ISSN 1895-412X · wtorek 10 Grudzień 2019 r.
rss
  • warning: mysql_get_server_info() [0function.mysql-get-server-info0]: Access denied for user 'apache'@'localhost' (using password: NO) in /home/foursafe/domains/4safe.pl/public_html/includes/database.mysql.inc on line 44.
  • warning: mysql_get_server_info() [0function.mysql-get-server-info0]: A link to the server could not be established in /home/foursafe/domains/4safe.pl/public_html/includes/database.mysql.inc on line 44.
  • warning: mysql_get_server_info() [0function.mysql-get-server-info0]: Access denied for user 'apache'@'localhost' (using password: NO) in /home/foursafe/domains/4safe.pl/public_html/includes/database.mysql.inc on line 44.
  • warning: mysql_get_server_info() [0function.mysql-get-server-info0]: A link to the server could not be established in /home/foursafe/domains/4safe.pl/public_html/includes/database.mysql.inc on line 44.
  • warning: mysql_get_server_info() [0function.mysql-get-server-info0]: Access denied for user 'apache'@'localhost' (using password: NO) in /home/foursafe/domains/4safe.pl/public_html/includes/database.mysql.inc on line 44.
  • warning: mysql_get_server_info() [0function.mysql-get-server-info0]: A link to the server could not be established in /home/foursafe/domains/4safe.pl/public_html/includes/database.mysql.inc on line 44.
  • warning: mysql_get_server_info() [0function.mysql-get-server-info0]: Access denied for user 'apache'@'localhost' (using password: NO) in /home/foursafe/domains/4safe.pl/public_html/includes/database.mysql.inc on line 44.
  • warning: mysql_get_server_info() [0function.mysql-get-server-info0]: A link to the server could not be established in /home/foursafe/domains/4safe.pl/public_html/includes/database.mysql.inc on line 44.
  • warning: mysql_get_server_info() [0function.mysql-get-server-info0]: Access denied for user 'apache'@'localhost' (using password: NO) in /home/foursafe/domains/4safe.pl/public_html/includes/database.mysql.inc on line 44.
  • warning: mysql_get_server_info() [0function.mysql-get-server-info0]: A link to the server could not be established in /home/foursafe/domains/4safe.pl/public_html/includes/database.mysql.inc on line 44.
Wersja do wydruku -A +A

Bezpieczeństwo i komfort w chmurze

2015-02-27
 Na wirtualnych dyskach i w online'owych aplikacjach przechowujemy coraz więcej dokumentów. Ostatnimi czasy coraz częściej są to pliki, które decydują o naszej karierze zawodowej lub powodzeniu w interesach – zestawienia finansowe w plikach excelowskich, dane wrażliwe (imiona i nazwiska, adresy, numery telefonów) bądź niedokończone projekty. To nie wszystko – duże i średnie firmy z reguły przechowują wszelkie dane związane ze sprzedażą, umowami i serwisem w systemach CRM działających najczęściej w chmurze. Dla jasności: chodzi tu o taki model przetwarzania danych, w którym bezpieczne przechowywanie plików, nawet tych zawierających istotne dla funkcjonowania firmy informacje, a także funkcjonowanie specjalistycznych aplikacji było oparte o usługi zewnętrznej firmy. Stąd rodzą się uzasadnione obawy: czy to na pewno bezpieczne? Czy dane przechowywane w chmurze nie są szczególnie narażone na ataki cyberprzestępców? I czy są one traktowane we właściwy, zgodny z przepisami sposób?

 

Przestrzeń publiczna i prywatna

 Żeby upewnić się, że robimy wszystko, co w naszej mocy, by dobrze zabezpieczyć dane, musimy zdefiniować pojęcia przestrzeni publicznej i prywatnej w chmurze. Przestrzeń publiczna to miejsce współdzielone z innymi użytkownikami, zazwyczaj zupełnie przypadkowymi – tam trzymamy pliki wtedy, gdy korzystamy z darmowych opcji wirtualnych dysków, takich jak DropBox czy Google Drive. Przestrzeń prywatna to miejsce na wirtualnym dysku zarezerwowane wyłącznie dla nas, na podstawie odpowiedniej umowy z firmą świadczącą usługi outsourcingowe. Tam trzymamy ważne dla nas projekty, dane wrażliwe, pliki firmowe. Nie można przechowywać wiedzy o kontrahentach i kontaktach handlowych w przestrzeni publicznej, bo są tam one bardziej narażone na wyciek. Przechowujemy je wyłącznie w zabezpieczonym sektorze, np. w firmowym CRM-ie, czyli systemie do zarządzania relacjami z klientami.

 

Z drugiej jednak strony specjaliści od nowych technologii uspakajają – wyciek danych z kalendarza Google'a czy komercyjnych wirtualnych dysków i tak jest mniej prawdopodobny, niż w przypadku przechowywania ich na źle zabezpieczonym komputerze, prywatnym lub służbowym. Dlaczego tak się dzieje? Specjaliści od zabezpieczeń zatrudnieni w firmach świadczących usługi w chmurze dokładają wszelkich starań, by były one jak najbezpieczniejsze. Nie jesteśmy w stanie zapewnić takiego poziomu bezpieczeństwa danym przechowywanym na naszym komputerze – nawet, jeśli posiadamy wystarczającą wiedzę na temat szyfrowania danych, zazwyczaj po prostu nie mamy na to czasu. Poza tym zawsze może nam się zdarzyć zostawić komputer w otwartym samochodzie lub na biurku bez nadzoru – z punktu widzenia specjalistów od bezpieczeństwa jest to potencjalnie bardziej ryzykowna sytuacja niż trzymanie danych w publicznej chmurze. Dla pełnego bezpieczeństwa jednak wybierzmy sektor prywatny (dla własnych projektów) lub system firmowy.

 

Godna zaufania firma outsourcingowa

 Jeżeli zdecydujemy się na przeniesienie swojej pracy do chmury w szerszym nieco zakresie niż ograniczając się do wykorzystywania edytorów tekstu i arkuszy kalkulacyjnych z Google Drive, musimy dokładnie sprawdzić, czy dany dostawca przestrzeni wirtualnej i aplikacji online'owych jest w pełni godny zaufania, a nasze dokumenty są dobrze zabezpieczone. Od czego trzeba zacząć?

 Przede wszystkim należy zwrócić uwagę na to, czy firma realizuje najwyższe standardy przy świadczeniu usług w chmurze. Co to oznacza? Najważniejsze są podstawy – firma musi stosować dobre zabezpieczenia, dane powinny być szyfrowane, a kopie zapasowe plików muszą być tworzone obligatoryjnie. Powinny być tu spełnione przynajmniej minimalne warunki: proces logowania musi być szyfrowany (SSL), a usługi w chmurze koniecznie muszą być oznaczone odpowiednim certyfikatem bezpieczeństwa (np. VPN). W innym wypadku nie powinniśmy powierzać firmie danych firmowych, bo przy awarii serwera mogą one po prostu przepaść.

 

Warto też pamiętać o tym, że backup danych (czyli tworzenie kopii zapasowych) jest kluczowy dla ich bezpieczeństwa. W dobrej firmie outsourcingowej pliki przechowywane w chmurze nie przepadną nigdy – w przeciwieństwie do danych trzymanych na prywatnym, czy nawet firmowym komputerze, który może ulec zniszczeniu przy awarii zasilania lub w związku z uszkodzeniem mechanicznym, a wtedy odzyskanie zniszczonych plików może być niemożliwe. A w najlepszym przypadku bardzo kosztowne.

 

Kolejną ważną sprawą przy wyborze firmy świadczącej usługi w chmurze jest możliwość skorzystania ze wsparcia technicznego na podstawie umowy SLA (Service Level Agreement). Tylko wtedy możemy być naprawdę pewni, że usługi świadczone w chmurze będą na najwyższym poziomie, a ewentualna awaria aplikacji zostanie szybko naprawiona – co w przypadku działających online systemów, od których zależy funkcjonowanie firmy (np. systemu ERP nadzorującego pracę całego przedsiębiorstwa, od produkcji po księgowość) jest naprawdę ważne. Często warto wydać dodatkowe kilkadziesiąt złotych miesięcznie i mieć pewność, że dział wsparcia zareaguje na każdego naszego maila i każdy alarm telefoniczny.

 

 

Kilka podstawowych zasad obowiązujących zawsze i wszędzie

 

Nie zapominajmy o najważniejszym – nawet najlepiej strzeżony i szyfrowany system, wdrożony i serwisowany przez najbardziej godną zaufania firmę, nie będzie do końca bezpieczny, jeżeli jego użytkownicy nie zachowują podstawowych środków ostrożności. O czym należy pamiętać? Mniej więcej o tym samym, co decyduje o bezpieczeństwie transakcji dokonywanych za pomocą bankowości elektronicznej.

 

Przede wszystkim używamy do pracy komputera z zainstalowanym i uaktualnianym na bieżąco antywirusem. Nie surfujemy po podejrzanych stronach, na których ryzykujemy, że padniemy ofiarą phishingu (czyli wyłudzenia haseł), takich jak np. portale z pirackim oprogramowaniem, strony pornograficzne czy witryny poświęcone oszustwom internetowym. A przede wszystkim używamy mocnego hasła, tzn. takiego, które zawiera połączenie wielkich i małych liter, cyfr i znaków specjalnych, takich jak @, # i &. Nie zabezpieczamy konta wyrazami ze słownika – takie hasła są bez trudu łamane przez roboty cyberprzestępców. A na koniec najważniejsze. Hasła nie udostępniamy nigdy, nikomu, w żadnych okolicznościach. Każdy z naszych współpracowników ma swoje hasło, z szefem włącznie.

 

Z drugiej jednak strony – powyższe środki bezpieczeństwa są już przez świadomych istniejących zagrożeń internautów stosowane od dawna. Nikt nie trzyma PIN-u do karty od bankomatu w portfelu, a hasła do konta bankowego nie przyklejamy do biurka przy monitorze. Tak samo postępujemy z hasłem do aplikacji działających w chmurze – zwłaszcza wtedy, gdy od tego zależy bezpieczeństwo naszych projektów wykorzystywanych w karierze zawodowej bądź danych wrażliwych gromadzonych w firmie. Całą resztą, czyli gwarancją najwyższego stopnia bezpieczeństwa plików i aplikacji przechowywanych w chmurze, zajmą się specjaliści z firm świadczących usługi w zakresie outsourcingu IT. Co nie oznacza, że powinniśmy rezygnować z szyfrowania danych.

 

Szyfr gwarancją bezpieczeństwa

 

Bez względu na to, czy w chmurze trzymamy dane firmowe czy prywatne, powinny być one zaszyfrowane. W dużych i średnich firmach szyfrowanie danych należy zazwyczaj do obowiązków pionu IT. Jednak gdy prowadzimy własną działalność lub niedużą firmę, musimy zadbać o to sami. Absolutne minimum to użycie któregoś z popularnych programów szyfrujących, bo Boxcryptora współpracującego z popularnymi serwisami takimi jak Sky Drive, Google Drive czy Dropbox. Im bardziej wrażliwe dane przechowujemy w chmurze, tym bardziej zobligowani jesteśmy do użycia dobrego narzędzia szyfrującego. Nasze dane powinny być szyfrowane za pomocą kluczy symetrycznych. Bez względu na to, jakie narzędzie wybierzemy, musimy pamiętać o tym, by klucz szyfrujący znajdował się zawsze po naszej stronie i nie został udostępniony firmie świadczącej usługi w chmurze.

 

 

Godna zaufania firma świadcząca usługi w chmurze, zaszyfrowane dane i silne hasło chroniące do nich dostępu – wszystkie te środki sprzężone ze sobą gwarantują, że robimy wszystko, by dobrze zabezpieczyć informacje, od których zależy rozwój firmy i naszej kariery. Specjaliści ds. bezpieczeństwa danych twierdzą, że o powodzeniu ataków cyberprzestępców decydują z reguły zbyt słabe hasła oraz brak szyfru – pamiętajmy, że nawet, jeżeli nasze dane mimo wszystko wyciekną, w postaci zaszyfrowanej będą one całkowicie bezużyteczne. Ja widać, zabezpieczenie danych przechowywanych w chmurze nie jest takie trudne, a skuteczność podejmowanych działań jest z reguły znacznie wyższa, niż w przypadku trzymania plików wyłącznie na własnym komputerze.

 

Autor: http://www.datalab.pl/