Miért ne félj a felhőtől

Az NSA lehallgatások, a Wikileaks, és az iCloud-celeb botrány után sokan gondolják úgy, hogy a felhőben tárolt fájlok nincsenek biztonságban.

Igazság szerint ennél nagyobbat nem is tévedhetnének.

Az adatszivárgások döntő többsége egyáltalán nem a felhő-alapú szolgáltatásokból történik. A betörések, és „egyszerű” IT biztonsági incidensek mind sokkal gyakoribbak mint a felhőt érintő hackelések.

Az iCloud botrány során sem a felhő sebezhetősége miatt történt meg a baj, hanem az Apple jelszó azonosító megoldása volt hibás. Egy biztonságos, komolyan titkosított felhőnél kevés jobb lehetőség létezik az adatok biztonságos tárolására.

Az információ és a bizalom ára

Minden cégvezető tudja, hogy az információ és a partnerek bizalma rendkívül értékes az üzleti életben. Ha tisztában vagyunk a piac és a saját cégünk működésével, az hatalmas versenyelőnyt jelenthet a vállalat számára. Azonban ha a cég nem képes megvédeni ezeket az adatokat, elvesztheti a partnerek bizalmát. Bizalom nélkül pedig nem lehet sikeres vállalatot működtetni.

Kevés olyan cég van, ami ne kezelne érzékeny ügyféladatokat

Kevés olyan cég van, ami ne kezelne érzékeny ügyféladatokat; Gondolj bele, nevek, telefonszámok, lakcímek, múltbéli vásárlások, egészségügyi adatok, stb. A Skyhigh Network statisztikái szerint az alkalmazottak gyakran tárolják és kezelik ezeket különféle nyilvános, nem biztonságos platformok segítségével.

Belátható, hogy a cég pénzügyi adatait, eladási statisztikáit nem éppen a legjobb ötlet egy nyilvános felhőtárhelyen tárolni úgy, hogy ahhoz akárki hozzáférhet, megtalálhatja a keresők segítségével. Ha a munkatársaink például a Toldacuccot.hu-t használják nagy méretű fájlok küldésére (márpedig több cégnél és önkormányzatnál biztosan tudjuk, hogy használják), az adatok nem csak hogy titkosítás nélküli csatornán utaznak (hiszen nincsen HTTPS, nincs TLS titkosítás), de napokig ott is maradnak a szolgáltató szerverén.

Abban azért egyetérthetünk, hogy ha a cégünk pénzügyi vagy ügyféladatait tartalmazó fájlokat így kezelik, az problémás lehet. Fontos, hogy felhívd a munkatársaid figyelmét arra, hogy milyen veszélyekkel jár az érzékeny adatok kezelése.

Miért olyan fontos a titkosított felhő?

Pénzügyi és egyéb érzékeny adatok feltöltése a publikus, nem titkosított felhőkbe ugyanolyan veszélyes, mintha otthagynánk az asztalunkon mindenféle bizalmas dokumentumot. Valaki akár bele is nézhet. Ha ez a valaki történetesen a versenytárs, könnyen kellemetlen helyzetbe kerülhetsz.

A hírekbe persze csak a nagy cégeket érintő, súlyos betörések kerülnek be. Az iCloud, vagy az eBay adatszivárgása bár tényleg komoly ügy volt, nem a felhő sebezhetősége miatt történtSokkal nagyobb veszélyt rejt magában egy social engineering támadás (mint az eBay esetén), vagy egy nem megfelelően megírt jelszóemlékeztető (mint az iCloudnál) rendszer.

Természetesen a nem titkosított szolgáltatások használata növeli az egyéb kockázatokat is, ezért kiemelten fontos hogy minden kommunikáció biztonságos csatornán keresztül történjen. A népszerű és ingyenes szolgáltatások használata veszélyes lehet, hiszen amikor ingyenes valami, akkor jellemzően nem biztosítanak magas szintű fájltitkosítást. Márpedig ahhoz, hogy egy vállalkozás saját adatai és az ügyfeleinkkel kapcsolatos információk is biztonságban legyenek, elengedhetetlen hogy a kommunikációs csatorna mellett maguk a fájlok is erős titkosítással legyenek védve.

Skyhigh kutatása alapján a vállalatok 61 százaléka gondolja úgy, hogy a felhő-alapú szolgáltatások kockázatot jelenthetnek. Abból a szempontból megnyugtatónak tűnik, hogy a cégvezetők törődnek a biztonsággal, azonban a kérdés nem ilyen egyszerű.

Az ismeretlentől való félelem természetes, és valószínűleg azért érzik kockázatosnak a felhő használatát, mert nem ismerik a technológiát, hiszen nincsen több évtizedes tapasztalatuk mögötte. Bár a kutatás adataiból úgy látjuk, hogy a többség aggódik a felhőben tárolt adatok biztonságáért, ez könnyen lehet, hogy csak a technológia újdonságából eredeztethető.

Írtunk egy cikket a felhő működéséről; Ha kíváncsi vagy, hogy milyen módszereket használ a felhő, olvass bele a cikkünkbe itt.

Mindenki óvatosabban közelíti meg az új és addig szokatlan termékeket, szolgáltatásokat. Ez teljesen normális és helyes hozzáállás. „Miért is kellene megbíznom ebben az egészben, ha nem tudok róla semmit?”

Nézzük, milyen előnyei lehetnek a felhő-alapú eszközöknek.

Milyen előnyökkel jár a felhő?

A felhő használatával olyan biztonsági megoldásokat is használhat egy KKV is, amit máshogy nem biztos, hogy anyagilag megengedhetne magának. Csak a felhő-szerverek tűzvédelmi intézkedései több költséggel járnak, mint egy átlagos kisvállalkozás 1 éves teljes bevétele. A szerverek védelme gyakran ugyanolyan szigorú biztonsági intézkedésekkel történik, mint a katonai létesítmények esetén. A 24 órás, fegyveres objektumvédelem mindennapos alapkövetelmény a szerverparkok esetén.

A szerverek védelme gyakran ugyanolyan szigorú biztonsági intézkedésekkel történik, mint a katonai létesítmények esetén.

Ráadásul, ha a felhőről beszélünk, olyan gépekről van szó, amelyek a legfejlettebb, legjobb minőségű és legtartósabb hardver eszközökből állnak. A szerverek folyamatos megfigyeléséért és karbantartásáért a legjobb szakemberek felelnek. Gondolj bele, ha saját irodai szervert vásárolsz, a költségek nem tűnnek el a gép megvásárlásával.

Az áramszámla, biztonsági intézkedések, karbantartás, hardver- vagy szoftverhibák, folyamatos rendelkezésreállás, redundáns adattárolás és a szakértői személyzet mind költséges szükségletek.

Amennyiben a cég fontos adatokkal dolgozik, biztosítani kell azt is, hogy azok mindig rendelkezésre álljanak. A redundáns adattárolás azt jelenti, hogy a kérdéses fájlok nem csak egyetlen gépen, hanem egyszerre több, teljesen azonos példányban is elérhetők. Jellemzően ezek a különböző szerverek földrajzilag sem egy helyen találhatók, így például egy természeti katasztrófa, vagy esetleges hardverhiba esetén sem vesznek el a fájlok. Ezzel a módszerrel tudjuk mi - a felhőszolgáltatók – garantálni a 99,99999 %-os rendelkezésreállást.

Ha felhőt használsz, az eszközök üzemeltetése és karbantartása nem a te problémád. A szolgáltató biztosítja, hogy mindig minden elérhető legyen, és működjön. Ráadásul a felhőben csak azért kell fizetned, amit valóban használni is szeretnél.

Hogyan tárold az adataidat valóban biztonságosan?

A biztonságos, titkosított felhő alapú tárhely a legbiztonságosabb, legkényelmesebb és legkifizetődőbb mód az adattárolásra. A Crosssecnél például még mi sem tudnánk hozzáférni a fájljaidhoz, ha valami úton módon megkapnánk őket. Mivel a mi működésünk a „Zero-Knowledge” elv mentén történik, egyszerűen technológiai szemszögből is lehetetlen lenne belenézni a fájljaidba.

Az információ csak akkor van biztonságban, ha még a szolgáltatónak sincs hozzáférése. A többrétegű titkosítás mellett ezt is tartsd szem előtt.

A 3 rétegű, RSA 4096-ot, AES 256-ot és saját titkosítási algoritmusunk ötvözésével készült egyedi titkosításunk már magában is garantálni tudja, hogy csak és kizárólag az férhessen hozzá a fájlokhoz, akinek megvan hozzá a kulcs is. Márpedig ez a kulcs csak a Tiéd, nincs belőle még egy példány, és nincs is tárolva sehol. Ha felhő alapú tárhelyen szeretnéd tárolni a dokumentumaid és egyéb bizalmas fájljaid, mindenképp olyan szolgáltatót érdemes választanod, ahol többrétegű titkosítás mellett a Zero Knowledge is a működési elv része.

A céged adatainak felhőbe költöztetése ijesztőnek tűnhet elsőre, de amint megismerkedsz a szükséges lépésekkel és folyamatokkal, rá fogsz jönni, hogy rendkívül egyszerű az egész. Gondolj arra, hogy a felhőszolgáltatások már nagyon sok KKV működését szolgálják ki minden nap, és olyan előnyöket nyújtanak, amit másképp ezek a cégek nem engedhetnének meg maguknak.

A felhő használatával olyan biztonsági megoldásokat is használhat egy KKV is, amit máshogy nem biztos, hogy anyagilag megengedhetne magának

A felhőtől nem kell tartani, azonban mielőtt szolgáltatót választasz, érdemes megvizsgálnod, hogy milyen adatvédelmi, titkosítási és adatkezelési elvek szerint működik a szolgáltató. A titkosítás erőssége kulcskérdés, ha érzékeny adatokkal dolgozol.

Az információ csak akkor van biztonságban, ha még a szolgáltatónak sincs hozzáférése. A többrétegű titkosítás mellett ezt is tartsd szem előtt.

A Te céged, a Te adataid. Csak Rád tartozik, senki másra.

Rovat:
Kovács Marcell - Crosssec Blog
Szerző:
Kovács Marcell
A Crosssec Solutions marketingvezetőjeként elkötelezett az etikus, jogszerű és edukatív marketingmunka mellett. Marketingismeretei mellett a technológia és az adatvédelem területén is otthonosan mozog, az inbound marketing módszertanát követve tervez és készít tartalmakat.
linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram