NIL Cloud Security
02.11.2015

Stanovski kolega je pred nekaj dnevi načel zelo aktualno temo shranjevanja podatkov zunaj podjetja, natančneje, v računalniškem oblaku (poljubnega) ponudnika. Medtem ko posamezniki storitvam iz oblaka (in njihovim ponudnikom) praktično slepo zaupajo svoje podatke (in še kaj več), pa so podjetja zelo zadržana glede shranjevanja poslovnih podatkov »na strežniku nekoga drugega«. Upravičeno? Nikakor.

Med laično in žal tudi delom strokovne javnosti opažam nekakšen odpor do shranjevanja dokumentov in drugih poslovnih podatkov v računalniškem oblaku. Sogovorniki pogosto (po)dvomijo v varnost takšnega načina hrambe podatkov. Češ, nihče nam ne zagotavlja, da po naših podatkih ne bo kdo brskal, jih bral, prodal konkurenci ...

Ker sta mi tako računalniški oblak kot informacijska varnost zelo blizu, sem se odločil, da javno objavim svoj pogled na to temo. Komur se ne da prispevka brati do konca, lahko že takoj dobi odgovor na vprašanji »Kolikšna je v praksi verjetnost, da kdo, ki ima interes, ukrade in/ali zlorabi moje podatke, ki jih hranim v računalniškem oblaku ponudnika tovrstnih storitev?« Drugo vprašanje pa je »Kolikšna je verjetnost, da shranjene podatke v oblaku izgubim zaradi napake ponudnika?« Odgovor na obe vprašanje je »Skoraj nična ali pa veliko manjša kot v ostalih primerih.«

Vsem, ki si želite izvedeti »zakaj«, pa so namenjene naslednje vrstice.

Kako danes majhno podjetje upravlja s svojimi podatki? Verjetno jih hrani v podjetju, na strežniku ali dveh v namenski strežniški sobi. Če jih izgubi, propade (vsaj tako kažejo raziskave – 90 % podjetij se po izgubi podatkov ne pobere več). Večja podjetja navadno že bolje skrbijo za svoje podatke, a tudi zanje je prava preizkušnja, če ostanejo brez podatkov. Obnova po katastrofi (v primeru, ko obstaja varnostna kopija) navadno traja teden ali dva. In potem je tu oblak, v katerem podatkov ne izgubimo (ker so shranjeni 3- do 9-krat). A se vendarle bolj bojimo oblaka in morebitne zlorabe podatkov.

Koga se pravzaprav bojimo? Industrijskih in drugih vohunov? Ameriške varnostne agencije NSA? Smo mar res tako pomembni, da bo NSA »vrtala« prav v nas? Vprašati se moramo, kdo bi dejansko imel koristi od naših podatkov? Nato nam ostaneta le dva potencialna »napadalca«. Konkurenca in država (oziroma njene tajne službe).

Verjetnost kraje podatkov je seveda povezana tudi s samo izvedljivostjo tega početja. Vsak napadalec, celo priložnostni, se najprej vpraša, koliko truda mora vložiti v svoj »podvig«. Kakšna je torej cena, da se lahko nekdo od naštetih dokoplje do naših podatkov?

V majhnem ali srednje velikem podjetju, ki podatke hrani na lokalnem strežniku, do katerega lahko dostopata čistilka in IT-osebje, je cena dostopa do podatkov relativno nizka. Znaša med 10 in 20 plač, ki jih potrebujemo za plačilo čistilki, da nam odklene vrata, nato pa si podatke skopiramo na zunanji disk. Za 10 do 15 tisoč evrov – pomnite, socialni inženiring je v svetu informacijske varnosti bržkone najcenejša metoda napada – smo se dokopali do podatkov, prav mogoče bomo med njimi našli vsaj za toliko denarja vrednih informacij. Podvig se nam lahko splača.

Če so naši podatki shranjeni v varni sobi s kontrolo pristopa, denimo takšni, kot jo premorejo številni ponudniki storitev lokalne oblačne hrambe, cena dostopa do podatkov že znatno poskoči. Mimogrede bomo morali za dostop morebiti nezadovoljnemu IT-jevcu odšteti več kot 20 evrskih tisočakov. Vložek je že visok, a še vedno bi se komu lahko izplačal.

Naslednja je na vrsti hramba podatkov pri globalnem ponudniku v »resnem« podatkovnem centru, kjer se storitev plača. Do takega podatkovnega centra se bo treba peljati bistveno dlje kot po Sloveniji. Pravi izziv ga je že najti, saj jih tako Googlovi kot Microsoftovi zemljevidi skrivajo – na njihovi lokaciji nas pogosto pričaka slika travnika. Fizična zaščita je izjemna, celo »požegnane« obiskovalce pred obiskom varnostno preverijo. Nihče se v tem primeru ne sprehaja sam po podatkovnem centru. A tudi če bi nekako prišli v tak podatkovni center, bi nas pričakal naslednji nerešljiv izziv – izmed več tisoč strežnikov bi morali najti tri do pet strežnikov z našimi podatki in iz njih pobrati pravi disk (teh je več sto v posameznem strežniku). Vas že slišim – zopet bomo podkupili IT-jevca. Tokrat ne bo šlo tako lahko, saj sta logični in fizični del podatkovnega centra povsem ločena, upravitelj storitev in virtualiziranih podatkovnih baz ne ve, natančno na katerem disku se nahajajo naši podatki, prav tako pa brez vednosti stranke ne more dostopati do njih. Veriga varnostnih mehanizmov je v tem primeru resnično dolga – in za napadalca draga. Hipotetično bi kraja podatkov iz takšnega podatkovnega centra stala vsaj dodatno ničlo – torej milijon evrov. So mar vaši podatki vredni toliko denarja?

Iskreno povedano – če niste farmacevt ali pa posedujete patent za perpetuum mobile – so vaši podatki v računalniškem oblaku globalnega ponudnika absolutno na varnem. Vsekakor pa za slovenska podjetja velja, da so podatki, shranjeni v oblaku, bistveno bolj varni kot »v hiši«.

Varnost torej ni problematična, problematično je zaupanje. Mar zaupate svojemu ponudniku? Tudi če mu ne, lahko podatke še vedno kriptirate ... a o tem več kdaj drugič.