A legtöbb vállalat továbbra is a biztonság miatt aggódik - derült ki az IDG Enterprise júniusi felméréséből (2013 Cloud Computing Survey) is, amely 1358 IT-vezető válaszai alapján ad képet a szervezetek felhőstratégiájáról. Bár a tavalyi, hasonló körkérdés eredményéhez képest kis mértékben nőtt (27-ről 29 százalékra emelkedett) a vállalatok aránya, amelyek informatikai rendszereik többségét a felhőbe kívánják helyezni a következő öt évben, a válaszadók kétharmada (67 százaléka) azt mondta, hogy a felhő kapcsán elsősorban a biztonság kérdése foglalkoztatja. Összehasonlításképp az integrációt az IT-vezetők 46 százaléka látja kihívásnak. A megkérdezettek közel háromnegyede (73 százaléka) nyilatkozott úgy, hogy legalább valamelyest meg van győződve felhőben tárolt adatainak biztonsága felől - de ez a bizalom az elmúlt egy évben valamelyest gyengült.
Minél nagyobb a vállalat, a felhő biztonsága annál behatóbban foglalkoztatja. A válaszadók 56 százaléka fogalmazott úgy, hogy vállalata addig nem tud előrelépni a felhőbe vezető úton, amíg a szolgáltatók biztonsági intézkedéseit nem felelteti meg a törvényi megfelelés követelményeinek. Az IT-vezetők több mint fele (52 százaléka) egyetért azzal, hogy a felhő biztonsága szolgáltató és ügyfél közös felelőssége. A válaszadók éppen ezért nagyobb rálátást szeretnének a felhőszolgáltató biztonsági intézkedéseire, közel 60 százalékuk helyszíni felülvizsgálatot is tartana az adatközpontban. Az IT-vezetők több mint fele azt is elvárja a felhőszolgáltatóktól, hogy a biztonságot tegyék termékfejlesztésük szerves részévé, és általában használjanak ipari szabványos keretrendszereket, biztosítsák az együttműködést az ügyfeleknél meglévő információbiztonsági architektúrákkal.
Két, nemzetközi sikereket elérő, magyar felhőszolgáltatótól kérdeztük a felmérés kapcsán, mit tesznek annak érdekében, hogy ügyfeleik nagyobb biztonságban tudhassák a nyilvános felhőben kezelt adataikat és információikat?
Szolgáltatói hitelesség
A piaci, technológiai trendek, a gazdaságosság szempontjai egyaránt a felhő irányába terelik a vállalatokat, és szolgáltatót annak hitelessége alapján fognak választani - mondta Spilák Viktor, a Kürt Zrt. kutatás-fejlesztés- és innovációmenedzsment üzletágának vezető szakértője. - Ez nem is lehet kérdés, mert amikor a vállalat úgy dönt, hogy külső infrastruktúrát vesz igénybe, fontos információkat és funkciókat helyez saját felügyeletén kívülre. A technológiai megfontolások és az ár mellett a reputáció, a hitelesség és a megbízhatóság fogja eldönteni, ki mellett teszi le voksát az ügyfél. Érdemes olyan szolgáltatót választani, aki magas rendelkezésre állású, biztonság szempontjából is vizsgált, átlátható megoldást kínál, ezzel erősíti a felhasználó bizalmát. Mi a KÜRT Cloud kialakításakor egyrészt anyavállalatunk negyed évszázados információbiztonsági és adatvédelmi tapasztalatára építettünk, másrészt felhasználtuk a legújabb biztonsági technológiákat, és saját biztonsági fejlesztéseket is alkalmaztunk.
A végeredmény többek között egy sérülékenységi labor lett, amely a KÜRT Cloudban üzemel.
- A labor automatikus sérülékenységvizsgáló algoritmusokra épül, amelyeket a CrySyS Lab munkatársai által alapított Ukatemi Technologies közreműködésével fejlesztettünk ki - világított rá Spilák Viktor. - Szolgáltatásunk keretében ügyfeleink automatikus sérülékenységvizsgálatot indíthatnak a felhőnkben futó, vagy akár saját, belső infrastruktúrájukban üzemelő gépeiken. A vizsgálat lehet egyszeri, vagy futhat folyamatosan, meghatározott időközönként. Az egyedi virtuális gépek vizsgálata mellett a sérülékenységlabor robotjai folyamatosan vizsgálják a teljes KÜRT Cloud biztonsági állapotát is. A feltárt sérülékenységek visszacsatolásával és a hibák javításával szavatolni tudjuk a KÜRT Cloud biztonságát.
A szakember szerint elengedhetetlen a rendszerek folyamatos monitorozása, az adatok gyűjtése és logelemzés által értelmezhető információkká alakítása is.
- Ez a folyamat tiszta képet ad a rendszer pillanatnyi állapotáról, mivel rögzítésre kerül minden beavatkozás, és visszakereshetővé válik az összes múltbeli esemény is - fejtette ki Spilák Viktor. - A KÜRT Cloudban a teljes rendszerműködésre nézve loggyűjtési eljárást vezettünk be, melyet kiegészítettünk az időbélyegzés lehetőségével, így a tárolt logok hitelességéhez nem férhet kétség. A saját fejlesztésű logelemző megoldásunk, a Logdrill révén folyamatos, pontos információt kapunk a logállományok által leírt változásokról. Ügyfeleinknek lehetőséget adunk saját rendszereik folyamatos elemzésére, így a távoli szervereken futó alkalmazásaik fölött is teljes kontrollt gyakorolhatnak. Minden információbiztonsági szakember tudatában van annak, hogy maximális biztonsági szint nem létezik. Azonban alapvetően elvárható, hogy a szolgáltató a biztonsági kockázatokat a technológiailag elérhető legalacsonyabb szinten tartsa. Folyamatos kutatással és biztonságtechnológiai fejlesztésekkel ez garantálható.
Ne bizalomra építsünk
A felhőben történő, biztonságos fájlmegosztáshoz kliensoldali titkosításra épülő megoldást kifejlesztő Tresorit Kft. ügyvezető igazgatója, Lám István szerint a felhasználóknak gyakorlatilag nincs lehetőségük arra, hogy ellenőrizzék, szolgáltatójuk milyen technológiákkal, folyamatokkal és szabályozásokkal igyekszik növelni a biztonságot.
- Szervereinket nagy és tapasztalt szolgáltatók sokszorosan túlbiztosított rendszerein működtetjük, de megoldásunk teljesen a kliensoldalon kezeli a titkosítási kulcsokat, azok soha, még átmenetileg sem kerülnek titkosítatlanul a szervereinkre - mondta az ügyvezető. - Így ha a szervereket feltörnék, akkor se lenne baj. Mi azzal bizonyítjuk, hogy valóban azt tesszük, amit ígérünk, hogy vérdíjat tűztünk ki saját fejünkre. Tízezer dollárt fizetünk annak, aki feltöri megoldásunkat. Sőt, az auditálhatóság érdekében kliensszoftverünket, amely minden logikát hordoz, digitálisan aláírjuk, ezért ha később egy szakértő találna egy hátsó kaput (backdoort) a kódunkban, ránk tudja bizonyítani. Ha nem azt tennénk, amit mondunk, akkor biztos, hogy akadt volna már olyan élelmes hacker, aki követelné a díjat. De ez egyedi eset. Ahol szerveroldalon titkosítják a felhasználói adatokat, ott a felhasználónak egyáltalán nincs rá lehetősége, hogy meggyőződjön a biztonságról. A jelenleg elérhető szolgáltatások koncepciójuknál fogva sem garantálnak maximális biztonságot, és a Tresorit pontosan ezt a piaci rést célozza meg. Más szolgáltatóktól eltérően nálunk minimális bizalomra van szükség. A Google-nek például mindannyian ki vagyunk szolgáltatva, és teljes mértékben meg kell bíznunk abban, hogy nem él vissza az adatainkkal. A Tresoritot úgy építettük fel, hogy bennünk, mint szolgáltatóban soha nem kell megbízni.
Veszélyes felhasználók
Maguk a felhasználók is sokat tehetnek a felhőszolgáltatások biztonságosabb használatáért. Néhány tanács a folyamatos szoftverfrissítésen, az összetett és szolgáltatásonként eltérő jelszavak, antivírus és tűzfal használatán túl a Tresorit szakembereitől:
- Soha ne jelentkezzünk be megbízhatatlan eszközről, például könyvtárban vagy netkávézóban található gépről.
- Mindennapi használatra ne rendszergazdai joggal jelentkezzünk be, így nem okozhatunk bajt, ha véletlenül félrekattintunk.
- Ha prezentációt tartunk vagy valaki mást engedünk a gépünkhöz, hozzunk létre vendégfelhasználót.
- Lehetőleg kerüljük a nyilvános wifi-hálózatokat, de ha mégis használjuk őket, akkor kizárólag megbízható SSL kapcsolaton keresztül dolgozzunk.
- Kétszer is gondoljuk meg, hogy milyen linkre kattintunk, főleg e-mailekben. Ne feledjük, egy ügyes hacker bárki nevében tud levelet küldeni, és az adathalászat (phishing) a legalattomosabb, legnehezebben védhető támadás.
- A böngészés a legveszélyesebb dolog, amit egy felhasználó tehet, a legnagyobb körültekintés ellenére is áldozatul eshet például egy XSS (cross-site scripting) támadásnak. Gyanús oldalakon váltsunk privát böngészési módra, vagy használjunk valamilyen script-blokkoló kiegészítőt (NoScript).
