Bezbednost podataka u cloud okruženju
Prva stvar koja je definitivno istina jeste da je cloud computing iz korena promenio način na koji danas funkcionišu informacione tehnologije (IT). Prednost ovakvog pristupa je ogromna jer su vaši podaci dostupni gde god da se nalazite i možete im pristupati sa svih vrsta uređaja bez obzira na to koji operativni sistem imaju.
Ono što je tema ovog članka jeste odgovor na pitanje koje često dobijam od klijenata a to je dilema da li smem svoje podatke da čuvam u cloud okruženju i koliko je to bezbedno, odnosno koji su rizici takve akcije. Pokušaću da ukratko objasnim par stvari vezano za samo funkcionisanje cloud-a, kao i bezbednosne rizike koji se pojavljuju u ovakvom okruženju. Pa da krenemo redom…
Prva stvar koja je definitivno istina jeste da je cloud computing iz korena promenio način na koji danas funkcionišu informacione tehnologije (IT). Prednost ovakvog pristupa je ogromna jer su vaši podaci dostupni gde god da se nalazite i možete im pristupati sa svih vrsta uređaja bez obzira na to koji operativni sistem imaju (mobilni telefoni, tableti, laptopovi…). Ovo je veoma pozitivna stvar vezana za prednosti korišćenja ove tehnologije jer jedan od efekata svakako jeste mogućnost velike uštede na IT troškovima kompanije, zato što se neko drugi brine o vašim podacima a i korisnici mogu sa jeftnijih uređaja da koriste resurse (ne moraju svi da imaju jake računare sa snažnim procesorima i dosta RAM memorije). Međutim, potrebno je znati da postoje tri osnovna modela servisa u svakom cloud okruženju i da svaki od navedenih modela ima različiti uticaj na bezbednost u cloud‑u, odnosno da nijedna mera bezbednosti nije univerzalno primenjiva na sva tri modela. Postoje sledeći modeli:
- Infrastruktura kao servis (Infrastructure as a Service – IaaS);
- Platforma kao servis (Platform as a Service – PaaS);
- Softver kao servis (Software as a Service – SaaS).
Pošto tema ovog članka nije da predstavi detaljno tipove cloud usluga ovde se neću baviti objašnjavanjem svakog od njih pojedinačno ali želim još jednom da naglasim da svaki od njih ima svoje bezbednosne rizike koji nisu univerzalni.
Da li i koliko kontrolišete svoje podatke ako ih outsource‑ujete?
Cloud provajderi uglavnom imaju dobro opremljene data centre, adekvatnu logistiku i visokokvalifikovano IT osoblje, što mala i srednja preduzeća u Srbiji sebi teško mogu da priušte na tom nivou. Ovde treba voditi računa da i dalje najveća odgovornost jeste na korisniku jer ne znači puno ako cloud provajder vodi računa o svim ostalim stvarima a korisnik ne zaštiti svoj pristup cloud-u.
Koje podatke čuvati na cloud-u?
Oko ovog pitanja se uvek podiže velika polemika. Naime, neke vrste podataka su isuviše osetljive za smeštaj u javni ili hibridni cloud. Tu pre svega spadaju poverljivi poslovni podaci kao što su na primer podaci o klijentima. Kako sam već napomenuo, postoje različite varijante cloud-a pa se postavlja pitanje koji je pravi model za vaše poslovanje. Kod public cloud-a situacija je takva da više korisnika deli isti prostor za skladištenje podataka i tu je bezbednost na mnogo nižem nivou. Za razliku od toga privatni ili hibridni cloud ima sasvim drugačije karakteristike, ali i cene korišćenja, pa o svemu treba povesti računa prilikom odabira.
Zašto bi trebalo da imate poverenja u svog cloud provajdera?
Danas je većina cloud provajdera sertifikovana za poslove koje rade i trude se da steknu i očuvaju dobru reputaciju zbog starih i novih klijenata. To znači da su spremni da ispune određene standarde koji vam odgovaraju i koje vi verovatno ne možete tako lako ispuniti i dostići kao kompanija. Izbor cloud provajdera je stvar poverenja i to se mora graditi tokom vremena.
Da li da koristim cloud u poslovanju ili ne?
Odgovor sa moje strane je jednostavan – da. Ali, potrebno je da ipak sami donesete odluku jer o bezbednosti vaših podataka uglavnom sami morate odlučiti. Ako se odlučite da koristite ovakvu uslugu potrebno je proveriti usaglašenost cloud provajdera sa regulativom, posedovanje odgovarajućih sertifikata, mogućnost eksterne revizije, kao i kredibilitet provajdera i njegovih administratora.
Pošto su svesni rizika, provajderi koji nude cloud computing usluge veoma ozbiljno shvataju opasnosti koje vrebaju u cloud-u. Čak i u slučaju da se desi neki neželjeni upad u sistem, to ne znači da su podaci hakerima dati „na tanjiru“. Oni se enkriptuju i gotovo je nemoguće dešifrovati ih u nekom razumnom vremenskom periodu (ono što ovde stvara još dodatne zabune jeste veliki broj vesti koje se brzo šire Internetom kako je došlo do kompromitovanja velikog broja podataka – što uglavnom nije tačno već su uzete samo heš (eng. hash) vrednosti lozinki i veliko je pitanje da li se i na koji način stvarno mogu razbiti). Kako god da okrenete, moje lično mišljanje je da rad u cloud okruženju donosi niz prednosti u odnosu na rad sa izolovanim računarima. Naravno, trebamo biti obazrivi i voditi računa o svemu ali ne treba da postoji paranoja i odbacivanje ovakve tehnologije koja će se u budućnosti svakako sve više razvijati.
Budućnost ili sadašnjost?
Zamislite sledeći scenario – živite u Londonu, koristite usluge javne garaže gde koristite mesečni zakup parking mesta za svoj automobil. Sve je to jedan složen cloud sistem koji omogućava da vi sa svojom karticom i PIN kodom pristupate svom parking mestu i ulazite u garažu. U jednom momentu, posle neplaćenih računa ili zbog nekakve tužbe na račun parkinga, neko vam ugasi nalog za pristup sistemu i samim tim i garaži u centru Londona. Da li mislite da je ovo neki naučno fantastični film iz perioda posle 2020. godine? Odgovor je ne – ovo je vest koja je iz današnjice, i kao što možete videti sve ovo je već postalo naša realnost. Na kraju, da li ćemo i u kojoj meri da koristimo ovakve tehnologije najviše zavisi od nas samih.