Technológia

hibridit_nyitokep_420
Forrás: ITB

Mennyire biztonságos a felhő?

Sokszor még akkor sem érezzük teljes biztonságban adatainkat, ha nem a saját gépünkön, szerverünkön tároljuk. Napjainkra már nem csak a vállalatok számára nyújt biztonságos megoldásokat a felhőszolgáltatás, hanem a magánszemélyek adatainak, fényképeinek, dokumentumainak tárolásához is. Piaci térhódításával viszont felmerül a kérdés, hogy valóban nagyobb biztonságban tudhatjuk-e adatainkat a felhőben?

Egyre gyakrabban hallani a felhőszolgáltatások előnyeiről, de – általánosságban – még mindig elég kevés tényleges tudással rendelkezünk róla. Először is érdemes tisztázni, hogy mit is jelent a biztonság. Hisz azt már tudjuk, hogy a saját eszközeinket bármikor érheti támadás (ellopják, feltörik stb.), de továbbra is kérdés, hogy ugyanez a felhőbe továbbított adatainkkal is megtörténhet-e? Ha igen, akkor az hogyan lehetséges, hogyan tudunk védekezni ellene?

Néhány hete nagy port kavart, hogy közismert személyiségek személyes dolgai kerültek nyilvánosságra, állítólag a felhőből.

Gyenes István, S&T Consulting
Gyenes István, S&T Consulting
„A felhőszolgáltatásoknak két oldala van. Az egyik, ahol a magánszemély vagy cég tölti be az adatait, a másik az az oldal, ahol a felhőszolgáltatást biztosító infrastruktúrát üzemeltetik. Ezért nagyon fontos, hogy a felhőből állítólagosan „kikerülő” adatok forrásával tisztában legyünk. Hadd éljek egy analógiával: ha bezárom a lakásom és a kulcsot benne hagyom az önmagában magas biztonsággal rendelkező zárban, ezek után elmegyek otthonról és behatolnak a „rossz bácsik” és elvisznek ezt-azt, akkor a zár gyártóját kell hibáztatnom? Ugye nem. Az, hogy a gyerekünk kiviszi a bútorzatot és átadja a betörőnek, arra pedig igen csekély esélyt látok. Ugyanez a helyzet a felhőszolgáltatások biztonságával kapcsolatban is. Ha olyan jelszavakat és jelszó emlékeztetőket használunk, amelyek rövidek, könnyen megfejthetőek, és adott esetben köthetők személyünkhöz, akkor a behatolóknak tálcán kínáljuk a lehetőséget. Ne feledjük, hogy a „felhő” mindenhol mindenkit körül vesz, mint a valós felhő, így bárki, bárhonnan megpróbálhatja elérni az adatainkat– így fontos az ajtók és zárak megfelelő védelme, s a használt kulcstartót se a kulcsainkkal és címünkkel együtt dobjuk el. De lássuk be: ennek valójában semmi köze nincs a „felhő” biztonságához. Emellett természetesen a publikus felhőben tárolt adatokat különböző módon titkosítani is lehet. Annak a visszafejtése pedig nem gyerekjáték.” – jegyezte meg Gyenes István, az S&T Consulting Hungary Kft. nagyvállalati termékek üzletágának vezetője.

Az adattovábbításra és adatvédelemre komoly jogi szabályozás van érvényben az Európai Unión (EU) belül. Az EU Adatvédelmi Irányelv főszabály szerint tiltja a személyes adatok továbbítását az Európai Gazdasági Térség (EGT)-n kívülre. Ez alól csak akkor tesz kivételt, ha az adattovábbítás megfelelően védett miután elhagyta az EGT-t.

„Partnerünk, a Microsoft adatvédelmi kérdésekben folyamatosan magasra teszi mércét, ezért az EGT-n kívüli adattovábbításhoz EU Safe Harbor és EU Modell Szerződéssel, valamint ISO 27001 Információbiztonsági szabványok tanúsítvánnyal rendelkezik. De természetesen az ügyfélnek lehetősége van az Európai Adatközpontot választani, amennyiben elzárkózik a EGT-n kívüli tárolástól.”- teszi hozzá a szakember.

 

Ki fér hozzá az adataimhoz?

Az Azure felhőszolgáltatás igénybevételekor az alapvető ügyféladatokhoz kizárólag csak hibaelhárítás, rosszindulatú szoftverek, kémprogramok, vírusok behatolásának megakadályozása végett fér hozzá a szolgáltató, azaz a kulcsszemélyzet. Ügyféladatot harmadik félnek csak akkor adnak ki, ha arra jogszabály kötelezi a szolgáltatót.

 

Mi alapján válasszunk szolgáltatót?

„Amire a legfontosabb odafigyelni a felhőszolgáltatás igénybe vételekor, hogy a szolgáltató rendelkezik-e az EU adatvédelmi hatóságainak jóváhagyásával, hogy az ügyféladatokat csak szolgáltatások nyújtására használja, és a felhőbe történő adattovábbításhoz megfelelő védelemmel rendelkezzen. Emellett ugyancsak fontos megvizsgálni, hogy az adott szolgáltató rendelkezik-e biztonsági minősítésekkel. Ilyen például a PCI DSS megfelelőség, ahol a nemzetközi bankkártya szövetség auditja minősíti a felhő szolgáltatót arra, hogy kiemelten érzékeny tranzakciós adatokat tároljon vagy velük végezzen műveleteket a felhőben. Ez pedig újra érdekes kérdést vet fel: ha nemzetközileg minősített a felhőszolgáltatóm ilyen adatok mozgatására és tárolására, akkor „Mennyire biztonságos a felhő?” – teszi hozzá Gyenes István.

http://hibridit.hu/

Gyenes István, S&T Consulting
Gyenes István, S&T Consulting