Organizace provozuje již roky své vlastní datové centrum, ale management se rozhodl, že nově vyvíjená aplikace poběží v bezpečném cloudu provozovaném důvěryhodnou třetí stranou, a chce vědět, zda se nějak změní rizikový profil.

Zde je třeba si uvědomit, že se nám zde podstatně mění povrch útoku, který se zásadně zvětšuje, protože kromě vlastních zaměstnanců (insiderů) budou mít k datům a systémům přístup i zaměstnanci třetí strany.

Po sérii předchozích článků by se mohlo nezasvěcené osobě zdát, že jsme proti cloudům. Není tomu tak, jsme jen proti bezhlavému přesunu dat do cloudů bez provedené analýzy rizik.

Např. SME až na výjimky zpravidla nejsou schopny dosáhnout takové úrovně bezpečnosti jako korporace, takže se pro ně může jevit jako výhodnější svěřit správu dat někomu, kdo tomu opravdu rozumí, tedy CSP. Ovšem nenechte se zmást odbornými termíny a zkratkami (HSM, FISP, BYOK, key splitting, apod.)

Minule jsme si ukázali, že data-at-rest šifrování není všespásné, a že naopak jen mitiguje rizika, která nejsou až tak pravděpodobná.

V praxi jsem se setkal s tím, že uživatelé jsou přesvědčení, že jejich data v AWS, SalesForce, GCP,.. jsou šifrována jejich klíčem a poskytovatel tedy k datům nemá přístup, což je zásadní omyl.

Fyzická bezpečnost datacenter, ve kterých jsou cloudy provozovány bývá zpravidla na velmi vysoké úrovni. Občas sice nějaké lehne popelem, ale jsou zde mnohém větší rizika, např. únik informací.

To se řeší řízením přístupu a šifrováním. Šifrování je vůbec takové magické slovo. Šifrují zločinci, agenti ve filmech, a spousta dalších institucí a poskytovatelů. A na ty se podíváme. Když je něco šifrované, tak je to přeci zabezpečené nejlépe, jak to jde. Opravdu?

Dali data do cloudu, a teď je tam skutečně mají, ve velkém mraku kouře, do kterého se tato data rychle přetransformovala.

K požáru došlo ve středu 10. 03. 2021 v 00:47  v datacentru v budově Alsace Tourisme SBG2 ve Štrasburku. Krátce na to se objevila zpráva na Twitru: SBG2 just gone. SBG1 damaged. SBG3 at risk. SBG4 safe. Customers told to activate DR plans.

Cloudy jsou v zásadě homogenní prostředí, které útočník může předem detailně prozkoumat, důkladně otestovat a najít v nich zranitelnosti, kterých může následně zneužít.

Jednoduše si zaplatí a dočasně se stane klientem Microsoftu, Googlu, Amazonu nebo nějaké jiné organizace provozující cloud a vyžádá si bezpečností politiky, standardy, příručky a vůbec veškerou dokumentaci a tu i dostane.

Trendem posledních let je přesouvat data i celé informační systémy do cloudů.

A pokud tento trend bude pokračovat i nadále, lze očekávat, že většina firem do několika málo let přesune svá data a systémy do cloudu, a můžeme hádat jen jednou, že to bude ten největší a nejlacinější.

Opět můžeme zaznamenat další významný trend co do cíle útoku ransomware. Ten kromě desktopů, mobilů a serverů napadá nyní i celé cloudy.

Stále více ransomware útoků je vedeno na cloudy využívaných ze strany firem, protože tam útočníci očekávají větší příjmy než od běžných uživatelů PC, kterým zašifrovali jejich osobní data.

Je žádoucí, aby byl systém, který je součástí kritické informační infrastruktury státu provozován v public cloudu umístěném kdesi ve světě, tedy mimo území České republiky?

Odpověď kompetentních orgánů se teď zatím nese v duchu, pokud to bude zabezpečeno stejně, jako kdyby to bylo v datovém centru v ČR, tak s tím nemáme problém. Což o to, ono to možná bude zabezpečeno v některých případech i lépe, jenže problém je někde zcela jinde.

V jakém cloudu provozovat aplikace a sdílet data dostupná přes internet pro zaměstnance i externí spolupracovníky, v soukromém nebo veřejném?

Nepochybuji o tom, že vašemu rozhodnutí o tom, v jakém režimu budete danou službu provozovat, bude předcházet analýza rizik. Je zřejmé, že budete muset zvážit, kde je riziko napadení a úniku informací větší, a kde ho lze lépe zvládat.