Objavljeno 17. lipnja, 2017.
Što je “Cloud computing”? Odgovor na to pitanje daje nam dr.sc. Ivo Ugrina, direktor NVTEH-a, hrvatske IT kompanije koja je otkrila značajne nedostatke u pristupu skladištenju i osiguravanju podataka kod tržišnog lidera na području oblačnih (cloud) rješenja - Amazon Web Service.
- “Cloud computing”, ili samo “Cloud”, na hrvatskom “usluga u oblaku”, ili samo “oblak”, skupni je naziv za niz usluga kod kojih se podaci čuvaju i obrađuju na Internetu. Pristup aplikacijama, podacima i servisima za čuvanje podataka u svakom je trenutku moguć bez obzira na trenutačnu lokaciju korisnika dok god korisnik ima pristup Internetu. Jedna od osnovnih prednosti, i razlog zašto je danas “cloud” jedan od najbrže rastućih trendova u području informacijske tehnologije, jest mogućnost fleksibilnijih operativnih troškova poslovanja kod tvrtki te plaćanje resursa po utrošku umjesto kapitalnih ulaganja. Često se kod usluga “u oblaku” dobivaju neograničene količine svih resursa (poput prostora za skladištenje podataka) te sam korisnik prilagođava sustav u mjeri koja mu je trenutačno potreba. Budući da korisnik nije vlasnik infrastrukture kod ovakvog modela poslovanja izbjegava se održavanje, nabava i upravljanje infrastrukturom. Korisnik plaća samo ono što koristi i to točno u mjeri koliko je određenu uslugu i koristio. Odnosno, korisnik plaća iznajmljivanje resursa te naknadu za korištenje usluga “u oblaku”.
ZAŠTITA PODATAKA
Općenito uzevši, kojim je sve rizicima izloženo pohranjivanje i zaštita korporativnih podataka danas?
- Usprkos značajnom pomaku u razvoju računala i pratećih servisa od samih početaka pa sve do danas kontinuirano su prisutna dva glavna problema kod pohranjivanja podataka: odgovarajuća replikacija - poznato kao backup (u slučaju da jedan od sustava za pohranu postane nedostupan), te dostupnost i mogućnosti sustava za napredno upravljanja ovlastima. Upravo ovi problemi prikazuju rizike: mogućnost nepovratnog gubitka podataka te mogućnost da do podataka dođu osobe koje nisu ovlaštene da njima upravljaju. Kod neprimjereno namještenih sustava za upravljanje podacima i mala izloženost neopreznosti, ili zloćudnom softveru, može značiti početak velikih neprilika. Srećom, danas su dostupne napredne opcije za zaštitu podataka pa, uz ostalo, podatke možemo kriptirati, čuvati u sustavima s automatskom replikacijom te fino prilagođavati prava pristupa, kako vanjskim tako i tvrtkinim zaposlenicima. No važno je znati da bez odgovarajuće edukacije uvijek postoji rizik da se ovi alati pogrešno koriste, ili uopće ne koriste, te da se podaci izgube.
Tvrtke u Hrvatskoj također trebaju biti svjesne da od svibnja 2018. godine na snagu stupa i nova uredba EU-a pod nazivom GDPR, gdje se za neprofesionalni pristup čuvanju podataka propisuju kazne za kršenje opće uredbe od 4 % godišnjeg prihoda ili 20 milijuna eura. Odnosno, kazne koje vas mogu eliminirati s tržišta.
Kažete da podaci skladišteni u “Amazonovom oblaku” s malom neopreznošću mogu postati javno dostupni. Objasnite to malo šire i dublje?
- U analizi koju je proveo NVTEH tim, na čelu s voditeljem R&D-a Nevenom Vučinićem, izložili smo niz primjera o rizičnosti postavljanja podataka u oblak te važnosti “najbolje poslovne prakse” prilikom pohranjivanja i zaštite korporativnih podataka. Upravo iz razloga što su podaci “u oblaku” (na internetu), u slučaju da ne prilagodite prava pristupa na odgovarajući način, vjerojatno ćete te podatke ostaviti otvorene i drugim korisnicima oblačnih servisa. AWS nudi niz certifikata i treninga u kojima se mogu savladati “najbolje prakse” te bolje upoznati detalje sustava upravo da bi se izbjeglo slučajno otkrivanje nepoželjnih opcija. U istraživanju koje smo proveli, primjerice bilo je dovoljno pritisnuti samo jednu tipku u sučelju da biste otvorili svoje podatke javnosti te ako niste bili upoznati s detaljima servisa mogli ste zabunom (ili igrom) tu tipku i upotrijebiti.
KONTROLA PROCESA
Do kakvih ste sve rezultata došli nakon višemjesečnog istraživanja tima NVTEH-a?
- NVTEH-ov tim odlučio je istražiti korištenje opcije za javno dijeljenje virtualnih čvrstih diskova na AWS-u te je došao do zapanjujućih otkrića: korisnici koji su javni profil formirali “samo na sekundu” kako bi prebacili podatke (nadajući se samo interno), učinili su veliku potencijalnu štetu za tvrtku. Pomoću interno razvijenog sustava za analizu javno dostupnih slika čvrstih diskova NVTEH-ov tim je pronašao niz javno dostupnih financijskih, pravnih, medicinskih i drugih podataka, čak i vrlo uglednih kompanija te raznih baza korisnika koje bi trebale ostati u zoni privatnosti.
Pronašli smo i jedan izrazito zanimljiv slučaj: jedan od europskih lidera na području informacijskih i komunikacijskih tehnologija slučajno je ostavio otvoren pristup internim dokumentima odjela za financije te odjela za upravljanje ljudskim resursima. Među pronađenim dokumentima nalazili su se podaci o plaćama direktora, trenutačnim projektima s uglednim bolnicama i sveučilištima te privatni podaci o zaposlenicima.
Kao što je naše istraživanje pokazalo, nestručan pristup sigurnosti podataka može dovesti do ozbiljnih pravnih i financijskih posljedica te je, nažalost, znatno učestaliji no što se mislilo. Zaposlenicima treba stalno naglašavati da su podaci jedna od temeljnih vrijednosti tvrtke. Odnosno, potrebno je među zaposlenicima konstantno podizati svijest o kontroli procesa vezanih uz sigurnost podataka u poslovanju. Kao IT profesionalci imamo odgovornost da druge i sebe konstantno educiramo, promoviramo najbolje prakse kako bi naše klijente zaštitili što je više moguće.
VELIKA POZORNOST
Kakav je odjek, da tako kažemo, vaših istraživanja, medijski, od strane kompanija, kad nas i u svijetu?
- Svoje istraživanje prvi put prezentirali smo na konferenciji DORS/CLUC - Dani otvorenih računarskih sustava u Zagrebu, krajem svibnja, te smo nakon prezentacije objavili blog post na našim službenim stranicama. Unutar prvih 24 sata od objave našeg članka na internetu isti je posjećen više od 10 tisuća puta te je zadobio popriličnu pozornost na socijalnim mrežama općenitog karaktera (poput Twittera) i specijaliziranom mrežama (poput reddita). Među osobama koje su upućivale na važnost našeg istraživanja nalazila su se neka od najjačih imena sigurnosnog područja u IT-u. Istraživanje je dospjelo i na jedan od najpopularniji internetskih servisa za razmjenu vijesti (TheNextWeb - TNW), gdje smo novinaru prezentirali najvažnije rezultate i dali dublji uvid u problematiku. Izrazito smo ponosni što je Amazon (AWS), kao odgovor na naše istraživanje, desetak dana nakon naše objave uveo mogućnost “alarmiranja” osoblja u slučaju javnog dijeljenja internih podataka. Od objave istraživanja također su nas kontaktirale i razne tvrtke s upitima o pronađenim rezultatima te ponudama za moguću suradnju.
Razgovarao: Darko JERKOVIĆ
ODGOVORNOST I EFIKASNOST
IT stručnjaci iz zagrebačke tvrtke NVTEH tvrde da podaci skladišteni u tzv. oblaku, s malom neopreznošću mogu postati javno dostupni, a svoje istraživanje prezentirali su na konferenciji DORS/CLUC - Dani otvorenih računarskih sustava. U analizi koju je proveo R&D tim NVTEH-a izložili su niz primjera o rizičnosti postavljanja podataka u oblak te važnosti “najbolje poslovne prakse” prilikom pohranjivanja i zaštite korporativnih podataka. “Kao IT profesionalci imamo odgovornost da druge i sebe konstantno educiramo, promoviramo najbolje prakse te odradimo težak posao da bi se naše klijente zaštitilo što je više moguće”, kaže Ivo Ugrina.
Kao što je naše istraživanje pokazalo, nestručan pristup sigurnosti podataka može dovesti do ozbiljnih pravnih i financijskih posljedica...
IVO UGRINA