Zavřít
Vstoupit Následujte nás

3S.cz

3S.cz: Bezpečná řešení pro vaše data
Jsme partnerem nejvyšší úrovně Hitachi partner platinum

Odborná sekce

Dnešní bezpečnost v cloudu - Rozhovor s Jaroslavem Techlem

29.10.2015, 15:51

Odpovědi na aktuální otázky v oblasti bezpečnosti cloudu, bezpečnosti osobních dat, úskalích ve věci smluvní bezpečnosti a mnoho dalších můžete nalézt právě v tomto rozhovoru s odborníkem na ICT bezpečnost Jaroslavem Techlem.

 

Jaroslav Techl

Odborník a konzultant v oblasti bezpečnosti, archivace, skladování, zálohování, dostupnosti a jiných řešení ICT. V minulosti působil jako technický ředitel společnosti ABAKUS – Distribution, dále působil na postě ředitele divize Symantec. V rámci svých aktivit se věnuje publikační a přednáškové činnosti. Jaroslav Techl se narodil v roce 1972, mezi jeho koníčky patří potápění, hudba, yachting a cestování.

 

Největší výhrady proti cloudu byly zpočátku z hlediska bezpečnosti. Jak vidíte tuto problematiku?

Odpověď na bezpečnost v cloudu bych rozdělil do dvou částí. První je smluvní - to znamená, jak dobře jsou vůči uživateli postaveny smlouvy. Jak je povinen provozovatel cloudu data chránit a co všechno s nimi smí nebo nesmí dělat, a zda je vůbec smí nebo nesmí někomu předat. Druhou otázkou je fyzické zabezpečení dat. To může být mnohdy na mnohem vyšší úrovni, než jak je tomu u dat leckteré organizace, kde leží za nějakým firewallem.

 

Co zůstává nadále nejdiskutovanější oblastí u provozovatelů cloudů?

Největší diskutovanou oblastí je uložení dat provozovatelů cloudů, pod jakou spadají jurisdikci, a zda oni sami vaše data nevytěžují. Říkám to proto, že už dnes se ví, že tomu tak mnohdy je. Ať už je to pro cílenou reklamu nebo přímo pro provozovatele, nebo proto, že to po nich chce nějaká organizace, například vládní.

 

Existujínějaká úskalí ve věci smluvní bezpečnosti mezi provozovatelem cloudu a zákazníkem?

Ohledně smluvní bezpečnosti jsem se sám několikrát zúčastnil pokusů o změnu smluv, zejména s americkými společnostmi. Ve většině případů takovéto boje s větrnými mlýny skončily neúspěchem, kdy provozovatel cloudu položil na stůl otázku i odpověď naráz: „Chceš od nás cloudovou službu? Tady máš podmínky, ber nebo neber, tak to je.“ Má to stejnou logiku jako koupě a používání softwaru. Například s každou instalací softwaru dostáváme smlouvu, kterou jen při počátku instalace odklikneme, a jen velmi málo lidí ví, co v ní je napsáno.

To samé je s cloudem. Z pohledu bezpečnosti se cloudy stávají pro svůj objem dat a přistupujících uživatelů zajímavým cílem. Pro bezpečnostní analýzu je tedy spíše otázkou, zda je pro organizaci bezpečnější využít cloud a neinvestovat do interního IT, nebo si je nechat u sebe (on-site, on-premise) a zajistit jejich zabezpečení.

 

Který typ úložiště je, dle Vašeho názoru, v současné době bezpečnější pro ukládání dat?

Nějaké paušální hodnocení, co je aktuálně bezpečnější, se říci nedá. Za sebe však mohu říci, že mě neuklidňuje, když bankovní domy, případně novinářské organizace ukládají svá data do cloudu. Ať už patří Microsoftu, Googlu nebo Applu, protože jsou povinni je chránit, zejména bankovní domy. V České republice totiž existují banky, které šly se svými e-mailovými službami ven a všichni víme, že mailová komunikace jakéhokoliv uživatele je tím nejzajímavějším a zároveň nejjednodušším ke krádeži. Nikdo z běžných uživatelů bank pak třeba nemá možnost zjistit, jaká data mají v cloudu a jak jsou chráněna „de jure“ a „de facto“. Případně jak budou chráněny novinářské zdroje, a zda nedochází k jejich kompromitaci. Nebo jak dobře je nastavena integrace interních systémů a zabezpečení integrace mezi cloudem a interními systémy, a zda tato integrace nemůže být kompromitující.

 

Odcházím od jedné banky poté, co změnili grafické rozhraní a po přihlášení se na něm zobrazila ikonka Facebooku, který je také v cloudu. To mě trochu vystrašilo. Jaký je Váš názor na tyto segmenty v cloudu?

Nemusí to s (ne)bezpečností jejich portálu souviset, může jít jen o komunikaci prostřednictvím Facebooku. Jak jsem již uvedl, nikdo z nás neví, jak jsou tyto systémy provázány, co do Facebooku poskytují, a jestli vůbec, zda personál ví, co smí a nesmí do tohoto komunikačního kanálu poskytnout za data. To je opět alfa a omega. Stále mnohdy platí jedna věc, že mnohem jednodušší je útok prostřednictvím interního zaměstnance a oprávněného uživatele, než pomocí vzdálené elektroniky, pokud se samozřejmě bavíme o útoku proti jednomu subjektu. Tolik v nebankovní sféře.

 

Lze nějakými způsoby ohrozit prostředky v bankovní sféře?

V bankovnictví a finančnictví se aktuálně skupina hackerů pyšní tím, že přes napadené počítače a účty zaměstnanců bank do nich dokázali proniknout a odcizit nemalé zdroje. Znám ale i případy z České republiky, kdy interní administrátoři bankovních systémů byli odpovědni za krádeže prostředků „jejich“ bank. V podstatné části případů došlo k odhalení buď díky vyšetřování a jejich odhalení jako pachatele, nebo náhody. Například vrátili prostředky na účet, který nemohl jít do plusu, poznala je nová zaměstnankyně, kterou daný administrátor školil a jiné případy.

 

Jak nahlížíte na problematiku bezpečnosti v oblasti osobních dat jednotlivců?

Mohu říci, že mne příliš neuklidňuje, že informace o mně jsou předávány bez mého vědomí a možnosti jakékoliv kontroly třetím subjektům. Navíc tyto subjekty nemusejí být vázány ani patřičnou podmínkou ochrany těchto dat. Případně že mohou být zákony své země nuceni k předávání těchto dat svým vládám. Právo v těchto oblastech se mezi jednotlivými státy může dalece lišit a nemusí být ani součástí smlouvy. Tuto problematiku si mnoho společností a organizací uvědomuje a zůstává v této oblasti někde na půli cesty. Budují si proto tzv. privátní cloudy. Jde o prostředí, jehož pořizovací náklady, případně i provozní náklady, smluvně zajišťuje další subjekt, který je pak poskytuje jako službu, avšak pouze pro daného zákazníka.

 

Zmínil jste se o problematice bezpečnosti a předávání dat mezi jednotlivými státy. Jak je otázka cloudu řešena např. u mezinárodních společností?

Není žádným tajemstvím, že některé bankovní domy mají své mateřské společnosti v zahraničí a jsou nuceny kvůli snižování nákladů skupiny přenášet některé systémy do centrálních datových center, která nemusejí být na území našeho státu. Takováto data proto nemusejí být pod řádnou kontrolou našeho státu a jiný stát k nim může mít přístup na základě vlastního právního řádu. Tyto problémy globalizace, týkající se i ICT, nejsou zatím na mezinárodní úrovni dostatečně ani řešeny, ani diskutovány. Právní nejistoty v této oblasti jsou jednou z hlavních oblastí, pro kterou jsem ve vztahu ke cloudu velice opatrný.

 

Máte pro potenciální uživatele cloudu nějaká doporučení na závěr?

Závěrem bych řekl, že ochrana našich elektronických informací není obecně na moc dobré úrovni a světově zmíněné úniky dat jak od státních institucí, tak od soukromých společností, jsou v zásadě na denním pořádku, jen nejsou tolik medializovány. S trochou nadsázky se dá říci, že jediná informace, která je opravdu bezpečná, je ta, která nevznikla. Pokud někdo něco vymyslí, tak to doslova rozkecá. Pokud je informace v tištěné podobě, tak se zkopíruje. Je-li v elektronické podobě, lidé ji rozešlou e-mailem. Toto je poněkud pesimistický závěr, ale bohužel nemá příliš daleko k realitě. V době kdy i CIA říká, že oni nemohli být odpovědni za atentát na Kennedyho a zdůvodňují to tvrzením, že by to už dávno někdo – prostě rozkecal.

 

 

 

 

 

 

 

 

 

 

 

 

Jít zpět