INTER(NET)VIEW – Mark Child i sigurnost u “oblacima

Fotografija članka: INTER(NET)VIEW – Mark Child i  sigurnost u “oblacima

Nakon nekoliko godina provedenih u radu na potrošačko orijentiranom istraživanju tržišta,  radu u  on-line dijelu časopisa Prague Business Journala, 2004 godine postaje djelatnik   tvrtke IDC CEMA koja stoji u vrhu istraživanja i analize IT tržišta.  Budući da  Internet je brzo rastao kao medij za vijesti, usluge, ecommerce, marketing, itd., vidio  je  svoj  poslovni izazov upravo u definiranju komponenata naše ere.   Trenutno analizira tržište software-a, radi kao konzultant na projektima te na kvartalnim izvještajima za  tržište softvera.  Mark je diplomirao biologiju i geografiju na University of Brighton.

Racunalo.com: Cloud Computing je zbunjujući izraz budući da znači različite stvari, različitim ljudima. Ukratko, što je Cloud Computing u smislu sigurnosti podataka?

Mark Child: Istina je, "cloud computing" može biti dosta zbunjujući izraz. Glavni razlog je korištenje pojma u velikoj mjeri kao marketinškog alata za različite infrastrukture i primjene operativnih modela upravljanja. Jasne definicije cloud computing karakteristika i implementacijski modeli ne postoje: IDC je zbog toga razvio opsežnu bazu informacija vezanih uz Cloud isporuke i implementacijske modele.  U pogledu sigurnosti podataka, raste uporaba oblak usluga što prisiljava organizacije da pomiču sigurnosne kontrole bliže samim podacima (osim tradicionalnih krajnjih točaka ili mrežnog sigurnosnog pristupa). Pojednostavljeno, to znači veći unos podataka i sprječavanje gubitka (DLP), veću kontrolu pristupa i praćenje, primjenu sigurnosnih politika te šifriranje podataka u više razina (npr. file, cijeli disk, poruke, gateways).
 
Racunalo.com: Što je jedinstven sigurnosni izazov u oblak sredinama?
 
Mark Child: Prema istraživanjima provedenim od strane naše tvrtke   na američkom tržištu, mobilnost je faktor broj jedan vezan za stalni rast potrošnje IT sigurnosti. Postoje brojni tehnološki izazovi koje treba riješiti. To su odabir mjesta za pohranu podataka ili metoda za njihovu selektivnu klasifikaciju, korisnički pristup, dostupnost šifriranja uz usklađivanje svih elemenata sa zakonskim odredbama. Međutim, postoji jedna važna komponenta koju ne smije previdjeti IT menadžment i IT voditelji –  ljudski faktor. U tradicionalnom okruženju tehnologije to se često navodi kao jedan od najkritičnijih weakpointsa (poput bezbroj primjera socijalnog inženjeringa). U doba oblaka, potrošači i poslovni korisnici imaju pristup oblak infrastrukturi i aplikacijama preko Interneta u svakom trenutku, i mogu ih koristiti u situacijama koje zaobilaze kontrolu i / ili svijest IT odjela. Povećanje mobilnosti u obliku pametnog korištenja uređaja za različite svrhe na poslu i kod kuće, također povećava složenost sigurnosnog okruženja. Ovi faktori povećavaju rizik i stvaraju dodatni posao IT Managerima / CIO djelatnicima. Možda je jedinstven izazov za upravljanje i sigurnost procesa kompleksnost same arhitekture. 
 
  
Racunalo .com: Prema vašem mišljenju, javni oblaci su dovoljno sigurno za korištenje poslovnih aplikacija i informacija, ili davatelji usluga i dalje imaju posla oko adekvatne zaštitite podataka?
 
Mark Child: Mislim da  najbolji odgovor na to došao je tijekom jednog od naših Roadshowa, nakon izlaganja Mareka Skalickya iz tvrtke Qualys, koji je dobio slično pitanje iz publike. On je naveo da svi zakupci koji koriste prostore u datacentrima imaju jednogodišnje ugovore. Dakle u slučaju povrede sigurnosti mala je vjerojatnost da će ugrožen zakupac (i) obnoviti ugovor s davateljem usluge. Siguran sam da ukoliko zakupodavac oblak  prostora i usluga nije bio u mogućnosti osigurati podatke i aplikacije, ugovor neće biti obnovljen. Međutim, glede drugog dijela pitanja, još uvijek ima posla, i uvijek će biti. Kriminalci su stalno u potrazi za neotkrivenim slabostima. Pružatelji usluga ne mogu si priuštiti da budu mirni u području sigurnosti. Nakon toga g. Marek Skalicky je napomenuo da oblak implementacije vjerojatno ne uključuju pohranu poslovno-kritičnih podataka ili programa.
 
Racunalo.com: Postoji li danas neki sigurnosni standard za „oblak usluge? 
 
Mark Child: Ne postoji univerzalni oblak sigurnosni standard kojeg se svi davatelji usluga moraju pridržavati. Ukoliko se žele osigurati SP ugovori s organizacijama u bankarskom sektoru, mora se biti u stanju osigurati dovoljno visoka razina sigurnosti da bi se zadovoljili regulirani zahtjevi tih organizacija. U pravilu, oblak SPS treba imati iznadprosječnu sigurnosnu infrastrukturu i rješenja na mjestu ili se jednostavno neće moći steći povjerenje potencijalnih kupaca. 
 
 
Pogledamo li to na drugi način,  i uzmemo za primjer malog hi-tech proizvođača s 40 zaposlenika, i IT odjelom od dva zaposlenika. Ta dva zaposlenika moraju pokriti hardver, softver, mreže, aplikacije, baze podataka, infrastrukturu, telefoniju, pisače, skladištenje … i sigurnost.  Nužno moraju biti generalisti.  U ovom dijelu ne postoji problem u održavanju AVa, firewalla, VPNa i sl., ali zapitajmo se koliko još moraju posvetiti vremena samoj procjeni ranjivosti, sigurnosnim politikama, gubitku podataka, prevenciji, itd.? Jako puno.   U ovakvim i sličnim situacijama dolazi  do izražaja upravo  prednost oblak usluga.  SP oblak servisima i njihovoj sigurnosti se posvećuju visoko kvalificirani stručnjaci za sigurnost koji donose višu razinu sigurnosti nego što je to moguće kroz osoblje brojnih malih i srednjih poduzeća. Dodao bih još da postoje tijela koja rade na industrijskim standardima ali u smislu tehnologije. Sigurnosni standardi su u svakom slučaju već ovdje, a temelje se na provedbi najboljih praksi, politika, itd.
 
Racunalo.com: Sve više i više naših osobnih podataka je pohranjeno online, ponekad i bez našeg znanja? Možete li nam nešto reći na ovu temu.
 
Mark Child: Da, siguran sam da je to istina. Ponekad je to namjerno i nenamjerno. Mi svi sudjelujemo u nekoliko desetaka ili stotina elektroničkih transakcija i interakcija na dnevnoj bazi s mnogim organizacijama,  i kroz korištenje raznih platformi. Neizbježno je da pojedine od tih interakcija neće ostati ograničene na sigurno i privatno okruženje. Neke mogu završiti u bazama podataka u potpunosti nepovezanim s izvornim interakcijama. Samo ukoliko komuniciramo off line, a što je sve teže u ovom modernom dobu,  ne postoji mnogo toga što možemo učiniti na tom polju.
 
 
Međutim je dobro znati da  mnoge od najkritičnijih organizacija s kojima razmjenjujemo podatke – vladini uredi, banke, osiguravajuća društva, zdravstveni djelatnici, itd, imaju dodatne sigurnosne regulative i propisana stroga pravila o sigurnosti podataka i njihovoj privatnosti. Dakle, pola sata na Googleu može otkriti nekome fotografije s vašeg odmora ili neke komentare u sobama za razgovor, ali ne bi smjele biti otkrivene informacije na koliko ste osigurali imovinu ili kada je bio vaš posljednji boravak kod liječnika. 
 
Racunalo.com: Prema pisanju nekih medija, danas se u tišini stvaraju "oblak" karteli i sve više jača njihova moć? Ima li u tome istine?
 
Mark Child: Sada je još uvijek prerano govriti o cloud kartelima budući da smo tek u evolucijskoj fazi oblak usluga ali to se ipak može dogoditi u nekom trenutku. Cloud usluge trenutno su usmjerene na izgradnju svojih baza klijenata i ponuda, edukaciji tržišta i natječu se za kupce. Ne bi bio mudar potez od strane SPSa riskirati scaring off ili otuđiti potencijalne kupce dok još uvijek traje uspostava pozicija na tržištu. Poslije toga mogli bi se pojaviti karteli kroz brojna partnerstva i saveze.  Postoji nekoliko igrača koji imaju cijeli spektar infrastrukture ili aplikacija, ili imaju obećavajući pristup SMB segmentu poput telekom kompanija. One imaju idealne  distribucijske mreže za javne oblaka aplikacije uz pristup milijunima korisnika mobilnih uređaja.
 
Racunalo.com: I na kraju, možete li nam reći da li ste analizirajući podatke u posljednje vrijeme zamijetili neke novonastale prijetnje / ranjivosti povezane uz oblak usluge.
 
Mark Child: Nove prijetnje su uvijek u nastajanju ali oblak nije jedino područje interesa. Šest mjesečni koordinirani cyber napadi na sustave kontrole plinovoda u SADu, na primjer, upućuje zabrinjavajući naglasak napada na sigurnost nacionalnih ili industrijskih objekata.
 
Zahvaljujem na iscrpnim i nadasve zanimljivim informacijama koje ste nam pružili tijekom našeg razgovora. 
 
Razgovarala Sanja Ledinek, racunalo.com 
Oglas
Oglas
Pretplatite se na BESPLATNE
Tjedni pregled najzanimljivijih tehnoloških informacija
Poveznica se otvara u novom prozoru
Sigurnosna provjera: Upišite rezultat  6+8=

KOMENTARI


Neprimjerene komentare, poveznice, reklamiranje/promoviranje i komentare koji tematski nisu vezani uz vijest odmah ćemo ukloniti.