Je dobrý nápad provozovat kritickou informační infrastrukturu státu v zahraničním cloudu?

Je žádoucí, aby byl systém, který je součástí kritické informační infrastruktury státu provozován v public cloudu umístěném kdesi ve světě, tedy mimo území České republiky?

Odpověď kompetentních orgánů se teď zatím nese v duchu, pokud to bude zabezpečeno stejně, jako kdyby to bylo v datovém centru v ČR, tak s tím nemáme problém. Což o to, ono to možná bude zabezpečeno v některých případech i lépe, jenže problém je někde zcela jinde.

Je třeba uvést, že České republice patří v žebříčku NCSI, který hodnotí připravenost států na kybernetické útoky a incidenty, 1. místo mezi 131 státy. Stejně dobře se Česká republika umístila i v žebříčku GPI, který hodnotí mírumilovnost dané země, kde ji náleží 10. pozice mezi 163 státy a teritorii a toto dobré umístění si ČR drží.

Na základě této skutečnosti lze usuzovat, že pravděpodobnost a úspěšnost APT útoků vedených na organizace působící na území ČR je relativně nízká, neboť nízký jest motiv útočníka a vysoká jest úroveň bezpečnosti. Co se však stane v okamžiku, kdy se data přesunou do cloudu, který se nachází v jiné zemi a nachází se v něm i data a systémy jiných mocností?

Podstatně se nám změní riziko. Nebude už nízké, ale vysoké. Ptáte se proč? Je tomu tak proto, že ty ostatní země se nachází v žebříčku hluboko pod námi, především pro jejich účast ve válečných konfliktech a prosazování svých mocenských zájmů všude po světě.

A jelikož každá akce vyvolává i reakci, tak se válečné konflikty potom přelévají z reálného světa do toho virtuálního, a celkem logicky tak dochází ke kybernetickým útokům na jejich systémy a data v kyberprostoru. A ty jsou, jaká to náhoda, umístěny přesně ve stejných cloudech jako ty naše.

Takový kybernetický útok nemůže dopadnout jinak, než že při tom zařvou i nevinní, rozuměj další organizace, jejichž manažeři a vedoucí pracovníci se nechali přesvědčit, že přesunem do cloudu podstatně ušetří. V odborné terminologii se říká, že při útoku došlo ke vzniku tzv. vedlejších ztrát (collateral damage). Otázka je, jak velké ty ztráty budou.

Pro organizaci, která ty systémy a data do toho cloudu dala, ty ztráty nemusí být až takové, ovšem pro ostatní, kteří jejich služeb využívali, ten dopad může být naprosto zásadní. Koneckonců, proto ten systém byl označen jako kritická informační infrastruktura, zkr. KII, významný informační systém, zkr. VIS anebo systém základních služeb, zkr. SZS.

Řešení je nasnadě, pokud organizace provozující KII, VIS nebo SZS nechce investovat do svého datového centra a chce msto toho využít služeb cloudu, tak může. Ovšem onen cloud by se měl nacházet na území ČR, a neměly by v něm být systémy a data ostatních států, aby se minimalizovalo riziko útoku, a kdyby k němu přeci jen došlo, tak aby se v rámci projektu Fénix mohl odpojit od okolního světa.

Z výše uvedeného důvodu by kompetentní orgány měly vydat jasné stanovisko ohledně toho, zda s KII, VIS nebo SZS do cizích cloudů jít anebo ne. Koneckonců, když mohou vydávat závazná stanoviska ohledně délky hesla a konkrétních technologií, neměly by se vyhýbat ani jasné odpovědi na tuto otázku a případné formulaci příslušného nařízení a novelizaci VoKB.

Jsem přesvědčen o tom, že systémy, které jsou součástí kritické informační infrastruktury státu, by se neměly provozovat v zahraničním cloudu.

Nahrávání ... Nahrávání ...
Pokud vás tento článek zaujal, můžete odkaz na něj sdílet.

Štítky:


K článku “Je dobrý nápad provozovat kritickou informační infrastrukturu státu v zahraničním cloudu?” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: