Hol tároljuk az adatainkat? Áttekintés a felhő biztonsági kérdéseiről


Ez a cikk több mint egy éve került publikálásra. A cikkben szereplő információk a megjelenéskor pontosak voltak, de mára elavultak lehetnek.

Informatikai háttér nélkül ma egyetlen vállalkozás sem működhet sikeresen. Azonban egy néhány fős vállalkozás, ügyvédi iroda nem rendelkezik olyan informatikai tudással, amellyel sikeresen megvalósíthatná helyi informatikai rendszerét. Sajnálatos módon a magyarországi IT szállítói piac pedig nem tudja, vagy nem akarja lefedni ezt a területet, és valójában ez a szolgáltatói réteg még nem is alakult ki nálunk. A jó hír viszont, hogy az utóbbi években a felhő technológia eljutott arra a fejlettségi szintre, ahol már nem szükséges komoly informatikai tudás a magas informatikai szolgáltatások használatához. Az új előfizetőkért több nagy és sok kis szolgáltató, nemzetközi és hazai vállalkozás is versenyez.


 

Amikor arról beszélgetünk, hogy hol van nagyobb biztonságban a megtakarított pénzünk, otthon a fiókban (párnában, cipőben stb.) vagy a bankban, bizonyára a legtöbben azonnal rávágják, hogy természetesen a bankban.Vajon mi ennek az oka? Manapság bizonyára nem az, hogy „azért, mert ott kamatot kapok rá,míg, ha otthon tartom, akkor nem”. A válasz természetesen az, hogy azért tartom a bankban a pénzemet, mert ott nagyobb biztonságban van.

[multibox]

Ma, amikor arról hallunk, hogy betörtek valamelyik cég adatbankjába, feltörték a felhasználói adatbázisát, azonnal felvetődik bennünk, hogy vajon ezvelünk mikor történik meg.A kérdés jogos, mert biztonsági szakemberek szerint nem az a kérdés, hogy velünk megeshet-e ez, hanem az, hogy mikor.

Amikor a bankos hasonlattal kezdtem, arra kívántam felhívni a figyelmet, hogy egy bank összemérhetetlenül magasabb szintű biztonsági rendszerekkel védi a rábízott értékéket, mint amilyenekkel mi magunk meg tudnánk védeni azokat. Lehet riasztórendszerünk, de ha az nincsen bekötve egy riadószolgálatra, akkor csak a szomszédainkat idegesíti a megszólaló sziréna. Amennyiben a riasztás riadóztat valamilyen kivonuló szolgálatot, akkor is létezik egy olyan időablak, amelyen belül mégeltulajdoníthatók értékektalálhatók. Egy banknál nem ilyen egyszerű az értékekhez hozzáférni. Ha a rabló képes behatolni a bankfiókba, ott nem tárolnak semmit, hiába keresne széfet, vagy más, értékek tárolására szolgáló rendszert. A riasztásra kivonuló egység prioritása itt nyilván sokkal magasabb, mintha hozzánk szállnának ki, mivel a bank sokkal fontosabb objektum, persze sokkal többet is fizetnek érte. Az értékegységre jutó biztosítási összeg azonban jóval alacsonyabb, mint a mi esetünkben.

Milyen analógiát találunk ebben az adattárolás területén?

A felhő ma már ismert szolgáltatás, lényegéről sokat olvashattunk – ezeken a hasábokon is. Összefoglalóan azt mondhatjuk, hogy a felhő egy távoli, általunk nem ismert helyen lévő informatikai kapacitást jelent. Informatikai kapacitás lehet a számítási teljesítmény, a memória és a háttértár mérete, sebessége. Ezen túlmenően ugyancsak fontos, hogy egy felhőszolgáltatónaka bankhoz hasonlóan sok ügyfele van. A sok ügyfél között vannak fontosak és vannak nem annyira fontosak – éppen úgy, mint egy banknál. De a hasonlóság nem csak ebben található.

A felhőszolgáltató tehát – a bankhoz hasonlóan – sok ügyféllel rendelkezik, ezért az általa tárolt – az ügyfelektől származó – adatok védelmére komoly erőforrásokat halmoz fel. Ezek az erőforrások sokkal magasabb szintűek, mint amilyeneket mi magunk meg tudnánk vásárolni. Bár a biztonságsoha nem lehet százszázalékos, azért ez megközelíthető. A közelítés viszont pénzbe kerül, minél jobban szeretnénk megközelíteni a 100 százalékot, annál többe. Ez a költség egy általános cégnél nem lehet bármekkora, eztaz adatok értéke maximalizálja. A felhőszolgáltatónál viszont a kérdés nem egyszerűen az, hogy a rábízott adatokat meg tudja-e védeni. Ugyanis, ha az adatokat valaki az ő gondatlanságukból eltulajdonítja, akkor ez a megbízhatóságát jelentősen lecsökkenti, ami a belé vetett bizalom azonnali megroppanásához vezet, aminek következtében a cég azonnal tönkre mehet. A kezelt adatok mennyiségének arányában magasabb költségvetéssel a védekezés szintje már nagyon magas.

A felhőben tárolt adatok eredendően tehát nagyobb biztonságban vannak, mintha azt a saját rendszereinkben tárolnánk. Az adatok azonban értéktelenek, ha nem használjuk őket. Tehát az adatokhoz hozzá kell férnünk, legyenek azok a saját telephelyünkön tárolva, vagy a felhőben. Jelentős különbség nincsen a hozzáférés szabályozásában a két esetben, ugyanakkor a felhőben tárolt adatokat egy nyilvános hálózaton keresztül érjük el (ennek védelméről még lesz szó), ezért a hozzáféréshez szükséges azonosítók kikerülnek a saját, belső rendszerünkből.

[htmlbox karteritesi_jog]

A jellemző betörés?             

Egy kis kitérő. Az elkövetett adatlopások tapasztalata alapján azt állíthatjuk, a betörések kivétel nélkül úgy történtek, hogy valamelyik ponton az elkövetők hozzájutottak egy olyan azonosítóhoz, amellyel elindíthatták a lopási folyamatot. Ebben a folyamatbanaztán egyre „értékesebb” – több jogot adó – azonosítókhoz fértek hozzá, mígnem elérték azt az adattárat, amelybena számukra értéket jelentő adatokat megtalálták. Ekkor a betörő elérte célját. Ez tehát az a lépéssorozat, amelyet minden tolvajnak végig kell járnia, hogy megkaphassa akívánt adatokat.

Egy adattárolási rendszerben az egyik legfontosabb feladat, hogy azok, akik az adatokat használják, tisztában legyenek azzal, milyen fontos az azonosítójuk védelme. Ez, mint az előbb láttuk, privát rendszer használatakor is elsőrendű feladat.

Mit tehetünk?

A védelem kialakításábana legfontosabb az oktatás, illetve ellenőrizni annak eredményességét. Mivel a biztonságérzet nem állandó, ezért az oktatás és az ellenőrzés lépéseit rendszeresen meg kell ismételni. A rendszeresség akár fél évenkéntiismétlést is jelenthet, mert a betörők módszerei nagyon gyorsan változnak. Ehhez új és új ellenszerre van szükség, így az oktatásnak folyamatosnak kell lennie. Nem szabad hagyni, hogy a felelős kollégák ébersége csökkenjen, mert erre várnak a betörők.

Milyen járulékos problémával állunk szemben, amikor a felhőről beszélünk?

Az adattároló rendszerek felhőszolgáltatás esetén nem a saját, privát hálózatunkon találhatók, hanem valahol távol, akár más földrészen, másik országban lehetnek. Ezeket a szervereket az interneten keresztül érjük el, ami eredendően nyitott, az ott „közlekedő” adatcsomagok elolvashatók. Nagy probléma lenne, ha csak ilyen módon tudnánk a távoli adatokhoz hozzáférni. Szerencsére van megoldás erre is. Titkosított kapcsolatot hozunk létre a privát rendszerünk és a felhő szerverei között. Eza módszer a saját rendszerünket terjeszti ki a felhőbe, a titkosított hálózat a belső hálózat részévé válik.Ezt a titkosítást automata rendszerek végzik olyan módon, amelyet észrevétlenül nem lehet feltörni.

Még több biztonság – viselkedésanalízissel

Amikor arról írtam, hogy a felhőszolgáltató lehetőségei sokkal nagyobbak, mint amire egy kisebb cég gondolni is merne, azokra a járulékos lehetőségekre gondoltam, amelyekkel a biztonságot lehet tovább növelni. Ezek része olyan automata rendszer, amely naplózza a belépéseket, a hozzáférési mintákat (ki és mikor, milyen adatokhoz szokott hozzáférni), és bármilyen eltérés esetén jelzést ad. Ezt viselkedésanalízisnek hívják, és a bankok is felhasználják, például az internetes banki tranzakciók ellenőrzésére.

[htmlbox Polgári_jog_folyóirat]

Biztonság a felhőben – sok ügyfél között

Érdemes arról is beszélni, hogy milyen biztonságban vannak az adataim ott, ahol más rendszerek adatait is tárolják. A felhőszolgáltatók minden lehetőséget megadnak arra, hogy a náluk bérelt rendszereket a lehető legjobban elválaszthassák a többi, ott lévő rendszertől. Az előzőekben már említett, titkosított belső hálózatra csatlakoznak a bérelt rendszereink, ezzel csaknem fizikai elválasztási biztonságot adva az adatainknak.

Az elmúlt időszak adatlopásai azt mutatták, hogy az üzleti életben még mindig nem terjedt el az adattitkosítás, ami lehetővé teszi az ellopott adatok felhasználását. Jelenleg léteznek olyan titkosító rendszerek, melyekkel könnyen és automatikusan lehet a tárolt adatokat titkosítani. Ezzel a módszerrel megoldjuk az eltárolt adatok titkosságát is, ami a titkosított hálózati kapcsolattal megvalósítja a mozgó és tárolt titkosítás elméletét. Ezzel maximális védelmet érhetünk el. Létezik még egy további lehetőség, amikor a memóriában lévő tartalmat is titkosítjuk, ami a feldolgozás során keletkező adatokat is titkosítja. Ezzel lehet elérni a maximális biztonságot, de ennek csak különleges esetekben van jelentősége.

Rendelkezésre állás

Amikor az adatok védelméről beszélünk, nem szabad elfelejtkezni arról sem, hogy az adatokat nemcsak rosszindulatú emberek lophatják el, hanem bármilyen természeti katasztrófa, terrortámadás esetén azok megsérülhetnek. Egy ilyen esemény nem okoz globális problémát, ezért a felhőszolgáltatók adattöbbszörözési megoldásaival megvédhetők az adatok. Arról van szó, hogy a szolgáltatók sok adatközpontot működtetnek világszerte. Ezek az adatközpontok önmagukban is tartalmaznak többszörözést – ez az egyedi meghibásodás ellen véd –, de a régiók olyan távol esnek egymástól, hogy egy helyi katasztrófa, legyen az bármekkora – emberi léptékkel mérve, tehát például nem egy világháború – nem teszi tönkre egyszerre a rendszereket. Így a természeti katasztrófák, helyi konfliktusok esetén mindig lesz működő adatközpont, ahonnan az adatokat – veszteség nélkül – elérhetjük.

A kontinenseken áthúzódó többszörözés azonban adatvédelmi problémát okozhat. Erről a legközelebb beszélünk.


Kapcsolódó cikkek

2024. október 31.

Az EU eljárást indított a Temu ellen a digitális szolgáltatásokról szóló jogszabály alapján

Az Európai Bizottság eljárást indított csütörtökön a Temu ellen annak megállapítására, hogy a kínai online kereskedelmi óriásvállalat megsértette-e a digitális szolgáltatásokról szóló jogszabályt az illegális termékek értékesítésével, a szolgáltatás esetleges függőséget okozó kialakításával, a felhasználók számára vásárlások ajánlására használt rendszereivel, valamint az adatokhoz való hozzáféréssel kapcsolatos területeken.Az uniós bizottság közleménye szerint a vizsgálat a Temu által szeptember végén benyújtott kockázatértékelési jelentés alapján indult, és arra összpontosít, hogy a vállalat rendszerei arra szolgálnak-e, hogy korlátozzák a nem megfelelő termékek értékesítését az Európai Unióban.

2024. október 30.

Mit tehet a munkavállaló, ha elfogyott az éves fizetett szabadsága?

Év vége közeledtével felmerül a kérdés, pontosan mi történik, ha valakinek elfogy az éves szabadságkerete. Az éves fizetett szabadság a munka világában alapvető jog, amelyet minden munkavállaló igénybe vehet. A szabadság kiadása mindig a munkáltató felelőssége és kötelezettsége, ennek ütemezése során számos jogszabályi előírást kell figyelembe vennie.

2024. október 29.

Rangos nemzetközi díjjal ismerték el a UCC AI-alapú ügyfélszolgálati megoldásait

A szakmai zsűri döntése alapján a United Call Centers (UCC) elnyerte a rangos Titan Business Awards díjat az ügyfélszolgálat – mesterséges intelligencia kategóriában. Az idén 25 éves magyar szolgáltató cég az általa fejlesztett, mesterséges intelligencián (AI) alapuló ügyfélszolgálati megoldásaival a legmagasabb, platina fokozatot szerezte meg.