Securitatea datelor din Cloud- o problema fara solutie?
Date statistice
De cele mai multe ori, cand deschidem subiectul cloud, ne axam pe problema securitatii datelor stocate. Ca orice noua metoda, reticenta initiala este explicabila. Cu toate acestea, se pare ca nu este doar o idee preconceputa securitatea datelor stocate in cloud, avand in vedere faptul ca doar anul trecut aproape jumatate dintre companiile care au imbratisat ideea stocarii datelor pe cloud, au raportat scurgeri de informatii si atacuri mai mult sau mai putin soldate cu succes.
Cifrele indica un procent de 43% dintre firmele care au stocat date in cloud si care au intampinat astfel de probleme, procent destul de mare, ceea ce genereaza un val de ingrijorare din partea utilizatorilor. Firme de renume cum este Home Depot, de exemplu, au anuntat probleme in bazele de date stocate in cloud. Acest procent este in crestere cu 10% fata de 2014 si se pare ca se remarca un trend ascendent in continuare.
Mai mult decat atat, pot fi afectate inclusiv datele personale (conturi bancare) ale persoanelor fizice, asa cum a fost cazul in Corea de Sud unde au fost compromise elementele de securitate ale peste 40% din cardurile populatiei.
Detaliile problemelor
Nu vrem sa va asiguram ca totul este roz, insa ne dorim sa studiem putin problemele care au aparut, si mai ales cauzele care au generat un procent atat de mare de vulnerabilitate pentru spatiul de sotcare din cloud.
Strategia de securizare a datelor din cloud face mai mult sau mai putin parte din strategia totala a firmei, respectiv din strategia de securizare a datelor proprii, indiferent de mediul de stocare. Nu poate fi, sub nici o forma privita ca o parte complet separata de aceasta, atata vreme cat se intervine asupra stocului din cloud de pe sisteme instabile din punct de vedere al securitatii.
Cel mai des intalnit subiect de discutie, avand in vedere cresterea exploziva a ofertelor pentru spatiu in cloud (se preconizeaza ca in anul 2019, cifra de afaceri pentru cei care ofera spatii de stocare in cloud, sa atinga sume astronomice de ordinul miliardelor de dolari), este alegerea intre securitatea privata sau publica a datelor stocate in cloud.
In vreme ce o strategie privata, proprie, de securitate are avantajul de a se integra organic intr-un sistem de securitate propriu fiecarei firme, este de asteptat ca un sistem general de securitate sa fie mai centrat pe tipul si natura atacurilor asupra datelor din cloud.
In general, siguranta are de-a face cu modul in care sunt stocate datele, dar si cu mentenanta ulterioara a sistemului de securitate din cloud.
De fapt modul de stocare poate, de la sine, sa lase brese in securitate, brese pe care este greu sa le anticipeze si sa le elimine o firma de securitate, ulterior.
In timp ce majoritatea clientilor considera cloud, un spatiu de stocare a datelor provenite din back-up-uri, apare si o tendinta din ce in ce mai semnificativa de a folosi aceasta oportunitate de stocare pentru date utilizate in mod regulat sau chiar zilnic, cum ar fi liste de clienti sau furnizori, adrese, contracte, s.a.m.d.
Din acest punct de vedere, pericolul major il reprezinta chiar angajatii propriei dumneavoastra firme, a caror neglijenta sau lipsa de cunoastere si instruire, asa cum sustine Experian, in raportul Data Breach Industry Forecast, au provocat sau inlesnit in jur de 60% dintre evenimentele neplacute din cloud.
In general, angajatii care lucreaza la distanta, utilizand retele nesigure, utilizand propriile dispozitive de lucru (laptop-uri, tablete, s.a.m.d.) si care au permisiunea, in aceste conditii de a accesa date de extrema importanta, reprezinta perticolul cel mai mare.
Cresterea fenomenului BYOD (Bring-Your-Own-Device) aduce avantajul eficientizarii perioadelor de lucru, pentru ca angajatul este obisnuit cu dispozitivul propriu, il ia acasa, unde poate oricand interveni si completa efortul din timpul orelor de program, s.a.m.d. Dezavantajul major este ca, departamentul de siguranta IT nu poate gestiona dispozitive care nu au sisteme de securitate suficient de performante, sau care se conecteaza pe retele mai mult sau mai putin sigure.
Multe organizatii nu au o politica de securitate integrata a datelor, reactionand doar in urma atacurilor, in scopul imbunatatirii sistemelor de securitate implementate punctual. Aceasta neglijenta este de neiertat chiar daca firma nu are date stocate in cloud. Nici spatiul clasic de internet nu asigura securitatea completa a datelor unor astfel de companii.
Sigur ca implementarea si mentenanta unui sistem de securitate este destul de costisitoare, iar pierderile in cazul aparitiei si fructificarii breselor de securitate sunt poate, din punct de vedere strict financiar, incomparabil mai mici, insa din discutiile mele cu persoane avizate in domeniu, am inteles ca, aspectul financiar al situatiei nu este neaparat primordial. Cerceii de metal cu pietre semipretioase, de la bunica, sau dintele cazut al fiului/ fiicei, nu inseamna ca valoare de piata, foarte mult , insa piederea lor, poate lasa urme majore, practic de neinlocuit.
O companie cu securitate instabila, nu este nicidecum o solutie pentru eventualii clienti care urmeaza sa impartaseasca datele lor personale cu aceasta.
Internetul lucrurilor, despre care am discutat aici, in repetate randuri, nu ajuta cu nimic securitatea datelor, atata vreme cat datele stocate in dispozitivele apartinand acestui tip de utilizare, nu sunt corect si complet securizate. Practic se inlocuieste „panda la obiectiv ” a hotului, cu descarcarea programului de pe calculatorul care gestioneaza intreaga dumneavoastra locuinta. Mult mai elegant, nu? Este foarte probabil ca, odata cu dezvoltarea domeniului, sa intalnim din ce in ce mai multe atacuri asupra acestui tip de dispozitive.
O alta problema majora o constituie faptul ca de regula, echipamentele sau aplicatiile eficiente sunt destul de costisitoare si firmele decid sa amane, de cele mai multe ori, la nesfarsit achizitionarea unor astfel de dotari. Atata vreme cat profitul sta in zona de productie, de vanzari, sigur ca o achizitie semnificativa intr-un domeniu neproductiv, este o decizie destul de dureroasa. Mai ales ca nu exista nici un fel de dispozitiv sau aplicatie care sa reziste garantat oricarui atac informational.