Bezpečnostní rizika cloudových služeb

S rostoucím využíváním cloudu se zvyšuje i potřeba bezpečnostních opatření. Hlavní část zabezpečení leží na poskytovateli, ale součástí celého systému je i koncový uživatel.

Pro firmy představují cloudové služby (cloud computing) výhodnou příležitost, jak eliminovat velká úložiště a další nákladný software i hardware, čímž mohou šetřit firemní kapacity i finance. Firmy tak pouze platí za pronájem cloudových služeb, zatímco externí poskytovatel se stará o funkčnost systému a bezpečnost dat. Ten zpravidla vkládá poměrně velké úsilí do zabezpečení cloudu, které je tak často na vyšší úrovni, než kdyby se o bezpečnost staral samotný uživatel.

Data v cloudových úložištích jsou šifrována a zálohována standardně v několika na sobě nezávislých datacentrech, takže i kdyby došlo k selhání jednoho úložiště, uživatel data neztratí.

Důležitý je výběr poskytovatele

Cloudové služby se stávají nezbytnou součástí obchodních modelů firem a moderních společností obecně – v roce 2021 využívalo cloudových služeb 41 procent společností v EU, v Česku dokonce 44 procent. Celkový podíl cloudových služeb na celosvětovém IT trhu pak v témže roce činil 9,1 procenta a do roku 2024 je predikován nárůst na 14,2 procenta. Je proto téměř jisté, že podíl cloudových služeb bude dále narůstat a bezpečnostní hrozby s nimi spjaté je třeba reflektovat.

Foto: Shutterstock

Největší riziko pro uživatele cloudových služeb představuje za prvé předávání velké části kontroly nad daty poskytovateli a za druhé zpracovávání dat na území jiného státu s odlišným přístupem k bezpečnosti dat. Využíváním cloudových služeb se uživatel automaticky vzdává části kontroly nad svými daty. Přestože se poskytovatel může smluvně zavázat k převzetí zodpovědnosti za některé aspekty, část zodpovědnosti vždy zůstane na zákazníkovi. Například GDPR (General Data Policy Regula­tion) vnímá jako správce dat zpravidla zákazníka cloudové služby.

Riziko zneužití dat lze snížit výběrem důvěryhodného poskytovatele, který nejlépe splňuje požadavky uživatele na bezpečnost a poskytuje služby v souladu s platnými zákony. Před uzavřením smlouvy je nutné poskytovatele prověřit a zjistit si o něm co nejvíc informací, včetně případných kauz, úniků dat z minulosti a způsobů jejich řešení. Při využívání cloudových služeb je zásadní udržovat si přehled o fyzickém místě uložení dat (a jejich případném pohybu) kvůli odlišným právním řádům v jednotlivých státech, a tím pádem i rozdílné úrovni ochrany dat a soukromí uživatele.

Data po celém světě

Poskytovatelé cloudových služeb disponují úložnými systémy (datovými centry) v mnoha státech, a data tak mohou být uložena kdekoli po světě, v případě jejich zálohování i na několika místech zároveň. Data navíc spravují většinou zahraniční společnosti (především z USA), což ještě více komplikuje otázku, kdo všechno a podle jaké právní úpravy může s daty nakládat.

Až do roku 2013 panovalo obecné přesvědčení, že data uložená v cloudových data centrech patří výhradně samotným uživatelům a jedině oni sami s nimi mohou libovolně zacházet. Soudní spor společnosti Microsoft s americkou vládou z let 2013 až 2018 ovšem tento předpoklad výrazně narušil a otevřel diskusi o šedé zóně protiřečících si právních výkladů, kterou se doposud nepodařilo vyjasnit ani prostřednictvím úpravy zákonů o cloudových službách v EU i USA.

Uživatel je nejslabším článkem

Neustále vzrůstající sofistikovanost kyberútoků se na poli cloudových služeb odráží v trendu sdílení zodpovědnosti nad zabezpečením cloudu mezi poskytovatelem a uživatelem. Podle odhadů společnosti Gartner je drtivá většina (až 95 procent) případů narušení bezpečnosti cloudu způsobena lidským omylem na straně uživatele, přičemž nejčastější příčinou je chybná konfigurace zabezpečení.

Pokud uživatelé chtějí zajistit co možná nejvyšší úroveň bezpečnosti svých dat, musí se na jejich ochraně sami významnou měrou spolupodílet a nespoléhat se jen na kapacity poskytovatele. Příklad modelu sdílené zodpovědnosti nabízí například Cloud Security Alliance, jež poskytovatele zavazuje k zajištění bezpečnosti cloudové infrastruktury, zatímco uživatelé zodpovídají za vše „uvnitř“ cloudu, včetně zabezpečení dat. Takovýto přístup od uživatelů vyžaduje investice nad rámec klasických cloudových služeb (zejména v podobě investic do erudovaného personálu).

Využito materiálů Národního úřadu pro kybernetickou a informační bezpečnost

Přečtěte si také