Ob prehajanju v računalniški oblak je nujno, da podjetja varnostne mehanizme v javnih in zasebnih oblakih vključijo v svojo krovno politiko informacijske varnosti. Zato morajo pred prehodom ustrezno ovrednotiti in določiti proces varnostnega kopiranja podatkov v javnem oblaku. Tako kot pri lokalni infrastrukturi lahko tudi pri oblačnih storitvah pride do resnega in dolgotrajnega izpada. Zato je poleg varnostnega shranjevanja treba poskrbeti tudi za obnavljanje sistemov v primeru katastrof.
Slaba polovica svetovnih podjetij bo letos imela večino svojih poslovnih aplikacij in podatkov v oblaku. Analitsko podjetje Gartner ob tem napoveduje, do bo leta 2025 kar 95 odstotkov novih digitalnih rešitev delovalo na domorodnih oblačnih platformah. Poslovanje se torej vztrajno seli v oblak, čeprav je bilo še pred nekaj leti ogromno pomislekov glede varnosti in zaupnosti podatkov.
Organizacije so glede na razširjanje uporabe storitev v oblaku torej dodobra spoznale koristi, ki jih ponuja storitveni model najrazličnejših informacijskih rešitev in uporabniških aplikacij. Vendar ob vseh poenostavitvah in udobnosti oblaka pozabljajo, da so tveganja še vedno tu in da ima slepo zaupanje ponudnikom lahko visoko ceno. Še posebej, ko gre za podatke.
Za svoje podatke moramo skrbeti sami
»Težava je, da se pri uporabi oblačnih storitev premalo zavedamo, kako pomembna je naša vloga. Podatki velikokrat niso pravilno varovani in hranjeni. Ponudnik nam sicer zagotavlja visoko stopnjo razpoložljivosti, ampak to še ne pomeni, da zagotavlja tudi zaščito podatkov pred izgubo,« je opozoril Andrej Rakar, vodja informacijske varnosti (CISO) v podjetju Petrol.
»Pri uporabi informacijskih storitev v oblaku gre za deljeno odgovornost, ko gre za upravljanje informacijske varnosti,« pravi Rakar. Ta je različna glede na tip oblaka. Pri uporabi infrastrukture kot storitve je več odgovornosti za varnost celotnega sistema na uporabniku, pri storitvah programske opreme pa je uporabnik odgovoren samo za podatke. »Uporabnik mora od ponudnika zahtevati dokaze glede ravnanja s podatki v obliki ustreznih certifikatov. Zaupanje na besedo, da zagotavlja vse, ni dovolj. V resnici je uporabnik odgovoren za svoje podatke. In za vse, za kar smo sami odgovorni, moramo sami zagotavljati ustrezno varnost.«
S tem se strinja tudi Matej Felle, vodja projektov v oddelku IT-storitve podjetja ADD: »Odgovornost uporabnika je, da skrbi za svoje podatke. Podatki so v njegovi lasti. Opažam, da je čedalje več ljudem jasno, da so podatki v digitalni obliki in jih je treba čuvati, ne glede na to, ali so shranjeni lokalno ali v oblaku. Predstavljajo naše podjetje in vsaka izguba pomeni veliko škodo za poslovanje.«
Med glavnimi tveganji pri prehodu v oblak sta tako zaupanje v ponudnika in možnost dolgoročnega sodelovanja. Kot pravi Robert Markič, IT-arhitekt v podjetju NIL, se lahko kljub temu zgodi, da vsi koraki pri prehodu niso jasno razumljivi, ko se išče celostna slika za lastno okolje. Ob tem vidi tveganja tudi pri poudarjanju lastnih podatkov in občutek nemoči pri tem.
Sprejeti igro ponudnika ali ne
Storitve v oblaku ponujajo številni globalni in lokalni ponudniki. O moči trga zgovorno priča nezmanjšana rast porabe, pri čemer bo letos vrednost trga oblačnih storitev dosegla tisoč milijard dolarjev.
Z uporabo storitve uporabnik privoli v ponudnikove pogoje, pri čemer pa se model odgovornosti ponudnika ponavadi močno razlikuje od modela odgovornosti uporabnika. »Pred zamenjavo lokalne rešitve, na primer Microsoft Exchange za Microsoft Office 365 online, se pojavlja skrb, kako je z varnostnim kopiranjem podatkov elektronske pošte Exchange ter podatkov v OneDrive, SharePoint in MS Teams. Skrb je upravičena, saj ponudnik storitev Microsoft Office 365 ne zagotavlja varnostnega kopiranja naših podatkov,« pravi Felle.
»Odgovornost ponudnika je, da zagotavlja nepretrgano delovanje svojih storitev. Podatke replicira med svojimi podatkovnimi centri, skrbi za delovanje svoje infrastrukture in neprekinjeno delovanje storitev. Ne skrbi pa, recimo, za zaščito podatkov pred izgubo, ki se lahko zgodi zaradi napake v strojni in programski opremi, človeških napak ter vse pogosteje zaradi izsiljevalskih virusov,« poudarja Felle. Za takšne incidente niso imuni niti uporabniki splošnih storitev za osebno produktivnost, e-pošto, skupinsko delo ter shranjevanje in deljenje vsebin.
Veliko ljudi razmišlja takole: začel bom uporabljati storitev Microsoft Office 365 in ponudnik storitev bo poskrbel za varnost podatkov. »Vendar to ni res, podatki so naša odgovornost in skrb ostaja v domeni podjetja, ne glede na to, kjer so. Vsako podjetje mora samo zagotoviti dostopnost in nadzor nad svojimi podatki ter ohraniti nadzor nad zgodovino podatkov. Treba je poskrbeti za varovanje lastnih podatkov, za vsako raven storitev IaaS, PaaS in SaaS,« poudarja Felle.
Operativne kopije niso dovolj
Najmanj, kar lahko uporabnik naredi je, da od ponudnikov zahteva določene mehanizme varovanja in razpoložljivosti. »Veliki ponudniki se navadno ne prilagajajo specifičnim zahtevam. To je prva stvar, ki se jo moramo zavedati, če najemamo storitev pri globalnih oblačnih ponudnikih. In če se odločimo za najem storitve pri globalnih velikanih, pogosto niti ne vemo, kje se podatki in obdelave nahajajo. In kot take jih je skoraj nemogoče zavarovati,« je dejal Uroš Majcen, direktor kibernetske odpornosti, S & T Slovenija.
Ponudniki storitev v oblaku za plačilo sicer ponujajo dodatne varnostne storitve, s katerimi pa le še bolj zaklepajo uporabnika nase. Majcen je opozoril, da bi morala imeti vsaka organizacija, ki ima svoje podatke v oblaku, pripravljeno izhodno strategijo, če, recimo, ne more več dostopati do svojih podatkov.
»Pri večini ponudnikov storitev podatkovnih zbirk dobimo neke osnovne storitve varnostnega kopiranja in restavriranja podatkov. Podjetja imajo ponavadi težavo, ko so njihove zahteve različne od tistih, ki jih omogoča integrirana rešitev znotraj storitve podatkovnih baz – in to je zelo, zelo pogosto,« pravi Goran Garevski, tehnični direktor v HYCU.
Storitve varnostnega kopiranja globalni ponudniki sicer ponujajo, vendar so te omejene na operativne kopije podatkov. »Stvar se zaplete, ko uporabnik hoče daljši čas hranjenja varnostnih kopij, pametno upravljanje kopij ali še eno kopijo, mogoče v drugem oblaku,« je dejal Garevski.
Varovanje podatkov kot neodvisna storitev v oblaku
Če svoje podatke že imate v oblaku, so vam na voljo različne možnosti za varnostne kopije, tudi na različne lokacije in za različne varnostne politike.
Markič je pri tem poudaril storitve BaaS (backup as a service), kjer gre za oddaljeno dodatno kopijo varnostnih kopij za podatkovne centre pri naročniku, ter storitev DRaaS (data recovery as a service), ki ponuja oddaljeni podatkovni center, pripravljen za zagon sistema iz dobre kopije podatkov, ki se redno osvežuje in za hitro okrevanje ponuja hkrati več stanj iz preteklosti.
Za Garevskega je sodobna rešitev varovanja podatkov tista, ki podpira več oblakov in je dostopna kot storitev BaaS. »Vidimo, da uporabniki tudi kombinirajo različne rešitve, od tistih klasičnih zastarelih backup produktov do vgrajenih storitev v oblaku ali pa specializiranih rešitev za storitve SaaS, kot je Office 365. V novem, modernem IT-okolju, kjer je število storitev SaaS skoraj trimestno, je največji izziv imeti konsolidirano politiko in kontrolo nad vsemi podatki podjetja in posebej nad njihovimi zaščitnimi kopijami.«
Z zahtevami se povečuje proračun
Vsekakor ima na odločanje za oblak in posledično dodatne naložbe v varnost podatkov vpliv finančna dimenzija. »Oblak v naši regiji še vedno ni splošni trend, imamo raje lastne vrtičke, verjetno povezano tudi s kalkulacijami TCO po domače, ki ne zajamejo celotne slike,« je dejal Markič. Obenem opozarja, da je lahko tudi v oblaku neznanka končni znesek na mesečnem računu zaradi kompleksnosti in številnih števcev dejanske porabe, kar pomeni posledično neznan znesek za načrtovanje proračuna. Dodatna finančna tveganja, še posebej pri hibridnih postavitvah, pomeni povezljivost med oblačnimi in lokalnimi sistemi.
»Strošek je zelo dinamična komponenta v javnem oblaku, zato je treba poskrbeti, da pravilno razumemo, kako vpliva na mesečni račun in standardno uporabo. IT mora skupaj s financami poskrbeti, da se podrobno sledi, kontrolira in analizira strošek v javnem oblaku,« dodaja Goran Garevski, tehnični direktor v HYCU.
Več ravni obravnave varnosti podatkov v oblaku
Varnostno shranjevanje podatkov zunaj primarnega oblaka je osnovni pristop k boljšemu upravljanju varnosti in kontrole nad našimi podatki. Felle pravi, da tudi v oblaku velja pravilo 3-2-1. To pomeni, da imamo tri kopije podatkov. Prva so primarni podatki. Druga je primarna varnostna kopija podatkov, ki je na isti lokaciji za potrebe hitre obnove podatkov takrat, ko to najbolj potrebujemo. Sekundarna varnostna kopija je na rezervni oddaljeni lokaciji zunaj primarnega oblaka in je namenjena za primere večjih izpadov.
Majcen je ob tem opozoril še na druge vidike varnosti. »Z varnostnim shranjevanjem tipično zagotavljamo, da imamo podatke stalno na voljo, da jih ne izgubimo. Odtekanje podatkov je veliko bolj zahtevna zgodba. Imeti moraš urejeno klasifikacijo podatkov in možnost spremljanja, kaj se z njimi dogaja, ali, na primer, nekdo posega v podatke. Tukaj, recimo, govorimo o šifriranju podatkov, o upravljanju pravic nad podatki ter revizijski sledljivosti uporabe.«
Organizacije se tega ponavadi ne lotevajo, saj za to potrebujejo specialista, ki razume organizacije, procese v organizaciji in obvladuje same podatke.
Osnovni pristop zaščite in varovanja podatkov v oblaku je, da nimamo vseh jajc v isti košari. Ponudniki namreč težijo k temu, da bi uporabniki v čim večjem obsegu nabavljali njihove storitve. Kot pravi Majcen, je smiselno, da organizacija pred uporabo storitev v oblaku pripravi ustrezno strategijo, s katero opredeli podatke, brez katerih ne more poslovati, in jih ustrezno zaščiti.
Pomemben vidik storitev v oblaku je tudi oskrbna veriga, po kateri potujejo podatki. »Še posebej pri platformskih in programskih storitvah ponudniki uporabljajo storitve drugih ponudnikov, na primer gostujejo v njihovem podatkovnem središču ali uporabljajo programsko opremo drugih ponudnikov, recimo odprtokodne programske knjižnice,« je dodal Majcen.