Analitsko podjetje Gartner napoveduje, da bo uporaba javnih oblakov že letos prerasla uporabo zasebnih oblakov. To pomeni, da morajo organizacije več pozornosti nameniti varni uporabi svetovnega spleta, oblačnih storitev ter domorodnih oblačnih aplikacij.
Sodobna organizacija ima podatke shranjene na vsaj treh lokacijah: v oblaku, pri sebi lokalno in na poti med oblakom in odjemalcem. To zahteva dodaten premislek in razumevanje novih groženj pri posameznem scenariju delovanja storitev IT. Kot pravi Uroš Majcen, direktor kibernetske odpornosti v S & T Slovenija, se pri prenosu IT-storitev v oblak pojavljajo nove pasti kibernetske varnosti, ki jih prej nismo poznali in jih moramo vzeti v obzir pri načrtovanju prenosa. Najprej poudarja razumevanje odgovornosti.
»Za varnost podatkov v oblaku je odgovoren lastnik podatkov, ne ponudnik oblačnih storitev,« poudarja sogovornik. Zato je z vidika varovanja podatkov v oblaku izjemno pomembno, da lastnik podatkov razume kibernetske grožnje v oblaku, kako jih identificiramo, kakšne ukrepe lahko sprejmemo za zagotavljanje kibernetske odpornosti pri poslovanju v oblaku ter kako naše varnostne zahteve proaktivno uskladimo s ponudnikom oblačnih storitev.«
Varnostni pomisleki prehoda v oblak
Dalibor Vukovič, specialist za kibernetsko varnost v Telekomu Slovenije, navaja več varnostnih pomislekov, ki jih prinaša premik v oblak, recimo kršitve skladnosti, pogodbene kršitve, nezavarovane integracijske vmesnike, težave pri ponudnikih, napačno konfigurirane strežnike in programska opremo, zlonamerno programsko opremo ter zunanje napade. »Ni treba sicer dvomiti o prednostih selitve v oblak, vendar pa je prav, da se zavedamo tudi vseh možnih nevarnosti,« poudarja Vukovič.
V podjetju ADD pravijo, da so potencialne stranke pogosto prepričane, da se s prenosom IT-storitev iz lokalnega okolja v oblak poveča nevarnost kibernetskih pasti. »Takšno stališče je pri izbiri pravega partnerja oziroma ponudnika oblačne storitve povsem neupravičeno,« pravi Jože Celestina, vodja oddelka Cloud Infra. »Prav nasprotno. Praksa je pokazala, da s prehodom na oblačne storitve naročnik v paketu dobi tudi veliko orodij za zaščito pred tovrstnimi grožnjami. Le uporabiti jih je treba.«
Kdo je odgovoren za varnost v oblaku
»Največja past pri odločitvi za migracijo poslovanja iz lokalnega okolja v oblak je prepričanje, da je pri odločitvi za kateregakoli ponudnika oblačne IT-infrastrukture že vnaprej poskrbljeno za vse možne varnostne rešitve in da so implementirani vsi varnostni protokoli,« poudarja Miha Kerin, tehnični direktor v podjetju Unistar PRO. Pri odločitvi za javno oblačno infrastrukturo ponudnikov Microsoft, Amazon in Google se tako prepogosto spregledajo njihova priporočila oziroma navodila, da morajo stranke same poskrbeti za varnost svojih podatkov in identitet, kontrolo dostopov, konfiguracije operacijskega sistema in drugih programskih rešitev, mrežno varnost ter uporabo šifriranja podatkov.
Posamezna vrsta storitev zahteva od ponudnika oziroma naročnika različno udeležbo v sistemu zagotavljanja kibernetske varnosti. »Varnost in skladnost sta skupna odgovornost ponudnika oblačnih storitev in naročnika. Ponudnik je vedno odgovoren za zaščito infrastrukture, ki izvaja vse storitve, ponujene v oblaku. Ta infrastruktura je sestavljena iz strojne opreme, programske opreme, omrežij in preostalih zmogljivosti, ki izvajajo storitev v oblaku. Naročnik pa se mora zavedati, da je odgovoren za upravljanje svojih podatkov,« pravi Vukovič.
Do ponudnika je treba biti zahteven
Majcen dodaja, da je naročnik sicer res lastnik podatkov in je odgovoren za njihovo varnost, lahko pa oziroma mora od ponudnika zahtevati izpolnjevanje varnostnih zahtev. »Najbolje je, da naročnik v času izbire ponudnika oblačnih servisov postavi natančen nabor meril za zagotavljanje varnosti in na podlagi tega izbere najustreznejšega. Te zahteve lahko definira že v povpraševanju, jih nadalje vključi v pogodbene obveznosti ter redno ocenjuje ponudnika prek letnih vprašalnikov.«
Glede varnosti posamezne vrste oblačne storitve v ADD naročniku ponavadi predlagajo, da se odloči glede na kakovost in razpoložljivost lastnega znanja. »IaaS zahteva popoln nadzor naročnika nad storitvami, SaaS pa omogoča skrb le za poslovne podatke. Če naročnik nima izkušenj ali kadra za upravljanje storitve IaaS, je priporočljivo, da se odloči za najem storitev PaaS ali SaaS. Tako mu ostane le odgovornost za kakovost,« je povedal Celestina.
Vsi večji ponudniki storitev v oblaku sicer veliko vlagajo v varnost, ki je zato večinoma na visoki ravni. Največja težava naročnikov je še vedno vpogled v varovanje celotne ponudnikove infrastrukture. Dejstvo je namreč, da če zaradi kibernetskega napada doživi izpad delovanja ponudnik, to občuti tudi naročnik. Organizacije lahko sicer znižajo tovrstna tveganja, če uporabljajo storitve ponudnikov, ki izkazujejo skladnost s standardom ISO 27001 ter dopolnitvama ISO 27017 oziroma 27018.
Glavni ukrep: kompleksna gesla in večnivojsko overjanje uporabnikov
Med najpogostejšimi varnostnimi incidenti naši sogovorniki naštevajo napade DDOS, kraje poverilnic (uporabniških imen in gesel) in kraje podatkov. Vukovič ob tem poudarja, da veliko naročnikov še vedno ne uporablja dvojne avtentikacije. Če jim nekdo odtuji poverilnico, lahko dostopa do njihovih podatkov. »Dogajajo se tudi poskusi naprednih napadov, a je teh zanemarljivo malo v primerjavi s poskusi kraje podatkov.«
Organizacije tako po mnenju strokovnjakov največ naredijo s kompleksnim geslom in večnivojskim overjanjem uporabnikov. Vukovič ob tem poudarja, da je varnost v oblaku disciplina kibernetske varnosti, namenjena varovanju sistemov računalništva in hrambe podatkov v oblaku, pri čemer so njene glavne kategorije upravljanje identitete in dostopa, načrtovanje hrambe podatkov in neprekinjenega poslovanja, skladnost z zakonodajo ter varnost podatkov.
Nove rešitve niso nujno potrebne
Uporabniki se morajo zavedati, da storitve v oblaku niso imune proti kibernetskim grožnjam, ne glede na to, ali do njih dostopamo prek računalnika ali mobilnega telefona, in da morajo biti zato te storitve ustrezno vzdrževane. »Naša naloga kot ponudnika je, da novim strankam predstavimo vse možne grožnje in nevarnosti, ki grozijo njihovi lokalni ali oblačni infrastrukturi, ter tudi ustrezne ukrepe in rešitve za zaščito,« pravi Kerin.
Majcen dodaja, da prehod v oblak načeloma ne pomeni uvajanja novih varnostnih rešitev, temveč zgolj razširitev že uveljavljenih. »Organizacije morajo sprva identificirati grožnje in imeti pripravljen načrt odziva oziroma obravnave. Naročnikom svetujemo, da v analizo tveganj vključijo tudi te grožnje ter ustrezno identificirajo ukrepe, ki jim naj sledijo, če se grožnja uresniči.«
Danes lahko z gotovostjo rečemo, da je končna destinacija storitev informacijskih tehnologij za večino organizacij že znana. Tradicionalni ugovori glede zagotavljanja zaupnosti podatkov od ponudnikov oblačnih storitev se umikajo vprašanjem o konkretni kibernetski zaščiti in upravljanju informacijskih tveganj. S tem se v splošnem razširja zavedanje o pomenu kibernetske varnosti, kar je dobro za uvajanje uveljavljenih kibernetskih varnostnih mehanizmov v lokalnih informacijskih sistemih in tudi za uvajanje povsem novih rešitev, ki nastajajo namensko za razreševanje izzivov kibernetske varnosti v oblaku.