Czy chmura jest bezpieczna?

Żyjemy w ciekawych czasach. W ciągu kilku ostatnich miesięcy wiele czynności, które wykonywaliśmy analogowo, przeszło transformację cyfrową. Firmy chcące “przeżyć” i rozwijać się dalej, musiały szybko zaktualizować swoje strategie z tych stacjonarnych na bardziej online-owe. Oczywiście, aby to wszystko miało „ręce i nogi”, niezbędne są efektywne, relatywnie tanie rozwiązania technologiczne. Jednym z tych godnych rozważenia jest właśnie chmura technologiczna.

W tym artykule nie będę analizował rodzajów chmur, ich zalet, stosowanych technologii, bo o tym napisano już wiele. Dla tych, którzy potrzebują wstępu teoretycznego, polecam poszukać go na własną rękę. Tutaj skupię się na aspekcie bezpieczeństwa informacji w chmurze, bo to, że usługa działająca w chmurze będzie fajna, to jedno, ale powinna ona być również bezpieczna.

Informacje – czyli co chcemy wrzucić do chmury

Podstawa podstaw. Wiemy już, że chcemy iść w rozwiązanie chmurowe. Ale czy aby na pewno wiemy, jakie informacje będziemy w niej przetwarzać? Warto poświęcić trochę czasu i zastanowić się nad tym, a najlepiej pokusić się o klasyfikację informacji, z jakimi będziemy pracować. Mówiąc w uproszczeniu, od tych mniej istotnych po krytyczne, z punktu widzenia danego biznesu. Przykładowo, informacje o firmie, które mogą być znane wszystkim, można nazwać publicznymi, te które dotyczą „lekkich” spraw pracowniczych (artykuły w wewnętrznym Intranecie) – wewnętrznymi, dane pracowników – wrażliwymi, i tak jeszcze można wymyślić z dwa poziomy klasyfikacji. 

Trzeba również spojrzeć na informacje pod kątem tych, które można nazwać prawnie chronionymi i tymi, które takie nie są. To oczywiście może wynikać z różnych przepisów obowiązującego prawa. W chmurze może pływać wszystko: dane osobowe, transakcyjne, algorytmy, całe aplikacje, ściśle tajne dokumenty firmy. Od wyboru, które informacje będziemy przetrzymywać, zależy, o jakie rzeczy będziemy musieli zadbać, aby były one bezpieczne i nie stały się ofiarą wycieków, które nota bene, są ostatnio „popularne”. 

Otoczenie regulacyjne – tylko po co?

Ustawy, regulacje, standardy, komunikaty. W teorii niektórzy nie muszą się nimi przejmować. Ale w praktyce, nawet jeśli dany dokument nie dotyczy naszego biznesu, warto się z nimi zapoznać, bo możemy w nich znaleźć niezwykle przydatne wskazówki dotyczące tego, jak zadbać o to, aby nasze informacje w chmurze i ogólnie cała usługa była bezpieczna. 

Są też takie branże, dla których regulacje to obowiązkowa lektura, aby po wdrożeniu biznesu w chmurze, nie okazało się, że nagle trzeba go natychmiast zamykać, bo wymogi nie zostały spełnione. A przecież wystarczyło się z nimi zapoznać (i spełnić) odpowiednio wcześniej. 

Pamiętajmy, aby zwrócić uwagę na informacje chronione prawem, o czym wspomniałem już wyżej. Dla chcących zapoznać się ze stanowiskiem dotyczącym chmury ważnych instytucji, takich jak Komisja Nadzoru Finansowego i Związku Banków Polskich, zapraszam do lektury ich publikacji: komunikat KNF i standardy ZBP.

Gdzie są moje informacje, czyli kto miał piątkę z geografii?

Założeniem chmury jest to, że nieważne gdzie, ale jak (najlepiej dobrze) przetwarzane są informacje. I choć chciałoby się tu zastosować powiedzenie „czego oczy nie widzą, tego sercu nie żal”, radzę jednak trochę się wysilić i posiąść wiedzę, gdzie konkretnie znajdują się chmurowe centra danych. I nie chodzi mi tutaj o dokładne określenie ich współrzędnych na mapie, ale wystarczy znajomość krajów, a nawet związków państwowych np. Unia Europejska. Jest duża szansa, że ustrzeże to nas przed wieloma wyzwaniami prawnymi, wynikającymi z regulacji, ułatwi konstrukcję umów opisujących świadczone usługi. 

Co więcej, jeśli natrafimy na newsa o wycieku danych w jakimś miejscu na świecie, będziemy mogli spać spokojnie, bo to nie nasza chmura lub podjąć odpowiednie działania, aby uspokoić naszych Klientów. Mała wskazówka: na pewno łatwiej w kontekście prawnym będzie korzystanie z chmur zlokalizowanych na terenie Europy, a najlepiej w Unii Europejskiej.

Bezpieczne przetwarzanie informacji w chmurze

Chmura wybrana, informacje sklasyfikowane, regulacje przestudiowane, geografia podszkolona. Czas na to, aby DŁUŻSZĄ chwilę poświęcić aspektowi bezpieczeństwa informacji w chmurze.

Zabezpieczenia

Zacznijmy od zapoznania się z opcjami zabezpieczeń, jakie proponuje usługodawca, które minimalizują ryzyko wycieku informacji. Nie powinno być problemu z uzyskaniem takiej wiedzy, bo chmurodawcom zależy, aby oferowany produkt był bezpieczny. Co więcej, nie wykluczam, że dostawca będzie skory do udzielania odpowiedzi na Wasze pytania, a może nawet do elastycznego podejścia do proponowanych zabezpieczeń, aby spełniały Wasze potrzeby. 

Dostępy

Następnie z dużą precyzją należy określić, kto będzie miał dostęp do naszych danych. Ile będzie takich osób, dla jakich dostawców i w jakich krajach będą oni pracować. Czy wszyscy będą mieli takie same dostępy, czy będą one regulowane konkretnymi procedurami, umowami. Czy będą zabezpieczone silnymi mechanizmami uwierzytelniającymi. Czy będziemy mieli wpływ na te wszystkie aspekty, czy będziemy mogli się tylko godzić na to, co zaoferuje dostawca. 

Wskazówka: im krótszy łańcuch dostawców, którzy będą mieli dostęp do naszych informacji, tym lepiej. Poza tym trzeba zwrócić uwagę na użytkowników uprzywilejowanych, obsługujących naszą chmurę (czyli adminów). Ich działania powinny być monitorowane, logowane, a dostęp zabezpieczony silnymi mechanizmami uwierzytelniającymi.

Szyfrowanie danych

Wiedza typu must have. Nie wyobrażam sobie, aby informacje (szczególnie te istotne) przetwarzane w chmurze, nie były szyfrowane. Do dyskusji pozostaje zarządzanie kluczami szyfrującymi, ale im ważniejsza informacja, tym bardziej zalecane jest, aby to zarządzanie było po stronie biznesu.

Rozwiązania zapasowe

Koniecznie rozważmy też sytuację, kiedy możemy stracić dostęp do naszych informacji. Oczywiście można się przed tym zabezpieczyć posiadając backup po swojej stronie. Ale przyczyny utraty dostępu do informacji mogą leżeć również po stronie dostawcy, dlatego warto wiedzieć jakie rozwiązania zapasowe proponuje, jakie są gwarantowane czasy powrotu dostępu do danych i czy te czasy są osiągalne. Dostawcy powinni je cyklicznie potwierdzać np. w testach odtworzenia. 

Wskazówka: zabezpieczmy się przed niespodziewaną utratą dostępu do informacji odpowiednim planem działania, zróbmy go po swojej stronie, ale wymagajmy również od chmurodawcy takiego planu, który będziemy mogli zobaczyć i ocenić jego efektywność.

Brak dostępu do informacji może być spowodowany jakimś incydentem. Dostawca przynajmniej powinien zapewnić Was, że tego typu sytuacje „ogarnia” na podstawie konkretnych procedur, a tak w ogóle, to incydentów prawie nie ma. Spróbujcie jednak przycisnąć dostawcę, aby przedstawił Wam tego typu procedury, a przy okazji przygotujcie się również po swojej stronie na nieoczekiwane zdarzenia. Upewnijcie się, że przynajmniej wiecie z kim i w jakich godzinach (tak, strefy czasowe też mają znaczenie) możecie skontaktować się po stronie dostawcy. Ma to bardzo duże znaczenie, bo incydenty, szczególnie te, gdzie informacje mogą zostać ujawnione osobom niepowołanym, trzeba zgłaszać do odpowiednich instytucji.

Odejście od chmury

I na koniec zadbajmy też o to, aby wiedzieć, jak będzie wyglądała procedura „zabrania” naszych danych z chmury i ich wymazania. Wcale nie musi być to takie proste i oczywiste jak wykonanie komendy „transferuj, a potem wykasuj”. Lepiej być na to przygotowanym, szczególnie jeśli np. zmiana opłat za proponowane usługi będzie daleka od naszych oczekiwań i będziemy chcieli szybko zmigrować biznes do konkurencji. 

Wskazówka: Tak jak w przypadku utraty dostępu do informacji, tu również warto mieć odpowiedni plan działania, oczywiście realny, czyli uwzględniający działania we współpracy z dostawcą chmury.

Umowa, bo jakoś trzeba to sformalizować

Nie traktujmy umowy jako zła koniecznego. Stwórzmy ją tak, aby adresowała wszystkie istotne dla nas kwestie, które opisałem powyżej. Jeżeli możemy, skorzystajmy z usług osoby, która profesjonalnie zajmuje się takimi dokumentami. Jest szansa, że ochroni nas to przed późniejszymi meandrami interpretacji zapisów. I znowu, zajrzyjmy do funkcjonujących regulacji, standardów, gdzie na pewno znajdziecie sporo na temat, co w umowie znaleźć się powinno. 

Wskazówka: jeszcze raz zachęcam do lektury komunikatu KNF i standardów ZBP, do których linki znajdziecie powyżej.

Podsumowanie

Mam nadzieję, że przybliżyłem Wam aspekt bezpieczeństwa informacji w chmurze, zwróciłem uwagę na jego istotność i na to, o jak wielu rzeczach trzeba pamiętać, aby wszystko odpowiednio poukładać. Wykorzystując rozwiązania chmurowe (które nie ma co ukrywać, będą coraz powszechniejsze), róbmy to z głową i pamiętajmy o nieco wyświechtanej, ale nadal aktualnej frazie, że największą wartość mają dzisiaj właśnie informacje, dlatego należy dołożyć wszelkich starań, aby były one bezpieczne.