Jesu li podaci u „cloudu“ sigurni?
2. ožujka 2014
"Cloud-computing" mnoge stvari čini jednostavnijima. Podaci kompanije se ne nalaze u centralnom računaru firme, nego u "virtualnom oblaku" (cloud: oblak, na engleskom) negdje u internetu. Tvrtka se jedino mora pobrinuti da funkcioniraju računari na radnim mjestima suradnika, da imaju priključak na internet i dobar antivirusni program. Tako barem stvari funkcioniraju u idealnom slučaju.
Mnogi korisnici već koriste "cloud" u privatnom životu. Na primjer prilikom korištenja e-maila. Vaše e-mail poruke se ne nalaze pohranjene na vašem računaru, nego su u serverima internetskih ponuđača. To je praktično jer vaše e-mail poruke možete pročitati s bilo kojeg mjesta u svijetu gdje imate priključak na internet.
Gdje se nalazi moj "oblak"?
I dok je to na privatnom planu neproblematično, stvari se mijenjaju kada tvrtke izmjeste svoje podatke u "oblak". Postavlja se pitanje da li internetske tvrtke koje nude takve usluge poštuje i pravila o zaštiti podataka koji važe unutar tvrtke- mušterije. Da li ponuđač štiti podatke od neautoriziranog pristupa ili od gubitka?
"Kada se podaci nalaze na računarima na području vaše države onda je to vjerojatno u redu, jer onda važe zakoni te države. Ali, tko Vam može jamčiti da je to tako?", pita se Tim Pierson. Ovaj stručnjak za informatiku testira internetske mreže velikih poduzeća i to na taj način što vrši hakerske napade na njih, a osim toga školuje i stručnjake za sigurnost tih tvrtki.
Pierson smatra da bi oni koji pohranjuju svoje podatke u "cloud-u" trebali imati i pravo da redovno kontroliraju rad ponuđača. To je i danas moguće, ali korisnici usluga za to moraju platiti posebnu naknadu. Pierson smatra da bi kontrolu morali financirati sami ponuđači. Oni bi prvo morali omogućiti da korisnici angažiraju neovisnog stručnjaka koji bi provjerio servere ponuđača, ali i kako bi se mogla omogućiti kontrola elektronskim putem - uz pomoć posebnih programa.
Pitanje povjerenja
Tvrtke bi u svakom slučaju trebale voditi računa o tome kome povjeravaju svoje podatke. Ali čak i kod renomiranih ponuđača koji nude usluge ovog tipa mogu se javiti slabe točke u sustavu. To je pokazao Joshua Tiago iz tvrtke Cirosec koja se bavi pitanjima sigurnosti u internetu. On je na konferenciji "IT Defence" koja je održana sredinom veljače 2014. u Kölnu otkrio sigurnosni propust u "cloudu" u kojem usluge nudi Microsoft. "Otvorio sam regularan nalog u ovom ‘cloudu#, baš kao što čini bilo koji drugi korisnik, a onda sam to zloupotrijebio u željenu svrhu", kaže Tiago.
Konkretno, radilo se o opciji koja omogućava da se neki kompjuterski program razvija zajednički u više centara, na više lokacija. Korisnici tu moraju imati opciju testiranja, odnosno pokretanja tog programa unutar "clouda". Upravo tu je Tiago pronašao slabu točku i upozorava: "To je kao i kod vašeg kućnog računara. Nikada ne pokrećite program za koji ne znate odakle dolazi. Microsoft nije razmišljao o tome da bi napadač mogao iskoristiti ovu opciju i na taj način u cloud ubaciti virus koji će otvoriti skriveni ulaz do računara firme."
Manje podataka na Internetu - više sigurnosti
Tiago je na ovaj način uspio doći do podataka drugih korisnika, odnosno drugih grupa korisnika. U realnom slučaju to su mogli biti i podaci drugih kompanija koje su rezervirale svoj "cloud" kod istog ponuđača.
Ovaj profesionalni haker stoga poziva na oprez: "Morate razmisliti koje podatke ste spremni prebaciti na Internet." Dakle, kao i u drugim segmentima života, ponekad važi pravilo - što manje to bolje.