A megfelelő szolgáltató kiválasztása természetesen sokrétű mérlegelést igényel, ugyanakkor a trend egyértelműen a „felhősítés” irányába mutat. A Gartner prognózisa szerint 2025-re a hagyományos adatközpontok döntő többségét bezárják, és valamilyen privát vagy publikus cloud szolgáltatással váltják ki.
Hol vannak az adatok? Magyarországon, az EU-ban vagy az USA-ban?
A felhőtechnológia egyik alapvető lényege, hogy nem tudjuk, hogy az adatok hol találhatóak pontosan. Maga az elnevezés is onnan ered, hogy a különböző ismeretlen gépekből álló internetes hálózatot régebben felhővel ábrázolták a prezentációkon. A legtöbb esetben nem arra kíváncsiak a cégek, hogy a felhőszolgáltatónak pontosan melyik adatközpontjában tárolják az adataikat, hanem hogy melyik országban – olvasható a HVG Brandchannel összefoglalójában, amely az Invitech és a Trend FM „Üzlet a felhőben” című konferenciája alapján készült.
Jó például tudni, hogy az adott szolgáltató csak Magyarországon működik-e, vagy legalábbis az Európai Unióban. Nem mindegy már az sem, ha az Egyesült Államokba kerülnek ki az információk egy tárhelyre, de a helyzet drasztikusan más, ha Dél-Amerikáról, Indiáról vagy akár Kínáról van szó. A földrajzi tényező akkor lényeges igazán, ha gond van az adatokkal, mert egyáltalán nem mindegy, hogy milyen jogrend érvényes, ha a szolgáltatóval kell kommunikálni.
Üzleti tipp: az Invitech esetében az ügyfelek bármikor felkereshetik a felhőszolgáltatásnak helyszínt adó – természetesen Magyarországon található – adatközpontjukat, és megismerhetik az eljárásrendeket, a biztonságot növelő, szerződésben is rögzített megoldásokat.
A GDPR is közbeszól
A Trend FM és az Invitech szakmai konferenciáján elhangzott, hogy meglehetősen szignifikáns az a tényező is, hogy az adott országnak be kell-e tartani az európai általános adatvédelmi rendeletet (GDPR-t), vagy sem. Az Egyesült Államok esetében ez a rendelet például nem érvényes.
Ha állami intézményről van szó, akkor ez még lényegesebb kérdés lehet. Az erre vonatkozó törvény ugyanis előírja, hogy a nemzeti adatvagyont kezelő adatokat kizárólag külön engedéllyel szabad kivinni az Európai Unióba, az unióból pedig ugyanez szinte már lehetetlen.
Hacker vs. rosszindulatú bennfentes
Az applikációkkal kapcsolatos támadások, a cookie-k meghamisítása, a weblapok rejtett mezőinek a manipulálása éppúgy megjelennek a cloud megoldásoknál is, mint a hagyományos rendszerek esetében. Ezenkívül a felhőszolgáltatók szintjén is vannak fenyegetések, mint a virtuális szerver kihasználása, de a klasszikus SQL-támadás kérdése is szóba jöhet.
Ahogyan a cégeken belül, úgy a cloud computing esetében is a legveszélyesebb tényező a rosszindulatú bennfentes, aki sok esetben lehet, hogy nem is szándékosan, hanem csak figyelmetlenségből „segíti” a hackertámadást. Ha a saját rendszerünk válik védtelenné, akkor csak a mi információink kerülnek veszélybe, ha viszont a felhőszolgáltatás, akkor mindenki, aki használja azt.
Érdemes azt is tudni, hogy a domain nevek meghamisításának, a klasszikus scripting támadásoknak vagy túlterheléses támadásoknak a felhő jobban ki van téve. Nem azért, mert gyengébb, hanem mert egy sikeres támadás sokkal nagyobb eredménnyel kecsegtet. Ha egy hacker feltör egy felhőt, sokkal híresebb lehet, több érzékeny adatot szerezhet meg, vagy esetleg egy konkurens cégtől magasabb sikerdíjat zsebelhet be.
Verseny a sötét oldallal
A jelentős erőforrásokkal rendelkező felhőszolgáltatók biztonsági csapata ezért versenyben áll a hackerekkel, hiszen ha nem tudnak ellenállni egy támadásnak, akkor nagymértékben csökken irányukba a bizalom. Elemi érdekük tehát a biztonság, amelynek tanúsítására független szakértőket is felkérnek tesztelésre, így ezek a tanúsítványok is segíthetnek eldönteni, hogy egy adott szolgáltató megfelelő mértékben foglalkozik-e a védelemmel.
Közismert tény ugyanakkor, hogy az internetes bűnözők sokszor jóval a biztonsági szakértők előtt járnak, ami lehet akár fél év is. A felhőszolgáltatók szakértői viszont legalább versenybe szállnak velük, és az erőforrások mellett a legfrissebb védelmet állítják harcba, így pár hónapra csökkenthetik a hátrányt.
Üzleti tipp: fontos azt is tudatosítaniuk a vállalkozásoknak, hogy nem várhatnak mindent az informatikai szolgáltatóktól, hanem a maguk oldalán is kiemelten figyelniük kell a biztonságtudatosság kialakítására, fejlesztésére.