A felhőszolgáltatások ellen felhozott leggyakoribb – jogos – kifogás a biztonság hiánya, hiszen nem egy fizikai adathordozón tároljuk az információkat, amit csak közvetlen feltörés esetén láthatnak illetéktelenek.
Nem, itt egy virtuális tárhelyre kerülnek, ahol sokkal kiszolgáltatottabbak vagyunk, és ez különösen érzékeny adatok estében kényes kérdés.
Gondoljunk azonban bele egy másik oldalról: a szolgáltatók pontosan tudják, hogy ha megsérül a szervereiken tárolt adatok biztonsága, azzal oda a cég jó hírneve, ügyfeleik elpártolnak tőlük. Ezért 2010 óta nagy energiával, számtalan technikai újítással igyekeznek ezt a hibalehetőséget minimalizálni.
Így aztán a felhőszolgáltatás fejlődik, mindenki örül.
Nézzük meg ezt egy kicsit konkrétabban.
Mi múlik a felhőszolgáltatón?
Korábban már írtunk a publikus, a privát és hibrid megoldásokról, most ezeken túlmutató lehetőségeket szeretnénk bemutatni.
Az SSL vagy TLS protokollról talán már hallottak az informatikában jártasak, ezek leegyszerűsítve annyit jelentenek, hogy ha nem titkosított csatornán érkezik az információ, akkor is biztonságos legyen az adatok átvitele. Ezen protokoll megléte alapkövetelmény azoknál a felhőszolgáltatóknál, akik kényes adatokkal dolgoznak, például az Acloud szoftvernél is.
Ilyenkor a fogadó dekódolja az adatokat, így lényegében csak a küldő és a fogadó fél találkozik velük.
Ez azonban nem minden, hiszen kikódolás után gyakorlatilag „védtelenek” lesznek újra az adataink. Erre is van azonban megoldás!
Ismét egy kód következik: AES-256-os szabvány, melyet a bankoknál használnak előszeretettel adattároláskor, a hozzáféréshez pedig ismét egy kulcs szükségeltetik.
Tehát leegyszerűsítve az SSL és TLS küldés és másolás során véd, az AES-256 pedig tároláskor garantálja, hogy ne férjen hozzá illetéktelen az adatainkhoz.
Van azonban még ennél is szigorúbb intézkedés: ez a „Zero Knowledge” technológia, mely magán a felhasználó gépén végzi el a dekódolást, így a szerver feltörésekor is biztonságban maradnak adataink.
Itt már a mi elővigyázatosságunkon múlik, hogyan védjük meg azokat: a kétlépcsős azonosítás során nem elég egy jelszót beírnunk, jóvá kell hagynunk egy másik csatornán is a belépést, ami gyakorlatilag ilyen szabványok mellett nullára redukálja a réseket adatvédelmünk pajzsán.
Jó hír a felhőszolgáltatást igénybevevő cégeknek a május 25-től életbe lépő GDPR-rendelet is, amely pontosítja, átláthatóvá teszi a felelősségi köröket. Amit érdemes tudnunk a törvény értelmezésekor, hogy az adatfeldogozó a felhőszolgáltató (hacsak nem végez adatkezelést, bármilyen olyan tevékenységet, ami a tároláson túlmutat), míg az adatkezelő az őt megbízó cég.
Nem csak a felhőszolgáltató feladata a biztonság védelme!
Itt pedig kilyukadtunk a biztonság kérdésének másik oldalára: hiába ugyanis a megfelelő szolgáltató kiválasztása, ha a cégen belül nem ügyelnek következetesen a biztonságra. Mit is jelent ez?
Az egyedi, nehezen kitalálható jelszó alapkövetelmény, a korábban említett kétlépcsős hitelesítés is olyan plusz, amit érdemes beépíteni mindennapos gyakorlatunkba.
Alapértelmezetten senkivel ne osszuk meg adatainkat, válasszunk olyan opciót, ahol egyénileg állíthatjuk be a hozzáférők személyét. Ezzel elejét vehetjük a figyelmetlenségen alapuló jogosultságok kiadásának. Ha pedig már nincs szükség rá, vonjuk vissza a jogosultságot, ne maradjon senkinek fölöslegesen hozzáférése.
Ugyanez igaz a hivatkozásokra, melyeket egyszerűen elküldhetünk azoknak, akikkel meg akarjuk osztani tartalmukat. Ez azonban egyszerűen továbbítható illetékteleneknek, illetve a Google is tárolhatja. A megoldás hogy letiltjuk, vagy jelszóval védjük azon hivatkozásokat, amikre már nincs szükségünk.
Összességében elmondhatjuk, hogy az adat „kényességére” vonatkozóan kell odafigyelnünk a különböző intézkedésekre. A napi szintű kommunikációban, ahogy eddig is tettük használjuk azon termékeket, amik megkönnyítik a munkánkat. Ha azonban nagyobb odafigyelést igényel az adatok védelme, válasszunk jól szolgáltatót, majd tegyük meg azokat a napi szintű – rövid idő alatt rutinná váló – óvintézkedéseket. Ezek együttese, a megfelelő szolgáltató és a cég felelősségteljes adatkezelése együtt vezet ahhoz, hogy nyugodtan aludhatunk, biztonságban tudva adatainkat.
Kérdése maradt? Nagy biztonságot igénylő adatokkal dolgozik? Keressen minket!
