Hírek, aktualitások

Adatbiztonság és adatvédelem – 2. rész


Az eddig emlegetett előnyök mellett vannak problémás vonatkozásai is a felhőszolgáltatásoknak, és a leghevesebb vitákat az adatbiztonság és az adatvédelem kérdései generálják.

Azt bátran kijelenhetjük, hogy már a mai technológiai megoldások is tökéletesen alkalmasak arra, hogy a felhasználók biztonságban tudják adataikat. E technológiák jó része a kiberbűnözés és az ipari kémkedés mind nagyobb méreteire reagálva az illetéktelen hozzáféréstől védi az adatokat és a folyamatokat: titkosítások alkalmazása, azonosítási, hitelesítési mechanizmusok, esetleg VPN használata, a gondos adatszeparáció stb., míg a redundancia, a földrajzilag is eltérő helyeken lévő biztonsági mentések sokasága arra ad garanciát, hogy adattárolási katasztrófa esetén se vesszenek el a felhasználó adatai. (Ezeket technológiai megoldásokat a Virtual Call Center is mind alkalmazza.)

Adatbiztonság és adatvédelem - VCC BlogUgyanakkor a közelmúlt néhány, főként a napi sajtóban vihart biztonsági incidense olyan érzést kelthetett a szakterületen kevésbé jártasabbakban, hogy az adatok biztonságáért nem
minden szolgáltató tesz meg mindent, illetve a mégoly magas szintű védelmi technológiák sem óvnak meg az emberi tévedés vagy hanyagság okozta hibáktól. De közelebbről megnézve a történteket, látható, hogy ezek az adatvesztések vagy adatszivárgások – még ha egyik-másik olyan globális IT cégnél történt is, mint a Sony vagy az Apple – szinte mindegyike olyan vállalatnál esett meg, amelyeknél a felhőszolgáltatás nem főtevékenység: ezeknél a vállalatoknál a felhőmegoldások jórészt kiegészítő, illetve csak mostanában növekedésnek indult szolgáltatások.

E sebezhetőséget mutató cégek igazából a felhő terjedésének a „második hullámához” tartoznak, akik hagyományos sikeres üzletágaikat bővítik, illetve most alakítják át üzleti modelljüket. Az említett incidensek elemzései rámutatnak, hogy legyen szó bármely nagy és tekintélyes IT cégről, a biztonságos és stabil felhőszolgáltatásnak megvannak a szigorú szabályai, és ha ezeket nem tartják be, akkor nagy az esélye a hibázásnak.

Jól mutatja ennek inverzét, hogy a főtevékenységként felhőszolgáltatással foglalkozó vállalatok – például az e területen olyan széles spektrumú kínálattal rendelkező cégek, mint a Google vagy az Amazon (sőt a vállalati stratégiát már közel egy évtizede ebbe az irányba vezető Microsoft) – eddig gyakorlatilag még nem szenvedtek el komoly, adatszivárgással járó biztonsági incidenst. Sőt, e cégeknél még a szolgáltatás-kieséssel járó üzemzavar is ritka madár, adatvesztés pedig a bőséges rendundanciának köszönhetően szinte kizárt. Ennek fő biztosítéka, hogy a felhőből élő cégeknél nem néhány ember, esetleg egy munkacsoport foglalkozik a felhőszolgáltatással, hanem több divízió, igencsak méretes szakembergárdákkal, akik már részterületekre bontva menedzselik és fejlesztik a core-tevékenységet, hogy az általuk kínált felhő stabil, gyors, kényelmes és biztonságos legyen.

A fentiekből következik, hogy az adatbiztonságot illetően cégeknek különösen ajánlott tájékozódni egy szolgáltatás igénybevétele előtt az adott szolgáltató reputációjáról – ez ugyanúgy bizalmi kérdés, mint a bankválasztás. Nem véletlen, hogy a felhőszolgáltatók imázsának legfontosabb eleme a megbízhatóság. Érdemes megnézni a tanúsítványokat is – bár ezek rendszere sajnos még nem egységes – de mivel a szolgáltatók elemi érdeke a biztonságos, megbízható és stabil működés, ők maguk is mindent megtesznek azért, megszerezzék és fenntartsák a felhasználói bizalmat. Szerződéseikben különféle garanciákat
nyújtanak ügyfeleiknek, törekszenek az átláthatóságra, nyilvánosan kezelik esetleges biztonsági incidenseiket, széles körű támogatást nyújtanak szolgáltatásaikhoz, üzemzavar esetén megfelelő mértékű kárpótlásra lehet számítani tőlük – sőt, akadnak cégek, akik elég bátrak, ahhoz,hogy lehetőségeikhez mérten ellenálljanak a kíváncsi államnak is.

A másik, nagy indulatokat kiváltó terület az adatvédelem ügye, a felhő itt kapja a legtöbb kritikát. Egyrészt azért, mert a felhasználók a felhőben az adataikkal együtt a kontroll egy részét is átadják a szolgáltatónak, és sok vállaltnál a felhasználóknak alig van lehetőségük arra, hogy megtudják: a kiválasztott cég vajon mit tesz adataikkal. E területen – nem kevés botrány után – határozott előrelépés tapasztalható az utóbbi időben, ugyanis a nagy szolgáltatók számára egyértelművé vált, hogy a fejlett technológia mellett a felhasználói bizalom a legnagyobb tőkéjük, így sorozatos lépéseket tesznek az átláthatóság növelésére, igyekeznek mind több garanciát nyújtani.

Ám természetesen ez sem jelent száz százalékos biztosítékot, hiszen hiába létezik az Egyesült Államokra és az európai gazdasági térségre vonatkozó Safe Harbor egyezmény (mely előírásaival szabványosítja az adatkezelést az egyezményt aláíró országokban és vállalatoknál, hogy védje a felhasználókat), arra már az Európai Unió illetékes munkacsoportja (29. cikk szerinti adatvédelmi munkacsoport – Article 29 working party) is felhívta a figyelmet, hogy a sokféle törvényi szabályozás miatt egyezmény gyakran nem ad elegendő védelmet, illetve nem biztosítja a kellő jogsegélyt. Az Edward Snowden nevéhez fűződő kiszivárogtatások után különösen kiéleződött a konfliktus az USA és az EU között e területen. Az egyeztetések napjainkban is zajlanak, az EU új adatvédelmi irányelvei pedig határozottan kiállnak a szigorú adatvédelmi korlátozások mellett.

Megfontoltan döntsünk

Az ember fodrászt vagy autószerelőt is kellő körültekintéssel választ magának, így nyilvánvaló, hogy egy olyan esetben, amikor egy vállalkozás bizalmas adatait bízza egy külső felhőszolgáltatóra, és amikor működtetésének kiemelten fontos területeit teszi függővé egy szerződött partnertől, akkor a lehető legalaposabban utána kell néznie, hogy kivel fog együtt dolgozni. Amennyiben egy, az Európai Unióban működő cég megfelelő garanciákat szeretne kapni, szinte elkerülhetetlen, hogy a következő jellemzőket a döntés előtt ellenőrizze:

  • a kiválasztott felhőszolgáltató az EU egyik tagállamában működik-e – egy EU-n kívüli szolgáltató esetében a valószínűleg eltérő jogi és gazdasági környezet miatt nehezebb lehet a megszokott és megkívánt feltételeket elérni, nehézkesebb lehet az esetlegesen kialakuló jogi és üzleti viták rendezése
  • a felhőszolgáltatások kiemelten fontos előnye a nagy rendelkezésre állás biztosítása, épp ezért ezt a paramétert már az első tájékozódáskor meg kell vizsgálni – előfordulhat, hogy egyéb jellemzőket nézve találhatunk kedvezőbb ajánlatokat, de a nem kellő vagy bizonytalan feltételekkel megadott rendelkezésre állás annulálhatja ezeket az előnyöket
  • a szolgáltató milyen típusú és mekkora mértékű anyagi felelősséget vállal az esetleg meghibásodások, incidensek, üzemkiesések esetére, és van-e erre vonatkozó felelősségbiztosítása
  • a szolgáltató ügyfélköre milyen típusú cégekből áll (ezek a cégek milyen területeken dolgoznak), és velük milyen feltételekkel kötöttek szerződést
  • a leendő partner milyen típusú biztonsági auditokkal rendelkezik, ezeket az átvilágításokat kik végezték el
  • mennyi ideje működik a kiszemelt szolgáltató
  • a cég története során volt-e példa biztonsági incidensre – ha igen, hányszor, és milyen súlyosak voltak ezek, illetve: milyen módon kezelte ezt a vállalkozás
  • az utóbbi három évben milyen volt a szolgáltató eredményessége: a pénzügyi mutatók áttekintése
  • előfordulhat, hogy egy idő után szolgáltatót akarunk váltani, ezért létfontosságú arról meggyőződni, hogy milyen módon biztosítja a szolgáltató az adatok exportálását az arra jogosultak számára (pl. nem túlságosan zárt-e a platformja, ahonnan igen nehezen vagy egyáltalán nem lehet átvinni az adatokat egy másik platformra)
  • a szolgáltató mennyire rugalmas a potenciális új igények kezelésében
  • support: milyen technikai, esetleg személyes támogatást biztosít

A felhőtechnológiák és felhőszolgáltatások záró értékeléséhez érdemes újra analógiához folyamodni: ha a cégvezető autót vásárol vállalkozása számára, akkor nem azt a kérdést teszi fel magának, hogy az autó jó dolog-e, hanem azt nézi meg, hogy neki milyen paraméterekkel rendelkező járműre van szüksége, hogy cége munkájának színvonalát emelni tudja, illetve azt, hogy azt az adott kocsit megbízható forrásból szerezze be, ahol garanciát vállalnak, ahol nem vágják át, ahová később is visszamehet panaszaival és kérdéseivel.
Pontosan így működik ez akkor is, ha a vállalkozás felhőszolgáltatást keres.

A cikkhez tartozó első rész: A jövő a felhőé – 1. rész