Je nekontrolovaný rozmach cloudu pre firmy naozaj bezpečnostným rizikom?

Článok bol pôvodne uverejnený na mediastring.org

TASR prostredníctvom jej portálu teraz.sk prednedávnom uverejnila správu v ktorej uvádza, že „pre viac ako polovicu (58 %) vedúcich pracovníkov v oblasti IT je nekontrolovaný rozmach cloudu najväčšou bezpečnostnou obavou“.

Napriek tomu, že v dátumoch sme si už zvykli písať rok 2019 a cloud teda nie je v oblasti IT žiadnou prevratnou novinkou, skôr štandardom, stále ostáva pre mnohých ľudí, bohužiaľ aj z odboru, opradený akýmsi rúškom tajomstva. Ibaže keď sa odpútame od marketingových nálepiek a hlbšie zamyslíme nad tým, čo to vlastne ten verejný cloud je, tak nám na konci ostane „cudzí, navyše zdieľaný, počítač“. S touto vedomosťou je už naozaj ľahké odpovedať si na otázku z nadpisu, a vlastne celá pôvodná správa by nemala predstavovať žiadne prekvapenie. Je to však naozaj také zlé?

Odpoveď na túto otázku pokladám za ďaleko zaujímavejšiu. Využívanie, či kompletný prechod na služby verejného cloudu predstavuje bezpečnostné riziko. To je fakt. Rovnakým faktom ale ostáva, že prevádzkovanie vlastnej infraštruktúry taktiež predstavuje bezpečnostné riziko.

Príchute a odtiene, týchto dvoch rizík (či spôsoby ich zmierňovania) sú prípad od prípadu rôzne a inak ich bude vnímať firma mimo IT s 20 zamestnancami, ako technologický startup alebo veľká korporácia. Pokým pri vlastnej infraštruktúre musí firma riešiť všetko viac menej sama, okrem iného aj architektúru (škálovateľnosť), hardvér (chybovosť, či životný cyklus), softvér (licencie, aplikácie bezpečnostných záplat), fyzické umiestnenie (housing), ľudské zdroje (dobre vyškolený a zodpovedný správca),…  pri verejnom cloude  vyskakujú iné otázky na zamyslenie. Môžeme (resp. ako moc môžem) dôverovať vybranému dodávateľovi cloudových služieb? Sme stále výhradnými vlastníkmi „našich“ dát? Čo vlastne vieme o infraštruktúre, ktorú si de facto prenajímame? S kým ju zdieľame? Stará sa o ňu (dodávateľ cloudových služieb) dobre? Ako často, resp. ako rýchlo aplikuje bezpečnostné záplaty na platformy, ktoré dané cloudové riešenie poháňajú? Akú garantuje dostupnosť služby?

Dalo by sa pokračovať, ibaže mojím cieľom nebolo poskytnúť vyčerpávajúci zoznam špecifík, ktoré by zodpovedne uvažujúca firma mala zohľadniť pred výberom toho, či onoho riešenia. Chcel som iba poukázať na to, že obe riešenia (či ich kombinácia), predstavujú bezpečnostné riziko, pričom urobiť nejaké jednoduché, priamočiare, či univerzálne porovnanie nie je v zásade možné. Je úlohou dotknutých firiem, urobiť si domácu úlohu, vyhodnotiť a porovnať pre a proti, aj so zohľadnením cenovky a akceptáciou určitej miery kvantifikovaného zostatkového rizika (ktoré nikdy nebude 0). Týmto sa však už dostávame do vôd risk managementu, kde by však, podľa mňa, mala každá zmysluplná debata o bezpečnosti začínať aj končiť.

Ostatne je tomu tak aj v tomto prípade. Hoc v originálnej správe tento aspekt priamo spomínaný nie je, samotný nadpis s použitím spojenia „nekontrolovaný rozmach“ to už však napovedá. To bezpečnostné riziko teda nie je o cloude ako takom, ale o jeho nekontrolovanom nasadení, kde firmy často hľadia iba na jediné číslo – cenu.