Kibernetička sigurnost sve je važnija tema za organizacije diljem svijeta. S porastom prijetnji i napadima koji konstantno evoluiraju pitanje sigurnosti postaje ključno. Istodobno sve više kompanija prepoznaje prednosti tehnologije oblaka (cloud) kojoj povjerava svoje sigurnosne resurse i infrastrukturu. Unatoč očiglednim prednostima poput lakše skalabilnosti, bržeg uvođenja, visoke dostupnosti i globalne prisutnosti još postoji određena bojazan, posebice u organizacijama čije poslovanje ovisi o izrazito osjetljivim podacima kao što su financijski podaci korisnika.
Sigurnost ključnih podataka, usklađivanje s regulativnim zahtjevima te briga za dostupnost i performanse sustava ostaju glavne dileme organizacija koje razmatraju prelazak u cloud.
Ozbiljan biznis
Jesu li te bojazni opravdane, komentira Luka Mićanović, Delivery Unit Manager za SaaS rješenja IT kompanije ASEE:
– Pružamo visokorizične platne i autentifikacijske servise za više od šezdeset banaka i procesora iz podatkovnih centara u modelu clouda, kako u Europskoj uniji tako i izvan njezinih granica. To za banke ili procesore znači nekoliko stvari: iznošenje osjetljivih podataka iz okružja banke, a često i iz države, te, još važnije, prepuštanje sigurnosti i obrade podataka trećoj strani. Takav pristup poslovanju prije petnaest-dvadeset godina za banke je bio gotovo nezamisliv zbog straha da su podaci kod vanjskog pružatelja usluge manje sigurni. Danas vrlo dobro znamo da to uz ispravan pristup nije tako.
Mićanović ističe i kako je bilo ključno osigurati cijeli skup tehničkih i procesnih preduvjeta kako bi se jamčila sigurnost podataka na istoj, a često i višoj razini nego u okružju banke. Dio tih zahtjeva, kaže Mićanović, određen je raznim regulativama, dio je bankin direktni zahtjev, a dio je rezultat iskustva i znanja tvrtkinih sigurnosnih stručnjaka.
– Kako bi se naši klijenti uvjerili da su svi potrebni mehanizmi i procesi uspješno uvedeni, provodimo redovit nadzor (audit), što vanjski, što onaj auditora koje izabere banka. Na temelju tih nadzora dobivamo certifikate kao što su PCI DSS, PCI 3DS, ISO i dr. Jednom prilikom auditor nam je naložio da iznad sigurne prostorije u kojoj su ormari s našom opremom moramo zavariti dodatan kavez. Zašto? Zato što bi se napadač mogao popeti preko zida iz druge serverske dvorane, koja je također bila u četvrtoj zoni sigurnosti. Takvi scenariji u stvarnom su svijetu vrlo malo vjerojatni, ali napadači u pravilu postaju sve kreativniji i vještiji, što od nas zahtjeva ulaganje velikih napora da budemo brži u toj utrci i zatvorimo sve moguće vektore napada. Dobar su primjer i DDoS napadi, koji su prije zahtijevali ozbiljno hakersko umijeće, a danas se mogu kupiti na dark webu za frakciju bitcoina u vrijednosti od oko 10.000 dolara i tako znatno narušiti rad bankina servisa. To jasno pokazuje da je sigurnost postala ozbiljan posao – objašnjava Mićanović.
Oblak – da ili ne?
Kompleksnost sigurnosnih izazova zahtijeva iskusne certificirane stručnjake, posebnu opremu, posebne prostorne mjere te stalan nadzor. U cloud-poslu kojim se kompanije kao što je ASEE bave sigurnost je na dnevnom redu. Pružajući svoje usluge prema najvišim sigurnosnim standardima, omogućuju kompanijama da se usmjere na svoj glavni posao, a stručnjaci za sigurnost preuzimaju brigu o podacima i infrastrukturi. Ta win-win situacija potvrđuje da budućnost kibernetičke sigurnosti i clouda idu pod ruku.
– S obzirom na to da usluge pružamo većem broju klijenata, možemo osigurati da cijena sigurnosti za krajnjega korisnika dugoročno bude isplativija nego da sâm provodi sve aktivnosti – zaključuje Mićanović.
Upravo o temi sigurnosti u cloudu bit će riječ na konferenciji o kibrnetičkoj sigurnosti ‘Alert‘, koja se održava u studenome u Zagrebu i na kojoj će jedna od tema biti ‘Exploring the Cloud or Staying Grounded‘, pri čemu ćemo iz prve ruke čuti perspektive banaka i drugih kompanija: cloud – da ili ne?