IKT

Kdo je odgovoren za varnost podatkov v računalniškem oblaku

Pozor: ponudnik je odgovoren za zaščito infrastrukture, za upravljanje in s tem varovanje svojih podatkov pa je odgovoren naročnik sam

Podporniki obveščajo

FINANCE
IKT
Digitalna dostopnost bo sredi leta 2025 postala zakonska obveza – kaj to pomeni za podjetja?
IKT
DIGITALNA DOSTOPNOST
IKTRedakcija IKT Digitalna dostopnost bo sredi leta 2025 postala zakonska obveza – kaj to pomeni za podjetja?

Več o tem boste izvedeli na brezplačnem izobraževanju, ki ga organizira Zavod za digitalno dostopnost A11Y.si.

FINANCE
IKT
Kako je videti virtualni pomočnik za podjetniška okolja
IKT
ADD KONFERENCA
IKTPodpornik projekta Kako je videti virtualni pomočnik za podjetniška okolja

To boste lahko izvedeli na letni konferenci podjetja ADD, na kateri bodo govorili tudi o novi regulativi, ki bo krojila nadaljnji razvoj, ter o podatkih in umetni inteligenci.

FINANCE
IKT
Slovenski Kontron lansiral zasebno mobilno omrežje 5G v nemški proizvodnji
IKT
ZASEBNA 5G OMREŽJA
IKTPodpornik projekta Slovenski Kontron lansiral zasebno mobilno omrežje 5G v nemški proizvodnji

Gre za naložbo v robustno omrežno infrastrukturo, ki je pripravljena na prihodnost in podpira trenutne in prihodnje potrebe po brezžični povezljivosti v proizvodnji in skladišču

FINANCE
IKT
Kako bodo s pomočjo umetne inteligence preprečili izumrtje atlantskega lososa na Norveškem
IKT
NAGRADA ZA INOVACIJO
IKTPodpornik projekta Kako bodo s pomočjo umetne inteligence preprečili izumrtje atlantskega lososa na Norveškem

Rešitev je v okviru pobude Tech4Aall razvil Huawei skupaj z lokalnimi partnerji

FINANCE
IKT
Poziv za obnovo pravil enotnega digitalnega trga
IKT
DIGITALNI TRG
IKTPodpornik projekta Poziv za obnovo pravil enotnega digitalnega trga

Digitalno preobrazbo tradicionalnih industrij bi bilo treba voditi z jasnimi pravili za dostop in delitev podatkov

Avtor
avtor
18.05.2022 11:00
Dopolnjeno: 20.05.2022 08:55
Čas branja: 7 min

Analitsko podjetje Gartner napoveduje, da bo uporaba javnih oblakov že letos prerasla uporabo zasebnih oblakov. To pomeni, da morajo organizacije več pozornosti nameniti varni uporabi svetovnega spleta, oblačnih storitev ter domorodnih oblačnih aplikacij.

Sodobna organizacija ima podatke shranjene na vsaj treh lokacijah: v oblaku, pri sebi lokalno in na poti med oblakom in odjemalcem. To zahteva dodaten premislek in razumevanje novih groženj pri posameznem scenariju delovanja storitev IT. Kot pravi Uroš Majcen, direktor kibernetske odpornosti v S & T Slovenija, se pri prenosu IT-storitev v oblak pojavljajo nove pasti kibernetske varnosti, ki jih prej nismo poznali in jih moramo vzeti v obzir pri načrtovanju prenosa. Najprej poudarja razumevanje odgovornosti.

»Za varnost podatkov v oblaku je odgovoren lastnik podatkov, ne ponudnik oblačnih storitev,« poudarja sogovornik. Zato je z vidika varovanja podatkov v oblaku izjemno pomembno, da lastnik podatkov razume kibernetske grožnje v oblaku, kako jih identificiramo, kakšne ukrepe lahko sprejmemo za zagotavljanje kibernetske odpornosti pri poslovanju v oblaku ter kako naše varnostne zahteve proaktivno uskladimo s ponudnikom oblačnih storitev.«

Varnostni pomisleki prehoda v oblak

Dalibor Vukovič, specialist za kibernetsko varnost v Telekomu Slovenije, navaja več varnostnih pomislekov, ki jih prinaša premik v oblak, recimo kršitve skladnosti, pogodbene kršitve, nezavarovane integracijske vmesnike, težave pri ponudnikih, napačno konfigurirane strežnike in programska opremo, zlonamerno programsko opremo ter zunanje napade. »Ni treba sicer dvomiti o prednostih selitve v oblak, vendar pa je prav, da se zavedamo tudi vseh možnih nevarnosti,« poudarja Vukovič.

V podjetju ADD pravijo, da so potencialne stranke pogosto prepričane, da se s prenosom IT-storitev iz lokalnega okolja v oblak poveča nevarnost kibernetskih pasti. »Takšno stališče je pri izbiri pravega partnerja oziroma ponudnika oblačne storitve povsem neupravičeno,« pravi Jože Celestina, vodja oddelka Cloud Infra. »Prav nasprotno. Praksa je pokazala, da s prehodom na oblačne storitve naročnik v paketu dobi tudi veliko orodij za zaščito pred tovrstnimi grožnjami. Le uporabiti jih je treba.«

Kdo je odgovoren za varnost v oblaku

»Največja past pri odločitvi za migracijo poslovanja iz lokalnega okolja v oblak je prepričanje, da je pri odločitvi za kateregakoli ponudnika oblačne IT-infrastrukture že vnaprej poskrbljeno za vse možne varnostne rešitve in da so implementirani vsi varnostni protokoli,« poudarja Miha Kerin, tehnični direktor v podjetju Unistar PRO. Pri odločitvi za javno oblačno infrastrukturo ponudnikov Microsoft, Amazon in Google se tako prepogosto spregledajo njihova priporočila oziroma navodila, da morajo stranke same poskrbeti za varnost svojih podatkov in identitet, kontrolo dostopov, konfiguracije operacijskega sistema in drugih programskih rešitev, mrežno varnost ter uporabo šifriranja podatkov.

Posamezna vrsta storitev zahteva od ponudnika oziroma naročnika različno udeležbo v sistemu zagotavljanja kibernetske varnosti. »Varnost in skladnost sta skupna odgovornost ponudnika oblačnih storitev in naročnika. Ponudnik je vedno odgovoren za zaščito infrastrukture, ki izvaja vse storitve, ponujene v oblaku. Ta infrastruktura je sestavljena iz strojne opreme, programske opreme, omrežij in preostalih zmogljivosti, ki izvajajo storitev v oblaku. Naročnik pa se mora zavedati, da je odgovoren za upravljanje svojih podatkov,« pravi Vukovič.

Do ponudnika je treba biti zahteven

Majcen dodaja, da je naročnik sicer res lastnik podatkov in je odgovoren za njihovo varnost, lahko pa oziroma mora od ponudnika zahtevati izpolnjevanje varnostnih zahtev. »Najbolje je, da naročnik v času izbire ponudnika oblačnih servisov postavi natančen nabor meril za zagotavljanje varnosti in na podlagi tega izbere najustreznejšega. Te zahteve lahko definira že v povpraševanju, jih nadalje vključi v pogodbene obveznosti ter redno ocenjuje ponudnika prek letnih vprašalnikov.«

Glede varnosti posamezne vrste oblačne storitve v ADD naročniku ponavadi predlagajo, da se odloči glede na kakovost in razpoložljivost lastnega znanja. »IaaS zahteva popoln nadzor naročnika nad storitvami, SaaS pa omogoča skrb le za poslovne podatke. Če naročnik nima izkušenj ali kadra za upravljanje storitve IaaS, je priporočljivo, da se odloči za najem storitev PaaS ali SaaS. Tako mu ostane le odgovornost za kakovost,« je povedal Celestina.

Vsi večji ponudniki storitev v oblaku sicer veliko vlagajo v varnost, ki je zato večinoma na visoki ravni. Največja težava naročnikov je še vedno vpogled v varovanje celotne ponudnikove infrastrukture. Dejstvo je namreč, da če zaradi kibernetskega napada doživi izpad delovanja ponudnik, to občuti tudi naročnik. Organizacije lahko sicer znižajo tovrstna tveganja, če uporabljajo storitve ponudnikov, ki izkazujejo skladnost s standardom ISO 27001 ter dopolnitvama ISO 27017 oziroma 27018.

Glavni ukrep: kompleksna gesla in večnivojsko overjanje uporabnikov

Med najpogostejšimi varnostnimi incidenti naši sogovorniki naštevajo napade DDOS, kraje poverilnic (uporabniških imen in gesel) in kraje podatkov. Vukovič ob tem poudarja, da veliko naročnikov še vedno ne uporablja dvojne avtentikacije. Če jim nekdo odtuji poverilnico, lahko dostopa do njihovih podatkov. »Dogajajo se tudi poskusi naprednih napadov, a je teh zanemarljivo malo v primerjavi s poskusi kraje podatkov.«

Organizacije tako po mnenju strokovnjakov največ naredijo s kompleksnim geslom in večnivojskim overjanjem uporabnikov. Vukovič ob tem poudarja, da je varnost v oblaku disciplina kibernetske varnosti, namenjena varovanju sistemov računalništva in hrambe podatkov v oblaku, pri čemer so njene glavne kategorije upravljanje identitete in dostopa, načrtovanje hrambe podatkov in neprekinjenega poslovanja, skladnost z zakonodajo ter varnost podatkov.

Nove rešitve niso nujno potrebne

Uporabniki se morajo zavedati, da storitve v oblaku niso imune proti kibernetskim grožnjam, ne glede na to, ali do njih dostopamo prek računalnika ali mobilnega telefona, in da morajo biti zato te storitve ustrezno vzdrževane. »Naša naloga kot ponudnika je, da novim strankam pred­stavimo vse možne grožnje in nevarnosti, ki grozijo njihovi lokalni ali oblačni infrastrukturi, ter tudi ustrezne ukrepe in rešitve za zaščito,« pravi Kerin.

Majcen dodaja, da prehod v oblak načeloma ne pomeni uvajanja novih varnostnih rešitev, temveč zgolj razširitev že uveljavljenih. »Organizacije morajo sprva identificirati grožnje in imeti pripravljen načrt odziva oziroma obravnave. Naročnikom svetujemo, da v analizo tveganj vključijo tudi te grožnje ter ustrezno identificirajo ukrepe, ki jim naj sledijo, če se grož­nja uresniči.«

Danes lahko z gotovostjo rečemo, da je končna destinacija storitev informacijskih tehnologij za večino organizacij že znana. Tradicionalni ugovori glede zagotavljanja zaupnosti podatkov od ponudnikov oblačnih storitev se umikajo vprašanjem o konkretni kibernetski zaščiti in upravljanju informacijskih tveganj. S tem se v splošnem razširja zavedanje o pomenu kibernetske varnosti, kar je dobro za uvajanje uveljavljenih kibernetskih varnostnih mehanizmov v lokalnih informacijskih sistemih in tudi za uvajanje povsem novih rešitev, ki nastajajo namensko za razreševanje izzivov kibernetske varnosti v oblaku.

Napišite svoj komentar

Da boste lahko napisali komentar, se morate prijaviti.
Več o temi
Kliknite + poleg oznake in se prijavite na obveščanje. S klikom na ime posamezne oznake preverite seznam člankov.
OGLAS
FINANCE
Nepremičnine
Nepremičnine Kakšen mora biti kakovosten servis kosilnice

Vključevati mora vse potrebne preglede in popravila kosilnice oziroma vrtnega traktorja ali riderja – opravite ga pri strokovnjaku.

FINANCE
IKT
Izsiljevalski virusi – možna katastrofa, ki jo podcenjujemo
IKT
IKTJakob Žorž Izsiljevalski virusi – možna katastrofa, ki jo podcenjujemo

Strokovnjaki za kibernetsko varnost se z njimi srečujejo praktično vsak teden, v uradnih poročilih pa je objavljena le peščica tovrstnih napadov, kar daje lažen občutek varnosti

FINANCE
IKT
Kibernetska varnost v novih razmerah: Vsi zaposleni bi morali biti podatkovni varnostniki
IKT
IKTMiran Varga Kibernetska varnost v novih razmerah: Vsi zaposleni bi morali biti podatkovni varnostniki

Digitalizacija je podjetjem prinesla veliko dobrega, a tudi hitro rastočo krajino kibernetskih groženj in napadov. Miloš Krunić, strokovnjak za kibernetsko varnost in vodja A1Ops, podjetjem priporoča, naj raje poskrbijo za zmogljivo digitalno obrambo, kot pa plačujejo višje zneske za odpravljanje škode, nastale po kibernetskem napadu na slabo zaščiten informacijski sistem.

FINANCE
Topjob
Top službe – priložnost za direktorja novega urada EK; zaposlujejo še Arnes, NLB, Filc, Petrol, Iskratel ...
Topjob
TopjobTOP JOB Top službe – priložnost za direktorja novega urada EK; zaposlujejo še Arnes, NLB, Filc, Petrol, Iskratel ...

Pregledali smo ponudbe na trgu dela za strokovni kader in izbrali najboljše

FINANCE
IKT
Ste izpeljali odličen B2B e-commerce projekt? Prav vas iščemo!
IKT
SPLETNO POSLOVANJE
IKTFinance PRO Ste izpeljali odličen B2B e-commerce projekt? Prav vas iščemo!

Z izborom želimo ozaveščati o pomenu in koristih digitalizacije medpodjetniškega poslovanja ter predstaviti slovenske dobre prakse spletnega poslovanja na področju B2B

FINANCE
IKT
Četrta pot z novim varnostnim standardom in oblikovalsko nagrado
IKT
IKTRedakcija IKT Četrta pot z novim varnostnim standardom in oblikovalsko nagrado 1

Četrta pot s svojimi IT-rešitvami že več kot 30 let digitalizira poslovne procese in utrjuje vodilno mesto v izvajanju varnostnih sistemov

FINANCE
Topjob
Top službe – Sodišče EU išče HRM; službe še v Banki Slovenije, GEN, Sparu, SDH, ARAO ...
Topjob
TopjobTOP JOB Top službe – Sodišče EU išče HRM; službe še v Banki Slovenije, GEN, Sparu, SDH, ARAO ...

Pregledali smo ponudbe na trgu dela za strokovni kader in izbrali najboljše

FINANCE
Okolje & energija
Do okolja prijazni higienski vložki za 240-kratno uporabo
Okolje & energija
Okolje & energijaBorut Hočevar Do okolja prijazni higienski vložki za 240-kratno uporabo 1

Danski startup LastObject je začel ponujati higienske vložke, ki jih je, kot pravijo, mogoče uporabiti vsaj 240-krat. V kampanja na Kickstarterju so zapisali okoljske zaveze.

FINANCE
Kibernetska varnost postaja glavno poslovno tveganje. Zakaj?
PRO
Finance
KIBERNETSKA VARNOST
Finance PRO Kibernetska varnost postaja glavno poslovno tveganje. Zakaj? (PRO)

Hekerski napadi lahko za več dni povsem ustavijo poslovanje podjetij – več o tem si preberite v posebni izdaji Kibernetska varnost.