INFROMAČNÍ BEZPEČNOST A CLOUD COMPUTING Prof. Ing. Jan Čapek, CSc., Ústav systémového inženýrství a informatiky, Fakulta ekonomicko-správní Univerzita Pardubice 1 Liberecké informatické fórum a 11. listopadu 2011

Informační bezpečnost  Informační bezpečnost představuje komplexní přístup k ochraně informací jako celku.  Jedná se tedy o ochranu informací ve všech jejich formách a po celý jejich životní cyklus – tj.  během jejich vzniku,  zpracování,  ukládání,  přenosu a likvidace. 2

Informační bezpečnost  Management firem je s informační bezpečností spojen dvěma vazbami. 1. Marketingová vazba. 2. Vazba neoddělitelnosti informací od řízení i od firemních procesů samotných. 3

Informační bezpečnost  Podnikové informace jsou, jak známo, vlasním zdrojem, podobně jako pracovníci nebo peníze.  Nezajištěnost vlastních zdrojů ohrožuje produkci a tím vede k růstu rizik pro společnost samu a k lavinovitému šíření hrozeb do okolního komerčního prostředí. 4

Informační bezpečnost  Informační bezpečnost se v neposlední řadě řídí pravidly uznávanými odbornou veřejností, které nazýváme normy nebo standardy.  ISO/IEC 27000, principy a slovník;  ISO/IEC 27001, požadavky na ISMS (resp. BS :2004);  ISO/IEC 27002, návody pro zavádění;  ISO/IEC 27003, analýzy rizik (souvisí s ISO );  ISO/IEC 27004, metriky a měření;  ISO/IEC 27005, řízení rizik;  ISO/IEC 27006, kontinuita podnikání a obnova po havárii. 5

Analýza rizik  Analýza rizik (AR) je klíčovým krokem ve výstavbě informačního bezpečnostního systému  AR odpovídá na otázky:  Co nastane, když nebudou informace chráněny?  Jak může být bezpečnost informací porušena?  Jaká je pravděpodobnost, že to nastane? 6

Analýza rizik  Analýza rizik při informační bezpečnosti 7 Hrozby Bezpečnostní mechanismy Bezpečnostní funkce Hodnoty Rizika Aktiva (informace) Zranitelná místa indikují mají ohrožují plní se zvyšují chrání před těží z zvyšují

Cloud computing  Cloud computing je metoda přístupu k využití výpočetní techniky, která je založena na poskytování sdílených výpočetních prostředků a jejich využívání formou služby.  Existují nejrůznější modely služeb a možnosti jejich poskytování, ale všem typům cloud computingu je společná schopnost poskytovat prostředky na vyžádání, elasticky, samoobslužně a prostřednictvím přístupu z rozsáhlé sítě a také schopnost měřit spotřebované služby v rámci sdíleného fondu prostředků. 8

Cloud computing – cloud services  Služby cloudu můžeme dělit na:  Infrastrukturní služby poskytované v prostředí pro cloud computing, které zajišťují splnění požadavků ustanovených v dohodě o úrovni poskytovaných služeb (např. výkon, dostupnost, uchování dat, zabezpečení, kapacita)  Služby, které umožňují funkčnost prostředí pro cloud computing (např. speciální účtovací software, který zajišťuje, aby v cloudových výpočetních prostředích různé velikosti a s různou úrovní poskytovaných služeb bylo možné vyúčtovat poskytnuté služby)  9

Cloud computing – cloud services  Konzultační služby, které pomáhají organizacím při transformaci a přechodu na cloud computing  Aplikační služby poskytované v prostředí pro cloud computing, které nabízejí vývojářům aplikací standardizované aplikační funkce (např. rutiny pro ověřování, vyhledávání, zavádění politik 10

Cloud computing  Rimal at all ukazuje, že cloud lze chápat jako superslužbu, tj. poskytování „všeho“ jako službu.  Dále ukazuje, že koncept cloudu jako služby není nový, ale jde o evoluční vývoj různých dřívějších iniciativ, které v době svého vzniku, předběhly vývoj. 11

Cloud computing  Připomeňme zde že, pronájem strojového času je znám od vzniku počítačů, systémy klient – server jsou také dlouho známy, virtualizace byly možné již za dob mainframů, atd.  Rimal at all (2011) Rimal B.,P.,Jukan A., Kastros D. and Goeleven Y., Architectural Requirements for Cloud Computing Systems: An Enterprise Cloud Approach. Journal of Grid Computing Volume 9 No 1/ 2011 pp 3-26 ISSN (Print) (Online) 12

13

Bezpečnost informací v cloudu  Podle nedávného globálního průzkumu (uskutečněného v květnu 2011) mezi 1200 odpovědnými osobami z USA, Velké Británie, Německa, Indie, Kanady a Japonska (z firem s vice než 500 zaměstnaci) provedeného společností Trend Micro, byla odhalena nejistota a obavy kolem jejich cesty ke cloudu.  TrendMicro [cit ] 14

Bezpečnost informací v cloudu 15 Má Vaše organizace zkušenosti se selháním bezpečnosti dat v posledních 12 měsících?

16 Q: How much do you agree or disagree with the following statements about cloud vendors / cloud computing services? Sdílené ukládání dat je zranitelné bez šifrování Obava se zabezpečením je hlavní důvod, který brzdí přijetí cloud technologie Bude-li garantovaná Dohoda o úrovni poskytovaných služeb (SLA), povede to k využívání služeb Cloud computing Pokud bychom věděli více o tom, jak zajistit naše data v prostředí internetu, zvýšilo by to naše použití cloud služeb Snadné šifrování je důvodem zvážit použití vícecloud služeb / dodavatelů cloud

17 Kolem 10% podniků má cloud zavedený, kolem 20 % je v procesu implementace, kolem 20 % má pilotní instalaci, kolem30 % o cloudu uvažuje a zbývajících 10 % o cloudu neuvažuje.

18 Šifrování je klíčové opatření při odevzdání dat cloudu

Závěr  V prostředí cloudu neexistují klasické hranice mezi tím, co je uvnitř firmy, a tím, co je vně.  Mnoho služeb doposud fungujících v rámci instituce je přesunuto (outsourcováno) jiným subjektům a čím dál větší část obchodních procesů se tak odehrává v prostředí internetu. A to je, jak známo, z pohledu bezpečnosti mnohem složitější, než interní podniková síť. 19

Závěr  I když se do datových úložišť ukládají zašifrované informace, tak ty se před zpracováním musí odšifrovat, protože se v šifrované podobě nemohou dále zpracovávat, to může být jeden ze zdrojů úniku.  Dalším důvodem tohoto stavu je, že poskytovatel služby nemůže příjemci služby zabezpečit fyzickou kontrolu nad jeho daty, které si ukládá v cloudovém úložišti. 20

Závěr  Z hlediska informační bezpečnosti však není ještě vše vyřešeno. I když je již založena nezisková organizace Cloud Security Alliance (CSA), která se snaží do cloud computingu zavést všeobecně závazné normy, kterými by se museli poskytovatelé řídit, výsledky jsou zatím malé.  CSA je tvořena výrobci bezpečnostních řešení, nezávislými experty a poskytovateli cloudových služeb.  bezpecnost-v-cloudu-a-rizika/ 21

22