Prakticky každá větší organizace v současné době buď na cloudové řešení postupně přechází, nebo alespoň přechod zvažuje a vyhodnocuje možnosti. Ze spousty hledisek se takový přechod jeví jako výhodný, ať už zvažujeme ekonomičnost nebo flexibilitu.
Jak je na tom ale přechod do cloudu z hlediska bezpečnosti dat a systémů?
Zde je jednoznačná odpověď poněkud obtížná, všichni se ale asi shodneme na tom, že bezpečnost v cloudových systémech bude jiná. Např. pojmy jako bezpečnostní perimetr postupně ztrácejí svůj původní význam.
Je zjevné, že koncentrace velkých objemů dat u jednotlivých cloudových provozovatelů může přinášet značnou úsporu z rozsahu, a tedy i vyšší standardy zabezpečení samotné infrastruktury specializovanějšími a lépe zaplacenými profesionály včetně neustálého monitorování útoků.
Na druhou stranu zde vznikají nová, dosud neznámá rizika.
Data se nacházejí v jiných státech s potenciálně zcela jinou jurisdikcí.
Velikost odměny pro útočníka: Kompromitovat systém průměrné organizace může být relativně snadné, ale organizací je velké množství, každá s trochu jiným softwarovým ekosystémem a jiným přístupem k bezpečnosti. Kompromitovat je nepozorovaně všechny najednou se může ukázat jako překvapivě těžký úkol.
V kontrastu představují centrální cloudové systémy (snad) mnohem těžší oříšek, odměna pro útočníka je ale vyšší a motivace bude mnohonásobná. Pro různé hráče je možné strávit měsíce času hledáním jediné bezpečnostní chyby u jediného velkého provozovatele cloudu (nebo jeho subdodavatelů).
Historie ukazuje, že nepotopitelné Titaniky nebo nekompromitovatelné systémy přes všechnu snahu jako lidstvo příliš dělat neumíme, i když to leckdy s pýchou tvrdíme. Je zde stále pověstný lidský faktor.
Rozumným přístupem je mít vždy promyšlený „plán B“. Tedy ponechat si dostatečnou technickou kompetenci. Sebelepší plán bude k ničemu, pokud klíčové organizace v mezičase ztratí schopnost provozu vlastních systémů.
Přeji proto klidnější nový rok 2022, více lásky, porozumění… a odděleného zálohování.
PhDr. Ivan Bartoš, Ph.D.
Předseda české pirátské strany, poslanec PSP ČR
