Cloud, bezpečnosť a súkromie

Napísané , autor:

cloud-bezpecnostDve najčastejšie otázky, ktoré sa týkajú cloudu všeobecne, sú bezpečnosť a súkromie. Poskytovatelia berú obe témy veľmi vážne.

Pozrieme sa na ponuky najväčších poskytovateľov a verím, že budú vhodné pre zákazníkov na oboch frontoch.

Tento druh podnikania je postavený na dôvere používateľov voči poskytovateľom. Je to dôvera používateľov v schopnosť poskytovateľa riadne zabezpečiť ich dáta a dodržať záväzok o rešpektovaní súkromia informácií, neposkytnúť ich ostatným, ani ich nevhodne použiť.

Na bezpečnosť a súkromie sa môžme pozrieť z niekoľkých pohľadov. Najčasťejšou výčitkou kritikov cloudu je, že dáta na serveroch iného subjektu môžu byť sprístupnené tretej osobe a tým aj zneužité. Ak sa však zamyslíme nad skúsenosťami bežných používateľov, omnoho častejšie sa stretli s tým, že o svoje dáta prišli, ako s tým, že by sa k nim niekto dostal, zneužil ich, alebo že by cez ne boli sledovaní spravodajskými službami.

Zálohovanie a archivácia

V mojom okolí snáď nepoznám človeka, ktorý by nikdy neprišiel o svoje dáta, či už z dôvodu chyby hardvéru, najčastejšie zlyhaním disku, alebo obyčajným nechceným zmazaním alebo prepísaním. Ak sa pozrieme na firemných používateľov, existujú organizácie, ktoré majú dokonca zákonnú povinnosť archivovať digitálny obsah. Z mojej vlastnej skúsenosti viem, že najmä otázka archivácie je zapeklitá a drahá problematika. Stretol som sa s prípadom, keď banka poctivo zálohovala a archivovala svoje dáta, ako jej to zákon káže, no k archívu 10 rokov starých dát sa nemohla dostať, lebo už nemala funkčné čítacie zariadenie na páskové archívy, ktoré pôvodne používala. Možno aj vy máte ešte niekde na disketách zaujímavý obsah, ktorý by ste mali radi dostupný. Ak je to na 3,5″ tak sa k nemu možno ešte dostanete. Niektoré stolné počítače ešte aj dnes majú túto mechaniku. Ale úprimne, vedeli by ste do 3 dní dostať dáta z 5,25″ diskiet? Samozrejme, existujú špecializované spoločnosti, ktoré aj zo starých archívov alebo pokazených diskov dokážu vytiahnuť stratené dáta. Každý by sa však rád tomu vyhol.

Tu poskytuje riešenie cloud. Všetky moderné cloud riešenia majú v pozadí svojho systému zálohovanie a archiváciu. Používateľ sa nemusí o nič starať. Nielenže sa môže spoľahnúť na to, že je o jeho dáta profesionálne postarané a žiadna chyba hardvéru ho o dáta nepripraví, ale štandardom je aj to, že prostredníctvom cloud riešení má dostupné všetky verzie dokumentov. Zmazaním či prepísaním o pôvodné dáta tak nikdy nepríde. To bežný aj firemný používateľ ocení viac, ako pocit bezpečia z uloženia DVD s archívom v trezore.

Súkromie verzus zdieľanie

Cloud riešenia pomaly, ale isto nahrádzajú doteraz zaužívaný, snáď už aj skostnatelý spôsob práce, v ktorom základnými kameňmi sú „Office a Mail“.

Odporcovia cloudu tvrdia, že vložením dát do cloudu strácame nárok na súkromie. Pokúsim sa to vyvrátiť.

Dáta v cloude podľa zásad ochrany osobných údajov všetkých poskytovateľov, ktoré som študoval, sú vlastníctvom používateľa a on udeľuje práva, kto s nimi a akým spôsobom môže manipulovať (až na výnimky, ktoré sú v týchto zásadách presne popísane). Toto pri bežnom používaní dovoľuje v ktoromkoľvek čase pridať, ale aj odobrať práva na prístup k vašim údajom. Keď sa však pozrieme na starý spôsob práce „Office & Mail“, tak odoslaním dát emailom strácame nad týmito dátami akúkoľvek kontrolu. Nielenže právo na prístup k týmto údajom adresátovi už nikdy neodoberieme, ale zároveň nezabránime, aby sa k týmto dátam dostal ktokoľvek iný. V skratke – o súkromie neprichádzame vložením dát do cloudu, ale stlačením tlačidla „odoslať“ v našom  maili.

Spravodajské služby

Kritici cloudu nie zriedka argumentujú „ak mám dáta v Gooli na serveroch niekde v Amerike, tak sa mi v nich môže vŕtať NSA„. Pre toto tvrdenie nebolo treba dokonca ani to, aby si Edward Snowden zničil život a vyniesol „Tajné dokumenty“. Stačilo si prečítať zásady ochrany osobných údajov napríklad spomínaného Googlu a v nich práve vyššie načrtnuté výnimky v poskytovaní prístupu k dátam.

Zdieľanie údajov z právnych dôvodov

Osobné informácie zdieľame so spoločnosťami, organizáciami či jednotlivcami mimo spoločnosti Google, ak sme v dobrej viere presvedčení o tom, že prístup k takýmto informáciám, ich použitie, uchovávanie alebo sprístupnenie sú primerane nevyhnutné na:

  • splnenie požiadaviek akéhokoľvek príslušného právneho predpisu, nariadenia, právneho postupu alebo vynútiteľného vládneho nariadenia,
  • uplatnenie príslušných zmluvných podmienok vrátane vyšetrenia ich možného porušenia,
  • rozpoznanie, zabránenie alebo na iný postup zameraný na riešenie podvodu, technických ťažkostí či bezpečnostných problémov,
  • ochranu pred poškodením práv, majetku alebo bezpečnosti spoločnosti Google, jej používateľov alebo verejnosti tak, ako to vyžadujú alebo dovoľujú právne predpisy.

Jednoducho, ak robíte niečo nekalé, nezabránite, aby k vám domov, či do kancelárie napochodovala kriminálna polícia a zabavila všetky počítače, tablety, mobily, ale aj papierové dokumenty, proste všetko, čo zákon dovoľuje zabaviť pre vyšetrovanie. To, že existuje aj postup, ako sa orgány, ktoré majú na to právo, dostanú aj k dokumentom, ktoré máte v cloude, je len logickým pokračovaním nielen technologického pokroku, ale aj vývoja práva a moci.

Google sa vyjadril, že nevytvoril žiadne zadné vrátka pre prístup spravodajským službám (ako to majú mobilní operátori – a aj pre ich použitie je potrebný súhlas súdu). Google sa ku každému prípadu stavia individuálne.

Zamyslime sa, má naša polícia postup, ako žiadať Google o sprístupnenie vašich dát? Možno sú v Cloude Google bezpečnejšie, ako v trezore.

Fyzická bezpečnosť

Príklad s polícou načrtol posledný pohľad na bezpečnosť a to je fyzická bezpečnosť. Čo keď sa niekto dostane k môjmu počítaču, tabletu, mobilu alebo hoci aj k USB disku? Existuje kvantum možností, ako ochrániť takéto zariadenia pred nepovolaný prístupom. Existuje však aj kvantum možností, ako túto ochranu prelomiť. Ak už má niekto moje zariadenie, na ktorom mám dáta, má pravdepodobne aj čas na to, aby ich z neho dostal. Fakt, že dáta sa nachádzajú na zariadení, s ktorým už nemôžem manipulovať, mi bráni urobiť akékoľvek ďalšie kroky pre ich ochranu.

Na druhej strane, ak mám svoje dáta v cloude a citlivé dáta najlepšie len v cloude, dotyčný, ktorý sa dostane k niektorému z mojich zariadení sa nedostane k mojim dátam. Ak by aj vytiahol zo zariadenia heslo do cloud systému, mám stále možnosť zmeniť údaje pre autentifikáciu, čím viem dodatočne chrániť môj digitálny obsah. To je veľká výhoda a to nehovorím o tom, že ak nepoužívam cloud, po strate, či odcudzení napríklad notebooku prichádzam o svoju prácu. Ak používam cloud, môžem okamžite pokračovať vo svojej práci na akomkoľvek inom zariadení, ako by sa nič nestalo.

Pre tieto typy zabezpečenia by aj agenti spomínaného NSA, alebo akejkoľvek inej spravodajskej či výkonnej zložky mali používať cloud.