Menu

ERŐS INFORMÁCIÓBIZTONSÁG A FELHŐBEN

Összefoglalás

A felhő alapú szolgáltatások az információbiztonság újragondolását teszik szükségessé a vállalkozások informatikai rendszereiben. Az általánosan elfogadott „legjobb gyakorlatok” elvei nem változtak, azonban a fogalmak mögöttes tartalma és a szabályozás finomodott.

A globalizáció a felhő alapú szolgáltatások igénybe vevői számára megvalósult, ezért összefoglaltuk a relevánsnak ítélt definíciókat, szabályokat. Meghatároztuk az üzleti titok fogalmát.

Megmutatjuk, hogy a felhő szolgáltatás igénybe vétele kifejezetten hozzájárul annak megtartásához.

Bevezetés

Az elgondolás korántsem új: a domain-név, web szerver/tárhely, levelezőrendszer és a VPS szolgáltatások már több mint egy évtizede közismertek és elterjedtek. Ezek a szolgáltatások tekinthetők mai felhő alapú szolgáltatások előfutárainak.

A felhő alapú szolgáltatások nagy előnye, hogy

  • dinamikusan skálázhatók,
  • rendelkezésre állásuk meghaladja a vállalati infrastruktúráét,
  • biztonságuk és a katasztrófatűrésük pedig minőségileg magasabb szintű.

Az új kihívás – adatvédelem a felhőben

Amíg egy vállalkozás saját Iinformatikai infrastruktúrát üzemeltet, célja az, hogy üzleti titkait ezen az infrastruktúrán tárolja és a hozzáférést kizárólag azoknak, oly mértékben és addig engedje, amíg erre a működés szempontjából szükség van. Ehhez a hozzáférni szándékozót be kell tudni azonosítani (authentikáció) és meg kell mondani, hogy ő valóban jogosult (authorizáció) elérni az adott információt. Ahhoz, hogy ez sikeres legyen a szerepek megfelelő definiálására van szükség.

Ez – ameddig egyetlen ilyen alkalmazás van - nem okoz gondot. Amennyiben egy vállalkozás, szigetekként működő alkalmazásokat használ, a jogosultságok ügyvitele egyszerű feladat.

Integrált rendszerek esetében ez a feladat sokkal bonyolultabb. Léteznek olyan integrált rendszerek, amelyek keretrendszerként az operációs rendszer és az alkalmazási réteg közé ékelődve megoldják a menedzsment és a naplózás feladatait. 

Ezek implementálása azonban


  • nem könnyű, általában saját erőből nem megoldható, ezért drága
  • időigényes, külső erőforrás bevonását igénylő feladat, így gyakran elmarad

Ha pedig mégis megtörténik, a változások vezetésére, elemzésre nem marad erőforrás. Ily módon még megfelelő implementálás esetén is csak utólagos észlelésre, szakértői vizsgálatra alkalmasak - incidens esetén.

A felhő ígérete, hogy ezeket a kérdéseket fejlett eszközökkel, integráltan úgy oldja meg, hogy az alkalmazások beállításának részévé válik a hozzáférés szabályozása. Ez kényszeríti is a vállalkozást a releváns, egységes és naprakész szabályozottság fenntartására. Ezért cserében gyakorlatilag folyamatosan, automatizáltan auditálhatjuk a teljes IT infrastruktúrát és valós idejű figyelmeztetéseket kaphatunk bármilyen rendellenes működésről.

Az üzleti titok – adatvédelmi szempontból

A személyes adatok védelmével foglalkozó adatvédelmi direktíva a World Intellectual Property Organization (WIPO) szerinti meghatározás, mely szerint az a bizalmas üzleti információ minősül üzleti titoknak, ami előnyt biztosít, és aminek felhasználása annak birtokosa kivételével tisztességtelen üzleti gyakorlatnak minősül. Ennél feszesebb, ezért jobban kezelhető az Egyesült Államokban elfogadott Uniform Trade Secrets Act (UTSA).

Veszélyforrások​

Bár a közvélekedés a hacker támadásoktól tart a leginkább, korántsem a hackerek jelentik a legfőbb veszélyt az üzleti titkokra. A legnagyobb veszélyforrást mindig a hozzáférési jogosultsággal rendelkező, az adott adatokkal foglalkozásszerűen dolgozó saját alkalmazottak jelentik. Ezen belül a nagyobbik csoportot a hozzáértés hiányából fakadó hibák, tévedések elkövetői alkotják és csak kisebb részben azok, akik tudják, hogy honnan, és mit lehet elvinni, erre jogosultak is és tudják azt is, hogy hogyan lehet ezekkel visszaélni és meg is teszik. Ezen kockázatok kezelésére a felhő alapú szolgáltatás sokkal inkább alkalmas, mint a saját számítóközpont.

A Harmadik Fél a barátod

Minden azonosítás egy olyan fél meglétén alapszik, aki/ami (törvény által vagy más módon biztosítottan) hitelesnek tekinthető és nincs más feladata, csak ennek a bizalomnak a fenntartása.

A számítástechnikai azonosítás egy ú.n. trusted party, hiteles fél meglétén alapszik. Ilyen hiteles fél képes hitelesítésre a törvényi feltételek fennállása - szigorú előírásoknak rendszeres auditokon való megfelelés és elegendően magas összegű felelősségbiztosítás megléte – esetén.

A felhő szolgáltatójáról hasonló módon gondolkodhatunk. Nincs más dolga, csak a vállalt szolgáltatásokat nyújtja, de a mindennapi üzletmenetünkben egyébként nem vesz részt.

A jogosultságok kezelése egy előre lefektetett, szerep alapú, elfogadott, a munkavállaló belépésével önműködően életbe lépő biztonsági házirenden keresztül érvényesül, mely naplózott.

A nehézséget az okozza, hogy amennyiben a vállalati informatika kisméretű, ezeket a feladatokat (szerepeket) nem tudjuk megfelelően elhatárolni. Amennyiben felhő alapú szolgáltatást használunk, akkor például az üzemeltetés önműködően elválik a fejlesztéstől még ilyen esetben is.

Jogi garanciális elemek

Saját informatikai rendszer üzemeltetése esetén kizárólag alkalmazottjainktól kell megvédenünk üzleti titkainkat. 

Ez a megfelelő feladatelhatárolás híján gyakran eleve lehetetlen. Ráadásul kártérítési igényünk érvényesítési lehetősége azonban alkalmazottjaink felé igencsak korlátos, hiszen kárviselési képességük az. Ezzel szemben egy alkalmasan megválasztott szolgáltatóval szembeni esetleges kártérítési igényünk biztosan és teljes mértékben kielégítést nyerhet.

Milyen megoldásokat nyújtunk Önnek

Célunk az, hogy vállalata hatékonyságát fejleszthessük.
Megoldásainkkal megvalósítjuk terveit.

Megoldásaink