Dátová suverenita a bezpečnosť: prečo citlivé dáta nepatria do verejného cloudu

• Hodnotenie citlivosti dát
• Dátová suverenita a jurisdikcia
• Klasifikácia dát a rozloženie rizika
• Modely cloudových služieb a rozdelenie zodpovednosti
• Regulatórne požiadavky
• On-premise infraštruktúra
• Hybridný model
• Certifikácia a auditné správy
• Ako sa rozhodnúť

Hodnotenie citlivosti dát

Pri hodnotení citlivosti dát nestačí sledovať iba ich obsah, pretože významnú úlohu zohrávajú aj dôsledky prípadného incidentu. Výrobná dokumentácia môže predstavovať zásadnú konkurenčnú výhodu, zatiaľ čo nedostupnosť prevádzkovej databázy dokáže zastaviť výrobu aj bez jediného uniknutého súboru. Do hodnotenia preto patria možné finančné škody, dopad na zákazníkov a čas, počas ktorého sa firma môže zaobísť bez daného systému.

Ak je verejný cloud správne navrhnutý a konfigurovaný, môže ponúknuť rovnakú alebo dokonca vyššiu úroveň ochrany ako vlastná infraštruktúra. Veľkí poskytovatelia investujú značné prostriedky do zabezpečenia datacentier, monitoringu a obrany proti rozsiahlym útokom. Podnik však časť priamej kontroly nahrádza zmluvným vzťahom, takže potrebuje presne rozumieť tomu, čo dodávateľ skutočne garantuje a ktoré časti zabezpečenia zostávajú na zákazníkovi.

Dátová suverenita a jurisdikcia

Dátová suverenita začína kontrolou nad celým životným cyklom dát. Umiestnenie údajov určuje, v ktorej krajine alebo regióne sa nachádza hlavná databáza. Dátová suverenita však siaha ďalej a zahŕňa právnu aj technickú kontrolu nad informáciami od ich vzniku až po konečné odstránenie. Európske datacentrum je dôležitým parametrom, ale samo o sebe neprezradí, odkiaľ pracuje technická podpora alebo kde vznikajú záložné kópie.

Časť informácií môže zvolený región opúšťať aj bez toho, aby išlo o obsah dokumentov či databáz. Diagnostické záznamy, používateľské identifikátory a prevádzkové metadáta môžu prezradiť citlivé informácie o interných systémoch. Pred podpisom zmluvy je preto potrebné zistiť, ako služba zaobchádza aj s týmito vedľajšími dátami a ktorí subdodávatelia sa na ich spracovaní podieľajú.

Právne požiadavky sa môžu odvíjať nielen od umiestnenia datacentra, ale aj od sídla poskytovateľa a zapojených subdodávateľov. Pri citlivých dátach je zároveň podstatné, či je možné vzdialený zásah pracovníka podpory vopred schváliť a následne dohľadať. Pokiaľ dodávateľ nedokáže popísať svoje administrátorské prístupy alebo celý reťazec subdodávateľov, firma len ťažko preukáže, že má riziko pod kontrolou.

Správa šifrovacích kľúčov

Jedným z dôležitých parametrov dátovej suverenity je správa šifrovacích kľúčov, pomocou ktorých sa zašifrované údaje uzamykajú a znovu sprístupňujú. Zjednodušene fungujú ako kľúč od trezoru: kto ich ovláda, môže dáta dešifrovať alebo prístup k nim zablokovať. Pokiaľ kľúče vytvára a uchováva výhradne cloudový poskytovateľ, firma sa spolieha na jeho procesy a oprávnenia. Niektoré služby preto umožňujú, aby si organizácia kľúče spravovala sama a mohla ich v prípade potreby zneplatniť. Ani toto riešenie však automaticky nezaručuje, že poskytovateľ nikdy nepracuje s dátami v dešifrovanej podobe, pretože počas samotného spracovania môžu byť informácie dočasne dešifrované vo vnútri cloudovej infraštruktúry. Rozhodujúca je preto celá architektúra služby, nielen miesto, kde sú kľúče uložené.

Klasifikácia dát a rozloženie rizika

O vhodnom prostredí rozhoduje dopad incidentu. Jednotná cloudová stratégia pre všetky firemné systémy býva administratívne pohodlná, no nemusí zodpovedať skutočnému riziku. Verejné marketingové materiály nevyžadujú rovnakú úroveň ochrany ako zdravotná dokumentácia, zdrojové kódy alebo konštrukčné podklady k novému výrobku. Najvyššia úroveň izolácie má zmysel pri údajoch, ktorých strata by spôsobila závažnú a ťažko napraviteľnú škodu.

Rizikom nie je iba únik informácií – závažné dôsledky môže mať aj ich neoprávnená zmena. Zmenený laboratórny výsledok, výrobný parameter alebo finančný záznam môže napáchať väčšiu škodu než samotné zverejnenie. Pri prevádzkových systémoch rozhoduje dostupnosť, pretože niekoľkohodinová odstávka môže stáť viac ako samotná infraštruktúra.

Dobre vykonaná klasifikácia dát zároveň pomáha rozdeliť rozpočet podľa skutočného rizika. Firma nemusí budovať najdrahšie prostredie pre každú aplikáciu, ale môže sústrediť investície na niekoľko kritických systémov. Menej citlivé služby potom ďalej využijú pružnosť verejného cloudu bez toho, aby sa do neho automaticky presúvali najcennejšie firemné aktíva.

Modely cloudových služieb a rozdelenie zodpovednosti

Rozdelenie bezpečnostných povinností nie je pri každom cloude rovnaké:

• Pri infraštruktúre ako služby, teda IaaS, poskytovateľ spravuje datacentrum, fyzické servery a virtualizačnú vrstvu. Zákazník zvyčajne zodpovedá za operačný systém, jeho aktualizácie, aplikácie a nastavenia sieťových pravidiel.
• Pri platforme ako služby, označovanej ako PaaS, preberá dodávateľ aj správu operačného prostredia.
• SaaS posúva hranicu ešte ďalej, pretože poskytovateľ prevádzkuje celú aplikáciu.

Rozdielne rozdelenie zodpovednosti sa najvýraznejšie prejaví pri vzniku a vyšetrovaní bezpečnostného incidentu. Na nechcené sprístupnenie úložiska stačí jediné chybné nastavenie zo strany zákazníka, hoci samotná platforma funguje podľa návrhu. Útočník môže robustnú ochranu datacentra obísť aj prostredníctvom kompromitovaného administrátorského účtu. Pri každej službe preto musí byť zrejmé, ktoré kontroly vykonáva dodávateľ a čo musí pravidelne overovať interný bezpečnostný tím.

Regulatórne požiadavky

GDPR

Regulácia mení technickú voľbu na strategické riziko pre vedenie firmy. Z pohľadu GDPR nie je rozhodujúce samotné umiestnenie osobných údajov na vlastnom serveri alebo vo verejnom cloude, ale úroveň ochrany zodpovedajúca riziku konkrétneho spracovania. Organizácia musí vybrať vhodného spracovateľa a nastaviť zodpovedajúce technické aj organizačné opatrenia. Pre prenosy mimo Európskeho hospodárskeho priestoru potrebuje aj platný právny základ a posúdenie skutočnej úrovne ochrany.

Výška maximálnej sankcie neznamená, že každý zle nastavený cloudový projekt automaticky skončí pokutou v desiatkach miliónov eur. Napriek tomu jasne ukazuje, že závislosť na externom dodávateľovi patrí medzi témy, o ktorých musí mať prehľad aj vrcholné vedenie. Pri výbere riešení je potrebné hodnotiť zmluvné podmienky, plán kontinuity a schopnosť prejsť k inému dodávateľovi.

DORA pre finančný sektor

Pre finančný sektor pridáva ďalšiu vrstvu požiadaviek nariadenie DORA, ktoré sa uplatňuje od 17. januára 2025. Zameriava sa na digitálnu prevádzkovú odolnosť a riziká spojené s externými poskytovateľmi informačných a komunikačných technológií. Banka, poisťovňa alebo iná regulovaná inštitúcia preto sleduje aj koncentráciu kľúčových procesov u jediného partnera a dopad jeho prípadného výpadku.

On-premise infraštruktúra

On-premise infraštruktúra beží vo firemných priestoroch alebo v zariadení, ktoré má organizácia priamo pod kontrolou. Bezpečnostný tím môže presne vymedziť sieťové segmenty, obmedziť vzdialený prístup a riadiť zmeny bez závislosti od možností verejnej služby. Tento model má najväčšiu hodnotu tam, kde podnik potrebuje prevádzkovú nezávislosť alebo musí citlivé dáta držať v izolovanom prostredí.

S vyššou mierou kontroly sa spája zodpovednosť za celý životný cyklus vlastnej infraštruktúry. Do rozpočtu nevstupuje len cena serverov a úložísk, ale aj ich pravidelná obnova, spotreba energie a servis. Významnou položkou sú odborníci, ktorí infraštruktúru priebežne aktualizujú, monitorujú jej stav a dokážu ju obnoviť po incidente.

Samotné umiestnenie servera vo vnútri firmy vyššiu bezpečnosť nezaručuje, pokiaľ organizácia zanedbáva správu a kontrolu prístupov. Zastarané systémy alebo príliš široké administrátorské oprávnenia môžu vytvoriť koncentrované riziko. On-premise dáva zmysel vtedy, keď firma dokáže zabezpečiť odbornú správu a má dostatočnú kapacitu pre poruchy aj krátkodobé špičky.

Zálohy a obnova prevádzky

Odolnosť vlastného prostredia proti ransomwaru výrazne zvyšujú nemenné alebo offline zálohy, ku ktorým sa napadnutý účet nedostane. Útočníci sa totiž často pokúšajú odstrániť produkčné dáta aj bežne pripojené záložné kópie. Takto oddelená záloha môže rozhodnúť o tom, či firma obnoví prevádzku z vlastných zdrojov alebo zostane závislá od požiadaviek útočníka.

Použiteľnú obnovu nemožno preukázať iba existenciou záložnej kópie, pretože problém sa často ukáže až pri jej skutočnom použití. Organizácia musí overovať, či sú dáta čitateľné a či z nich dokáže v požadovanom čase uviesť do prevádzky kritické systémy. Pravidelný test môže včas odhaliť poškodené zálohy, chýbajúce systémové závislosti alebo postup, ktorý je v praxi príliš pomalý.

Hybridný model

Kombinácia viacerých prostredí predstavuje pre mnoho firiem praktický spôsob, ako vyvážiť kontrolu nad citlivými dátami s pružnosťou cloudových služieb. Kritická databáza alebo systém správy identít môže zostať vo vlastnej infraštruktúre, zatiaľ čo verejný cloud obslúži zákaznícky web, analytické úlohy alebo dočasné navýšenie výkonu. Privátny cloud k tomu pridáva automatizáciu a pružnejšie prideľovanie prostriedkov vo vyhradenom prostredí.

Prínos hybridného modelu závisí od toho, či architektúra skutočne rešpektuje zamýšľaný tok informácií. Aplikácia prevádzkovaná v cloude môže pravidelne kopírovať internú databázu a pôvodný bezpečnostný zámer tým obísť. Návrh preto musí vopred určiť, ktoré dáta smú firemné prostredie opustiť, či sa majú pred prenosom obmedziť a ako bude každý prístup zaznamenaný.

S rozdelením systémov medzi viaceré prostredia rastú nároky na jednotnú správu a bezpečnostný dohľad. Tím potrebuje spoločný prehľad o prihláseniach a podozrivých udalostiach na oboch stranách. Bez neho môže časť útoku zostať viditeľná iba v cloude a ďalšia časť vo vnútri firemnej siete, takže súvislosti nikto včas nerozpozná.

Certifikácia a auditné správy

Bezpečnostné certifikácie a auditné správy pomáhajú pri preverovaní dodávateľa, ich názov však sám o sebe neprezrádza, čo bolo posúdené. Certifikát sa môže vzťahovať len na konkrétne datacentrum, pobočku alebo časť služby. Firma si preto potrebuje vyžiadať presný rozsah auditu a overiť, či pokrýva produkt aj región, ktoré plánuje používať.

Odlišný typ podkladu predstavuje správa SOC 2, ktorá vzniká na základe nezávislého posúdenia vybraných bezpečnostných a prevádzkových kontrol organizácie. Pri hodnotení je dôležité zistiť, či ide o správu typu I, ktorá hodnotí návrh kontrol k určitému dátumu, alebo typu II, sledujúcu ich fungovanie počas dlhšieho obdobia. V automobilovom priemysle môže byť relevantný aj TISAX – odborový mechanizmus pre hodnotenie a zdieľanie výsledkov auditov informačnej bezpečnosti medzi výrobcami, dodávateľmi a ďalšími partnermi. Jeho vypovedacia hodnota závisí od konkrétneho rozsahu posúdenia a prideleného štítka TISAX.

Každé marketingové tvrdenie o certifikácii potrebuje oporu v platnom dokumente a presne vymedzenom rozsahu. Použitie certifikovaného kryptografického modulu neznamená certifikáciu celého produktu a osvedčenie poskytovateľa nemusí pokrývať všetky ponúkané služby. Presné formulácie chránia zákazníka pred nesprávnym rozhodnutím a dodávateľa pred sľubom, ktorý by nedokázal doložiť.

Šesť otázok, ktoré by mali predchádzať rozhodnutiu

• Akú škodu spôsobí únik, zmena alebo dlhšia nedostupnosť dát?
• Kde sa nachádzajú hlavné údaje, zálohy a prevádzkové metadáta?
• Kto môže údaje technicky sprístupniť a kto spravuje šifrovacie kľúče?
• Ktorí subdodávatelia sa na službe podieľajú?
• Ako rýchlo je možné systém obnoviť alebo presunúť k inému dodávateľovi?
• Dokáže firma svoje rozhodnutie doložiť vedeniu, zákazníkovi alebo regulátorovi?

Ako sa rozhodnúť

Pokiaľ firma na niektorú z uvedených otázok nemá jasnú odpoveď, vzniká konkrétna úloha pre zmluvu, technickú architektúru alebo interné procesy. Verejný cloud tým ešte nemusí byť automaticky vylúčený, no nejasnosť je potrebné odstrániť pred migráciou. Dodatočná zmena šifrovania, exportného formátu alebo umiestnenia dát býva výrazne drahšia než správne navrhnutý projekt od začiatku.

Citlivé dáta potrebujú prostredie, ktoré zodpovedá dôsledkom prípadného incidentu. Verejný cloud môže ponúknuť vysokú úroveň zabezpečenia aj prevádzkovú pružnosť, podnik však musí poznať hranice svojej kontroly a presné rozdelenie zodpovednosti. On-premise a hybridný model majú najväčšiu hodnotu tam, kde prevádzková nezávislosť, právne požiadavky alebo cena úniku prevážia nad výhodou rýchleho nasadenia.

Voľba medzi verejným cloudom, on-premise infraštruktúrou a hybridným modelom nie je otázka technickej módy, ale priamy dôsledok toho, ako firma ocení dopad možného incidentu. Kľúčové premenné sú vždy rovnaké: kto drží šifrovacie kľúče, pod akú jurisdikciu dáta spadajú, ako ich zmluva pokrýva a čo sa stane pri výpadku alebo odchode od dodávateľa. Správne postavená architektúra nemusí byť ani najdrahšia, ani najzložitejšia – musí však zodpovedať skutočnému riziku, nie prevádzkovej pohodlnosti. Najdrahšie zmeny sú vždy tie, ktoré firma rieši až po migrácii.

Peter Vnuk

Technológie sú pre mňa prácou aj zábavou – najviac sa venujem smartfónom, notebookom, audiotechnike, umelej inteligencii a všetkému hi-tech. Rád recenzujem novinky, sledujem futuristické trendy a odhadujem ďalší vývoj technológií. Fascinuje ma sci-fi a vízie budúceho sveta, ktoré často inšpirujú reálny technologický pokrok. Profesionálne sa venujem aj videohrám a hernému priemyslu. Keď práve nepracujem, rád si odpočiniem pri dobrej hre, kvalitnom pive alebo tvorbe technologických memes na Facebooku.