i administratorem przechowywanych w chmurze danych zawsze powinna być twoja firma. Usługodawca może mieć do nich dostęp jedynie w celu świadczenia ci zakontraktowanej usługi, ale nigdy do ich zawartości. Dotyczy to także skrzynki mailowej – niektórzy usługodawcy zastrzegają sobie prawo do skanowania treści wiadomości i wykorzystują pozyskane informacje w celach reklamowych. Często oznacza to też prawo do odsprzedaży tych danych innym podmiotom bez twojej zgody. Jeśli zdarzy się, że twój usługodawca chmurowy będzie potrzebował tymczasowego dostępu do zawartości twoich danych (np. przy usuwaniu jakichś awarii), powinien wcześniej uzyskać twoją zgodę. Ważne jest też, aby poinformował cię, w jakim zakresie uzyskuje ten dostęp oraz o tym, kiedy już zakończy korzystanie z tego dostępu.
   
   
2. Czy w swoich usługach oferujecie wbudowane zabezpieczenia prywatności?
   Główną ideą usług cloud jest zdalny dostęp do nich – z różnych miejsc i urządzeń. Jednak ważne jest, aby taka zdalna praca odbywała się w bezpieczny sposób. Dlatego usługodawca może np. szyfrować twoje dane (zarówno przechowywane w chmurze dokumenty, jak i wiadomości email). Dostęp do usług cloud, często uzyskujemy przez przeglądarkę (jak np. bankowość elektroniczna). Warto zwrócić uwagę, czy działamy wtedy w ramach protokołu SSL (metoda zabezpieczenia komunikacji). Jeśli tak, to adres URL w przeglądarce będzie zaczynał się od HTTPS zamiast zwykłego HTTP. Dobrym przykładem jest tutaj usługa Microsoft Office 365, która nie tylko oferuje komunikację w protokole SSL oraz kodowanie wszystkich przechowywanych danych (BitLocker, S/MIME), ale także takie usługi, jak Rights Management (zarządzanie prawami dostępu), czy Active Directory. Dodatkowo prowadzi rejestry korzystania z usługi przez użytkowników (również działania administratorów), które umożliwiają kontrolę nad tym, czy pracownicy prawidłowo korzystają z nadanych im uprawnień.
   
   
3. Czy jestem informowany, gdzie fizycznie znajdują się moje dane i jak wykonywana jest ich kopia zapasowa?
   To że usługi usługi cloud świadczy ci firma z Warszawy, wcale nie oznacza, że tam właśnie znajdują się twoje dane firmowe. Zgodnie z prawem unijnym, takie informacje nie powinny być trzymane poza UE. Jednak usługodawca niekoniecznie będzie je przetrzymywał na swoich serwerach i może przy tym korzystać z infrastruktury innych podmiotów (np. żeby zapewnić szybki i swobodny dostęp do usługi). Taka forma wcale nie musi oznaczać zagrożenia dla twoich danych, jednak ważne jest, abyś wiedział, gdzie faktycznie się one znajdują. Istotne też jest, aby była tworzona bezpieczna kopia zapasowa twoich danych. Zapytaj też, gdzie jest ona przechowywana. Jeśli w tym samym miejscu, co „oryginały”, to w przypadku awarii serwera (lub np. pożaru serwerowni) możesz stracić wszystkie informacje i dokumenty. Rozwiązaniem jest tzw. georeplikacja, czyli tworzenie kopii zapasowej w innej lokalizacji geograficznej niż jej źródło.
   
   
4. Jaką politykę bezpieczeństwa stosuje wasza firma i co robicie, aby przeciwdziałać atakom z zewnątrz?
   Twój usługodawca powinien mieć ustalone jasne procedury regulujące fizyczny dostęp pracowników do infrastruktury, gdzie znajdują się dane klientów w ramach usług cloud. Miejsce ich przechowywania, czyli tzw. Data Center też powinno być odpowiednio zabezpieczone (system alarmowy, monitoring tv, system kontroli dostępu) i zarządzane (odpowiednie warunki dla sprawnego działania urządzeń, profesjonalny personel). Nie mniej istotne od zabezpieczeń fizycznych są zabezpieczenia logiczne, które chronią Data Center przed atakami hakerów. Chodzi tu m.in. o antywirusy, firewall, zabezpieczenia przed atakami DDoS, czy phishingiem oraz izolację danych poszczególnych klientów. Warto też zapytać, czy przeprowadzany był audyt zabezpieczeń przez jakąś firmę zewnętrzną lub czy są wykonywane tzw. testy penetracyjne (kontrolowane ataki), sprawdzające poziom zabezpieczeń. Niektórzy usługodawcy chmurowi umożliwiają przeprowadzanie takich testów przez klienta (np. Microsoft Azure).
   
   
5. Czy i jak będę mógł odzyskać swoje dane po zakończeniu świadczenia usługi?
   Zanim zaczniemy korzystać z usług cloud computing, warto dowiedzieć się, co stanie się ze zgromadzonymi w chmurze danymi w przypadku zakończenia współpracy z usługodawcą. Powinien on umożliwić nam zabranie tych danych w bezpieczny sposób – nie tylko w każdym momencie świadczenia usługi, ale również po jej zakończeniu. W tym wypadku istotne będzie, ile czasu od zakończenia umowy mamy na zabranie swoich danych z chmury (np. w Office 365 na export danych mamy 90 dni od wygaśnięcia umowy) i po jakim czasie są one ostatecznie usuwane z serwerów usługodawcy. Musimy się też dowiedzieć, jakie dane będziemy mogli odzyskać (dokumenty, maile, kalendarze, dane aplikacji, etc.) i jak się to odbywa – czy możemy to zrobić sami, czy potrzebna jest asysta administratora usługodawcy, a jeśli tak, to czy jest to dodatkowo płatne.
   
   
6. Zgodność świadczonych usług z obowiązującymi regulacjami i wytycznymi instytucji branżowych.
   W przypadku branży IT podstawowym dokumentem jest certyfikat ISO/IEC 27001, który formułuje procedury związane z bezpieczeństwem danych. Wskazane jest, aby twój usługodawca chmurowy posiadał taki certyfikat i dodatkowo działał zgodnie z ISO/IEC 27002 (nie jest to certyfikat, a jedynie zbiór zaleceń i dobrych praktyk). Jeśli będziesz przechowywał w chmurze dane swoich klientów, musisz działać zgodnie z ustawą o ochronie danych osobowych. Unia Europejska utworzyła tzw. Grupę Roboczą Art. 29, która składa się z 28 krajowych instytucji ochrony danych (m.in. polski GIODO) oraz przedstawicieli Komisji Europejskiej. Może ona wydawać opinie dostawcom usług cloud, dotyczące zgodności ich działania z przepisami obowiązującymi w UE (m.in. pod kątem ochrony danych i zachowania prywatności). Opiniuje także poziom ochrony danych w krajach spoza UE, przestrzeganie umów dotyczących przesyłania danych poza UE (np. umowa Safe Harbor pomiędzy UE i USA) oraz zgodność z tzw. klauzulami umownymi UE. Jest to ważne w przypadku, gdy twój dostawca współpracuje z firmami z zagranicy przy świadczeniu usług cloud computing (lub np. ma serwery poza UE). Odpowiednim potwierdzeniem zgodności wybranej przez ciebie chmury pod względem ochrony danych osobowych będzie posiadanie przez firmę certyfikatu ISO/IEC 27018. Istnieją też międzynarodowe instytucje i organizacje non profit, które tworzą procedury i wytyczne dla dostawców usług w chmurze. Są to m.in.: CDSA, CJIS, CSA CCM, CSCC, ETSI, GICTF. 
   
   
7. Gwarancje i zobowiązania pod kątem zapewnienia dostępności i stabilności usług cloud.
   Tak jak twój komputer może ulec awarii i uniemożliwić ci pracę, tak samo w przypadku usług w chmurze mogą pojawiać się pewne przestoje lub obniżenia wydajności w ich świadczeniu. Czasem jest to nieuniknione i trzeba się z tym liczyć, jednak ważne jest, jak w takich sytuacjach postępuje usługodawca. W jaki sposób poinformuje cię o problemach z usługą, ile czasu potrzebuje na usunięcie usterki i czy zapewnia jakiekolwiek opcje „obejścia” problemu na czas naprawy. Niektóre firmy, jak np. Microsoft dają gwarancję dostępności usługi przez określony procent czasu trwania umowy (np. 99,9% w przypadku Office 365). W sytuacji niewywiązania się z tych zobowiązań ponoszą wobec swoich klientów określone konsekwencje finansowe. Jest to niezmiernie ważna rzecz dla firm, które w dużym stopniu opierają swój biznes na chmurze (np. sklepy internetowe).

Jednym z najbardziej ciekawych rozwiązań chmurowych, jakie są obecne dostępne i promowane na światowym rynku jest Office 365 dla firm. Oparty o chmurę Microsoft Cloud nowy Office daje znacznie więcej możliwości, niż dotychczasowe wersje. Najlepiej jest sprawdzić samemu, pobierając wersję próbną na stronie, nie martwiąc się o bezpieczeństwo!

Źródło: www.it.integro.pl