Bezpečnosť cloudových riešení ohrozujú používatelia

dreamstime_11209869.jpg Bez­peč­nosť do­ká­že pot­rá­piť kaž­dé­ho, ale po­kiaľ ide o bez­peč­nosť in­for­mač­ných sys­té­mov, sú na tom asi naj­hor­šie ma­lé fir­my. Ma­lý­mi fir­ma­mi mys­lí­me tie sku­toč­ne ma­lé - s pia­ti­mi, maximál­ne de­sia­ti­mi až dvad­sia­ti­mi za­mes­tnan­ca­mi a len nie­koľ­ký­mi po­čí­tač­mi. Roz­po­čet na IT je, sa­moz­rej­me, veľ­mi ob­me­dze­ný, pri­tom zlo­ži­tosť sys­té­mov neus­tá­le ras­tie a s tým ras­tú aj ná­ro­ky na ich za­bez­pe­če­nie. Pod­ľa ne­dáv­ne­ho glo­bál­ne­ho vý­sku­mu dve z troch ma­lých fi­riem vi­dia v IT kľúč k fun­go­va­niu svoj­ho pod­ni­ka­nia, no viac ako po­lo­vi­ca z nich ne­má prís­tup k IT exper­tom. A ce­lých 77 per­cent si veľ­mi dob­re uve­do­mu­je, že na­ru­še­nie bez­peč­nos­ti by moh­lo mať vý­znam­ný do­sah na ich pod­ni­ka­nie.

Je kaž­dý po­čí­tač za­ují­ma­vý?
Žiaľ, od­po­veď na tú­to otáz­ku je klad­ná. Ce­lý rad pou­ží­va­te­ľov si to neu­ve­do­mu­je, ale po­čí­ta­čo­vá kri­mi­na­li­ta je už úpl­ne pro­fe­sio­nál­ny biz­nis, kto­rý ge­ne­ru­je ob­rov­ské pe­nia­ze - pod­ľa niek­to­rých zdro­jov do­kon­ca viac ako ob­chod s dro­ga­mi. Pre útoč­ní­kov je za­ují­ma­vá kaž­dá in­for­má­cia, ale aj kaž­dý po­čí­tač. Ok­rem krá­de­ží dát, prie­my­sel­nej špio­ná­že ale­bo neop­ráv­ne­né­ho prís­tu­pu na ban­ko­vé úč­ty je naj­čas­tej­ším cie­ľom útoč­ní­kov vzdia­le­né ov­lád­nu­tie po­čí­ta­čov a ich zneu­ži­tie na ďal­šie ne­le­gál­ne ak­ti­vi­ty. Ve­ľa fi­riem sa tak ne­ve­dom­ky sta­ne spo­lu­pá­cha­te­ľom tých­to zlo­čin­cov, pre­to­že ich webo­vé strán­ky sú zneu­ži­té na ší­re­nie škod­li­vé­ho kó­du ale­bo ich po­čí­ta­če ší­ria spam do ce­lé­ho sve­ta. To, sa­moz­rej­me, zna­me­ná jed­nak vy­ššie nák­la­dy (pri­po­je­nie, spot­re­ba ener­gie…), ale aj ri­zi­ko le­gál­ne­ho pos­ti­hu a pre­dov­šet­kým hroz­bu poš­ko­de­nia dob­ré­ho me­na v očiach zá­kaz­ní­kov. Koľ­ko klien­tov prí­de zno­va na webo­vé strán­ky, kto­ré už raz bo­li in­fi­ko­va­né a úto­či­li na ich po­čí­tač? Koľ­ko klien­tov bu­de dô­ve­ro­vať fir­me, kto­rá či už ne­do­pat­re­ním, ale­bo v dôs­led­ku cie­le­né­ho úto­ku priš­la o cit­li­vé úda­je o svo­jich zá­kaz­ní­koch?

Fir­my ne­po­va­žu­jú so­ciál­ne in­ži­nier­stvo za hroz­bu
Mno­ho fi­riem si to­to ri­zi­ko veľ­mi dob­re uve­do­mu­je; opäť bu­de­me ci­to­vať vý­sled­ky pries­ku­mu, pod­ľa kto­rých si je až 79 % ma­lých a stred­ných pod­ni­kov ve­do­mých hroz­by po­čí­ta­čo­vých ví­ru­sov a 49 % si uve­do­mu­je ri­zi­ká na­pad­nu­tia z inter­ne­tu. Žiaľ, len 12 % z nich po­va­žu­je za ne­bez­peč­né aj tech­ni­ky so­ciál­ne­ho in­ži­nier­stva, kto­ré pri­tom v sú­čas­nos­ti pred­sta­vu­jú je­den z hlav­ných spô­so­bov úto­kov na po­čí­ta­čo­vé sys­té­my. Pou­ží­va­teľ sa stal naj­slab­ším člán­kom za­bez­pe­če­nia a tech­ni­ky so­ciál­ne­ho in­ži­nier­stva prá­ve ten­to fe­no­mén zneu­ží­va­jú. Ak si ne­pou­če­ný (ne­pou­či­teľ­ný?) pou­ží­va­teľ „ne­vyh­nut­ne pot­re­bu­je" po­zrieť vi­deo, „čo ro­bil otec so svo­jou dcé­rou", ale­bo sa ne­zao­bí­de bez ap­li­ká­cie, kto­rá „za­ru­če­ne zis­tí, kto sa po­ze­ral na váš pro­fil na Fa­ce­boo­ku", je si­tuácia pre útoč­ní­kov om­no­ho jed­no­duch­šia. A oni to aj pat­rič­ne zneu­ží­va­jú.

Zme­na prís­tu­pu k zod­po­ved­nos­ti za ško­dy
Pred dvo­ma rok­mi zis­til ame­ric­ký ro­din­ný pod­nik Pat­co Construc­tion, že im hac­ke­ri od­cu­dzi­li 300 000 ame­ric­kých do­lá­rov z on-li­ne ban­ko­vé­ho úč­tu. Ban­ka Ocean bo­la schop­ná zru­šiť ďal­ších 240 000 ame­ric­kých do­lá­rov v prí­ka­zoch na pre­vo­dy, ale pre­to­že hac­ke­ri pra­co­va­li s op­ráv­ne­ný­mi in­for­má­cia­mi o úč­te, ku kto­rým sa dos­ta­li vďa­ka po­čí­ta­čo­vé­mu ví­ru­su Zeus, za­me­ria­va­jú­ce­mu sa na krá­dež he­siel, ban­ka Ocean od­miet­la prep­la­tiť zvy­šok pe­ňa­zí. Spo­loč­nosť Pat­co ban­ku za­ža­lo­va­la, že ne­bo­la schop­ná rea­go­vať v mo­men­te, keď pe­nia­ze od­chá­dza­li den­ne z úč­tu v su­me 100 000 ame­ric­kých do­lá­rov. Pred­ne­dáv­nom však sud­ca roz­ho­dol v pros­pech ban­ky Ocean. Ak vás to­to ne­vys­tra­ši­lo, ma­lo by. Dod­nes ban­ky na­rá­ba­li s pod­vod­ný­mi pop­lat­ka­mi rov­na­ko ako s kre­dit­ný­mi kar­ta­mi. Ak niek­to vy­uži­je váš účet na to, aby pod­vod­ne na­kú­pil, dos­ta­ne­te náh­ra­du. Ak­tuál­ne roz­hod­nu­tie sú­du v USA však in­di­ku­je zme­ny v tom­to prís­tu­pe. Je to de­si­vá pred­sta­va naj­mä s oh­ľa­dom na fakt, že ma­lé a stred­né fir­my sú dnes pre­fe­ro­va­ným cie­ľom hac­ke­rov. Dá sa oča­ká­vať prí­chod čias, keď ban­ky a ob­chod­ní­ci ne­bu­dú môcť pok­ryť ob­rov­ské fi­nan­čné stra­ty, ku kto­rým do­chá­dza pri pod­vod­ne zís­ka­ných in­for­má­ciách o úč­te s cie­ľom prís­tu­pu k fi­nan­čným pros­tried­kom.

Sys­té­my v clou­de sú bez­peč­né, hroz­bou sú pou­ží­va­te­lia
So za­bez­pe­če­ním po­čí­ta­čo­vých sys­té­mov ma­lých pod­ni­kov sú­vi­sí eš­te je­den po­mer­ne no­vý fe­no­mén, tzv. cloud com­pu­ting. Pre­ná­jom slu­žieb ty­pu hos­ting e-mai­lo­vých server­ov, dá­to­vých úlo­žísk, webo­vých pre­zen­tá­cií a ce­lý rad ďal­ších sľu­bu­je niž­šie nák­la­dy, väč­šiu flexibi­li­tu a aj väč­šiu bez­peč­nosť. Rad ma­lých pod­ni­kov na tie­to ar­gu­men­ty rea­gu­je, a tak sa ten­to seg­ment roz­ví­ja ra­ke­to­vým tem­pom. A sku­toč­ne pre­dov­šet­kým flexibi­li­ta je jed­noz­nač­ne vy­ššia. Rie­še­nia za­lo­že­né na pre­náj­me vý­poč­to­vé­ho vý­ko­nu, dis­ko­vých a pre­no­so­vých ka­pa­cít umož­ňu­jú jed­no­du­cho zvy­šo­vať a zni­žo­vať ob­jem pos­ky­to­va­ných slu­žieb pod­ľa po­trieb fir­my a bez ná­ro­ku na dl­ho­do­bé in­ves­tí­cie. Ďal­šia ne­za­ned­ba­teľ­ná vý­ho­da je sprá­va sys­té­mov. Ako sme už spo­me­nu­li v úvo­de, naj­mä ma­lé fir­my si ne­mô­žu do­vo­liť vlas­tné­ho správ­cu IT. Pre­ná­jom slu­žieb v „clou­do­vom sys­té­me" ten­to prob­lém rie­ši veľ­mi ele­gan­tne. Jed­no­du­chá údr­žba a jed­no­du­ché vy­uží­va­nie sa tak uvá­dza­jú ako hlav­né dô­vo­dy na pre­chod na tech­no­ló­gie clou­du aj me­dzi res­pon­den­tmi náš­ho pries­ku­mu.

Zda­lo by sa te­da, že „clou­do­vé sys­té­my" rie­šia všet­ky pál­či­vé prob­lé­my ma­lých pod­ni­kov vrá­ta­ne bez­peč­nos­ti. Žiaľ, tá­to ob­lasť je eš­te stá­le jed­na z naj­väč­ších sla­bín. Ani nie tak pre clou­do­vé sys­té­my a ich ne­dos­ta­toč­né za­bez­pe­če­nie, tam exper­ti a správ­co­via vy­ko­ná­va­jú v úpl­nej väč­ši­ne prí­pa­dov veľ­mi dob­rú prá­cu. Je tu však opäť ten naj­slab­ší člá­nok, kto­rým je sám pou­ží­va­teľ. Čo je plat­ný ho­ci ten naj­lep­šie za­bez­pe­če­ný vir­tuál­ny po­čí­tač s nie­koľ­ko­ná­sob­ným zá­lo­ho­va­ním, keď na pra­cov­nej sta­ni­ci, z kto­rej naň pris­tu­pu­jem, bu­de ví­rus, key­log­ger ale­bo iný škod­li­vý prog­ram?

Clou­do­vé sys­té­my sú veľ­mi efek­tív­ne a ich po­pu­la­ri­ta prá­vom ras­tie. Je­den ko­le­ga zo Si­li­con Valley mi ne­dáv­no po­ve­dal: „Ne­viem si už dnes pred­sta­viť, že by som pre svoj star­tup ku­po­val server­y. Všet­ko si pre­naj­mem v clou­de." Na­priek to­mu - ale­bo prá­ve pre­to - tre­ba otáz­kam bez­peč­nos­ti ve­no­vať dos­ta­toč­nú po­zor­nosť. Vzde­lá­va­nie pou­ží­va­te­ľov a va­ro­va­nie pred ri­zi­ka­mi po­čí­ta­čo­vej kri­mi­na­li­ty je to­ho neod­de­li­teľ­nou sú­čas­ťou. Maj­te to, pro­sím, na pa­mä­ti, keď bu­de­te mig­ro­vať svo­je sys­té­my „do ob­la­kov" aj vy.

Karel Obluk.jpg
Ka­rel Ob­luk

Autor je pred­se­da po­rad­né­ho tech­nic­ké­ho vý­bo­ru AVG Tech­no­lo­gies

Zdroj: Infoware 8-9/2011



Ohodnoťte článok:
 
 
 

24 hodín

týždeň

mesiac

Najnovšie články

In­for­mač­ná bez­peč­nosť: Geog­ra­fic­ky dis­tri­buo­va­ná ochra­na dát
Ako minimalizovať výpadok IT služieb a stratu dát v dôsledku nepriaznivých udalostí. Zatiaľ čo v predošlej dekáde stačilo chrániť pred výpadkom niektoré aplikácie.  čítať »
 
Pla­te­ná rek­la­ma vs. op­ti­ma­li­zá­cia SEO – vý­ho­dy, ne­ga­tí­va, mož­nos­ti
Špecialisti na SEO tvrdia, že správnou optimalizáciou webu máte šancu získať oveľa viac ako platenou reklamou. Naproti tomu experti na platenú reklamu argumentujú dosahovaním rýchlych a merateľných výsledkov. čítať »
 
Ar­chi­tekt vs Pro­jek­to­vý ma­na­žér - spo­jen­ci, či ne­pria­te­lia?
Tieto roly existujú v každom väčšom projekte, ale napriek tomu ich spolupráca často neprebieha tak hladko ako by sa očakávalo. Je dôvod v samotných rolách, alebo leží úplne inde? čítať »
 
Ap­pli­ca­tion De­li­ve­ry – efek­tív­na ochra­na pro­ti hac­ke­rom a op­ti­ma­li­zá­cia vý­ko­nu slu­žieb
Sú vaše webové služby chránené proti hackerom? Programátori často urobia chyby, ktoré dokážu útočníci zneužiť.   čítať »
 
Cloud com­pu­ting: Oča­ká­va­nia a reali­ta, preh­ľad pos­ky­to­va­te­ľov (Ama­zon, Goog­le, IBM, Mic­ro­soft)
Cloud computing, technológia predstavujúca model zdieľania hardvérových zdrojov pomocou virtualizácie a automatizácie, v súčasnosti naberá rýchlosť pri globálnom rozširovaní sa do celého spektra sektorov poskytujúcich obrovské množstvo služieb. čítať »
 
Dá­ta nie sú len ved­ľaj­ším pro­duk­tom pre­vádz­ky IS
Na otázku, ako stručne hodnotíte informačný systém vašej organizácie, by sme dostali mnoho rôznych odpovedí. čítať »
 
BYOD pod­po­ru­je ino­vač­né ini­cia­tí­vy ta­len­to­va­ných za­mes­tnan­cov
Jeden z charakteristických atribútov trendu BYOD je možnosť vynútenia technologického pokroku v IT podpore biznisu „zdola", najčastejšie zo strany mladších používateľov. čítať »
 
Li­cen­čnú čis­to­tu je ťaž­ké us­trá­žiť
Pre licenčného manažéra je znalosť aktuálnych licenčných podmienok od dvoch až troch výrobcov softvéru na všetok využívaný softvér v spoločnosti nedosiahnuteľná méta. čítať »
 
 
 
  Zdieľaj cez Facebook Zdieľaj cez Google+ Zdieľaj cez Twitter Zdieľaj cez LinkedIn Správy z RSS Správy na smartfóne Správy cez newsletter