A Magyar Államkincstár (MÁK) informatikai biztonsági vezetője előadásában a közigazgatás és a cégek, illetve a privát és a publikus felhők szempontjából elemezte a főbb kérdéseket.
Hol vannak a felhőben tárolt adatok?
Muha Lajos emlékeztetett az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi 50. törvényre, amely előírja, hogy a nemzeti adatvagyont kezelő adatokat és a kritikus információs infrastruktúrába tartozó adatokat kizárólag külön engedéllyel lehet kivinni Magyarországról az Európai Unióba. Az unióból pedig gyakorlatilag lehetetlen kivinni. Mindez nem azt jelenti, hogy nem lehet az adatok egy részét a felhőben tárolni, de például fontos kitétel, hogy fizikailag meg tudja mondani a szolgáltató a szerverek helyét.
A vállalkozások számára sem mindegy, hogy hol vannak a felhőben tárolt adataik – egy magyarországi adatközpontban, az EU-ban vagy az Egyesült Államokban, Dél-Amerikában, netán Indiában vagy Kínában. Ha ugyanis bármilyen probléma adódik, akkor tudni kell, hogy milyen jogrend szerint lehet a szolgáltatóval egyeztetni. Az USA esetén például nem lehet számon kérni a GDPR, vagyis az uniós adatvédelmi rendelet szabályait.
Szappanos Gábor malware kutató a konferencia egyik kerekasztal-beszélgetésén elmondta: a földrajzi szempontok helyett fontosabbnak tartja az adott szolgáltató alapos feltérképezését, hogy mennyire biztonságtudatos szolgáltatóról van szó, mennyi erőfeszítést és erőforrást mozgat meg a többi közt a szerverek védelmére. Szerinte ezen a területen az egyetlen mérhető tényező, hogy a szolgáltató a túlterheléses támadások (DDoS) esetén milyen sávszélességű támadás ellen tud még védelmet nyújtani. Ebben óriási különbségek lehetnek.
További fontos döntési pontnak számítanak a különböző nemzetközi tanúsítványok, minősítések, amelyek átfogó auditálást követően igazolják, hogy milyen biztonsági szintet teljesít a felhőszolgáltató.
A hacker vagy a belső munkatárs a nagyobb kockázat?
„A legveszélyesebb a rosszindulatú bennfentes. A kibertámadások 75-90 százalékában – figyelmetlenségből vagy szándékosan – valamilyen belső munkatárs is szerepet játszik. A felhőszolgáltatásoknál egy ilyen kockázat hatványozottan kárt okozhat. Az internetes támadók számára a kisebb, ismeretlen cégek rendszere helyett a felhőszolgáltatók azért is számítanak vonzó célpontnak, mert egy ilyen típusú incidens jóval nagyobb nyilvánosságot kaphat" – hívta fel a figyelmet Muha Lajos.
A MÁK informatikai biztonsági vezetője kiemelte, hogy a cloud szolgáltatások alkalmazása előtt a cégek számára is az elsődleges lépésnek a kockázatelemzésnek kell lennie. Például meg kell vizsgálni és mérlegelni kell, hogy milyen adatok kerülhetnek a felhőbe, mely adatoknál fontos a privát felhő, illetve hol engedhető meg a publikus rendszerben való tárolás.
Muha Lajos arra számít, hogy a felhőszolgáltatók egyre mélyebben el fognak gondolkozni a biztonság problémakörén. Ha ugyanis a hatékonyságot és a költségeket nézzük hosszú távon, akkor a felhő „szimpatikus" választásnak számít. Amiért sokan ellenállnak, az a vélt vagy valós biztonsági kérdések, a szolgáltatók feladata tehát olyan biztonsági válaszok kialakítása, amelyeket az ügyfelek megértenek és elfogadnak.
Tömeges hackertámadások vs. komplex biztonsági rendszerek
Az internetes bűnözők a felhőmegoldások esetében is nagyjából hasonló módszerekkel próbálkoznak, mint egy általános hálózatra kitett rendszer esetében. Ugyanakkor a felhő kitettsége miatt ezek a rendszerek könnyebben megtalálhatók, így plusz támadási felületet biztosítanak.
Szappanos Gábor kitért arra is, hogy év eleje óta jelentősen megugrott a felhőbe kihelyezett rendszerek elleni támadások száma, ami egy-két kártevő család aktív tevékenységének „köszönhető". A tapasztalatok alapján onnantól, hogy kihelyeztek a felhőbe egy rendszert, néhány perc múlva már érkeznek a robotprogramok által küldött első támadások. Arra tehát érdemes felkészülni, hogyha a „kiköltözünk" a felhőbe, akkor valószínűleg sok idő már nem lesz a biztonsági javítások feltelepítésére.
Ugyanakkor azt mindenképpen hangsúlyozni kell, hogy a cloud szolgáltatások jóval komplexebb biztonsági szolgáltatást nyújtanak, hiszen eleve több eszközt védenek, és IT-védelemre is jóval több forrást tudnak fordítani. Továbbá tisztázni kell azt is, hogy a támadás nem jelent egyet a sikeres feltöréssel, így a végfelhasználók általában nem is érzékelik, hogy probléma lenne. A felhőszolgáltatók védelmi rendszere ugyanis megfelelően blokkolja ezeket a támadásokat.
Üzleti tipp: a piaci versenyben ütőkártya lehet a felhő
A konferencián az Invitech vállalati és kormányzati főigazgatója elmondta, hogy dinamikusan nő Magyarországon a felhőszolgáltatásokat igénybe vevő cégek száma. Bár jelenleg a vállalkozások csupán 18 százaléka él ezzel a lehetőséggel, de a növekedés üteme megegyezik az európai és a nemzetközi trendekkel.
„A mai üzleti környezetben előbb-utóbb piacot fog veszíteni az a társaság, amely nem halad a trendekkel, és nem nyit az informatikai kiszervezés valamilyen fajtája felé. Azok a vállalatok viszont, amelyek élnek a modern technológiákkal, és beépítik a bérelhető informatikai szolgáltatásokat is a mindennapjaikba, versenyelőnyre tehetnek szert. A felhőszolgáltatások például olyan rugalmasságot tudnak biztosítani a termékfejlesztésben, a működésben, a működésbeli biztonságban, amit az adott cégnek az üzleti oldala tud érvényesíteni" – hangsúlyozta Marton László.