Datu drošība ir pakalpojuma sniedzēja un lietotāja atbildība

Lai gan aizvien lielāka kļūst uzņēmēju interese par iespēju datus uzglabāt ne vairs uz savām informācijas tehnoloģiju (IT) iekārtām, bet gan pirkt ārpakalpojumā - izmantot tā saucamo mākoņpakalpojumu servisu, tomēr arī šeit ir virkne drošības nianšu, turklāt ne tikai saistībā ar pakalpojuma sniedzēja darbības principiem, bet arī pašam uzņēmējam ir svarīgi, kā tiek ievērotas elementāras drošības prasības

Katram pēc vajadzības

Datu centra uzticamība lielā mērā ir atkarīga no tā, kādas iekārtas izmantotas tā pamatā, tādēļ, apsverot mākoņpa-kalpojumu piegādātāja uzticamību, vērts pievērst uzmanību tā izmantotajām iekārtām un tehnoloģijām - tām ir jābūt mūsdienīgam, jo novecojušas iekārtas tiešā veidā ietekmē gan sistēmas veiktspēju, gan pieejamību, konferencē Biznesa datu drošība akcentēja datu centra DEAC vadītājs Andris Gailītis.

«Pat visuzticamākajiem ražotājiem ir dažādas līnijas, kas paredzētas dažādiem uzdevumiem un slodzēm - korporatīviem risinājumiem (enterprise class), vidējas slodzes un sarežģītības projektiem (midrange) un zema budžeta projektiem (low-end). Attiecīgi, jo augstāka klase tiek izmantota mākoņa pakalpojuma nodrošināšanā, jo augstāku veiktspēju un funkcionalitāti varat sagaidīt,» skaidroja DEAC vadītājs, piebilstot, ka, izmantojot mākoņpakalpojumus, kas tehniski realizēti uz mazbudžeta segmenta piedāvātajām iekārtām, piemēram, tādiem serveriem kā Supermicro, palielinās dīkstāves iespējamība, kas rodas, iekārtām pārstājot darboties. Tādējādi restartēsies vai arī pilnībā nepieejami būs uz iekārtām būvētie klientu izmantotie virtuālie serveri. Ne mazāk svarīgs rādītājs, kas jāņem vērā mākoņa izvēles procesā, ir disku apakšsistēmas veiktspēja - pamatā virtuālā jauda, ko pakalpojuma sniedzējs izdala konkrētajam klientam, balstās uz procesora skaitļošanas resursiem, kas tiek aprēķināti pēc gigaherciem (GHz), kā arī operatīvās atmiņas un diska vietas gigabaitos (GB). «Izvēloties nepieciešamo skaitļošanas resursu, jābūt uzmanīgiem, tā ka darba efektivitāti būtiskāk ietekmē nevis diska vietas apjoms, bet gan disku apakšsistēmas veiktspēja. Ja mākoņpakalpojumu sniedzējs savu virtuālo platformu uztur uz vidējas vai zemas klases disku apakšsistēmas, izdalot klientam virtuālo jaudu procesu darbībai, nav garantijas, ka tās veiktspēja būs atbilstoša sagaidāmajam, jo tā ir atkarīga arī no slodzes, ko attiecīgajā brīdī rada citi šī paša mākoņpakalpojuma lietotāji,» akcentēja A.Gailītis. Pamata līmenis, kas nosaka mākoņpakalpojumu pieejamību, ir vide, uz kuras izvietota virtuālā platforma. Pirmais moments, kas var sniegt izpratni par platformas pieejamību, ir pakalpojumu sniedzēja atsaucība platformas demonstrācijai potenciālajiem klientiem. Taču ar to nevajadzētu aprobēžoties, jo arī publiski pieejamā informācija par pakalpojumu sniedzēju - tā kvalitātes un vadības standarti, infrastruktūras atbilstība dažādiem starptautiskiem standartiem un vadošo programmnodrošinājuma ražotāju sertifikācija - liecina par to, ka piedāvātā platforma ir atbilstoša klienta vajadzību apmierināšanai.

Precīzi definēta darbība

Mākoņpakalpojumu sniedzējs nav spējīgs nodrošināt augstu pieejamību bez efektīvas procesu organizācijas, kas ietver kā incidentu pārvaldību, tā arī pakalpojumu pieprasījumu apstrādi un risināšanu. A. Gailītis akcentē, ka drošu mākoņpakalpojuma sniedzēju raksturo spēja uzņemties atbildību ne tikai par tām darbībām, kas tiešā veidā ietekmē klientu uzņēmumu un procesu darbību, bet arī par jebkurām izmaiņām, kas ir rūpīgi jāplāno, paredzot avārijas plānu negaidītiem pavērsieniem. «Datu centra uzturētājam ir jāuzņemas risks, kas rodas pārkāpjot pakalpojumu sniegšanas nosacījumus, kādi radušies viņa vai trešās puses ietekmes rezultātā. Lai nodrošinātu pilnvērtīgu biznesa klases mākoņpakalpojumu, tam jāatbilst virknei prasību, tostarp nepārtraukta jeb tā saucamā 24x7 pieejamība jebkuram klientam par jebkuru jautājumu bez izņēmumiem, dažādu jautājumu vai ziņojumu, pieteikumu pieņemšana un apstrāde dažādos kanālos: e-pasts, tālrunis, web formas. Tāpat svarīgi -jānodrošina stingra reakcijas laika kontrole uz ienākošajiem pieprasījumiem, maksimālais drošības jeb cita rakstura incidenta risināšanas laiks, regulāri tehniskie paziņojumi par uzturēšanas, modernizācijas darbiem, kā arī caurspīdīgs incidentu apziņošanas un risinājuma atspoguļojums klientiem,» norādīja DEAC vadītājs. Vienlaikus A.Gailītis gan uzsver, ka pretēji vispārējam pieņēmumam patiesībā mākoņos ir daudz mazāka varbūtība, ka klienta datiem piekļūs nepiederošas personas nejaušības pēc, veicot kiberuzbrukumu citas kompānijas datiem. «Datu centros katra klienta informācija ir nodalīta atsevišķi. Nav tā, ka visu klientu dati glabātos vienā diskā vai pat serverī. Protams, datu centri mēdz piedzīvot kiberuzbrukumus, taču brīdī, kad šādas darbības tiek fiksētas, ieslēdzas drošības sistēmas un tiek bloķētas jebkādas pieejas serveriem, lai saglabātu drošībā visu klientu datus,» viņš skaidroja, piebilstot, ka arī atsevišķu finanšu iestāžu dati tiek glabāti mākoņos, protams, atsevišķi nodalītās sistēmās, kas atbilst tieši finanšu jomai noteiktajiem drošības standartiem.

Atbildīgs arī lietotājs

Lai arī cik drošs būs mākoņpakalpojuma sniedzēja datu centrs, klienta dati būs drošībā tikai tad, ja pret tiem atbildīgi izturēsies arī paši uzņēmuma darbinieki un jo īpaši vadība, DB konferencē akcentēja IT drošības eksperti, atgādinot, ka pasaulē ar katru gadu pieaug dažādu drošības incidentu skaits tieši IT jomā un tiek prognozēts, ka šādu gadījumu skaits nākotnē aizvien pieaugs. «Jebkurš uzņēmums, kas uzglabā, apstrādā vai pārraida datus, ir pakļauts kabatzādzības vai fiziskam datu zādzības riskam,» norādīja risku vadības un apdrošināšanas uzņēmuma «Aon» Latvijas nodaļas vadītājs Aigars Milts. Drošības testu speciālists Ainārs Galvāns savukārt akcentēja, ka diemžēl mūsdienās uzņēmēju vidē IT drošība tiek īstenota tikai tik daudz, cik to nosaka attiecīgas prasības konkrētajā jomā. «Faktiski tā ir drošība drošības pēc, nevis tādēļ, ka uzņēmējs vēlas maksimāli pasargāt sevi no potenciālajiem uzbrukumiem un iespējamiem datu zaudēšanas riskiem. Drošības pasākumu kopleksu risinājumu piemērošana nav lēta, tomēr katram uzņēmējam ir iespēja izvēlēties vidusceļu, kas nepieciešams tieši viņa biznesam, lai nodrošinātos pret riskiem. Tomēr lielākie riski ir cilvēku paviršība, es teiktu - kiberanarhija, kad IT lietotāji ignorē jebkādus drošības nosacījumus - lieto elementāri atšifrējamas paroles, ignorē sistēmu paziņojumus par kādiem drošības riskiem,» norādīja A.Galvāns. Savukārt Valsts ieņēmumu dienesta (VID) Informātikas pārvaldes direktore Vita Narnicka atgādināja, ka bez paviršības nopietns uzņēmēja IT risks ir arī nelojāli darbinieki, kuri var nozagt vai citādi izmantot savu piekļuvi datiem un ar savu apzinātu rīcību tādējādi radīt zaudējumus uzņēmumam.

V.Narnicka aicināja izvērtēt visus iespējamos riskus, ko rada pavirša attieksme pret datu aizsardzību kibertelpā, kas neaprobežojas tikai ar pašu datu vērtību, bet krietni tālākām negatīvām sekām, tostarp gan datu atjaunošanas izmaksām, gan klientu uzticēšanās atgūšanas (vai neatgūšanas) risku, iespējamu tiesvedību izmaksām, kas radīsies, ja kāda trešā puse vērsīsies pret uzņēmumu kādu konfidenciālu datu noplūdes dēļ. Tāpat būtiskus zaudējumus rada biznesa piespiedu dīkstāve situācijās, kad zaudēti dati, kas nepieciešami uzņēmuma ikdienas funkcionēšanai, akcentē VID pārstāve. Lai gan uzņēmējiem šodien ir iespēja apdrošināties pret potenciālajiem kiberuzbrukumiem un ar to saistītajiem zaudējumiem, tomēr arī apdrošinātāji, pirms līguma noslēgšanas prasa plašu informāciju par to, kā uzņēmums un tā darbinieki paši ikdienā izturas pret drošības riskiem, turklāt te arī nav starpības, vai IT sistēmas uztur pats uzņēmējs vai izmanto mākoņpakalpojumus. Pēc A.Milta stāstītā, pirms apdrošināšanas parakstīšanas uzņēmējam tiek pieprasīts pārskats par informācijas drošību, pretielaušanās aizsardzības pasākumiem, monitoringa un notikumu uzskaites metodē, informācija par reaģēšanu uz drošības incidentiem un konkrētiem procesiem, kas tiek veikti kiberuzbrukuma konstatēšanas gadījumā, kā arī par darbinieku apmācību procesu, jo šie ir būtiski kritēriji, lai apdrošinātājs uzņemtos risku apdrošināt uzņēmuma IT sistēmu un tā datus. Savukārt Informācijas tehnoloģiju drošības incidentu novēršanas institūcijas CERT.LV vadītāja Baiba Kaškina akcentēja, ka īpaši Latvijai labi pie-lāgoti uzbrukumi, tostarp arī latviešu valodā - novēroti jau kopš 2013. gada, taču pozitīvais secinājums - sabiedrības kopējais izglītotības līmenis pieaug. Viņa arī piebilda, ka izplatītākie apdraudējuma veidi aizvien ir pikšķerēšana, vīrusi, datoru pievienošana botnetos jeb robotu tīklos, taču šajā ziņā upuru skaits krītas. Hakeru uzbrukumi visbiežāk notiek nevis «ielaužoties», bet inficējot datoru, izmantojot ievainojamību programmatūrā. Tieši tādēļ regulāra programmu atjaunināšana ir svarīgs drošības priekšnoteikums. Ja agrāk vīrusi spēja pārņemt datoru, lai ar vīrusu palīdzību izsūtītu mēstules, veiktu piekļuves lieguma uzbrukumus un zagtu informāciju, bet tagad vīrusi zog naudu tieši no lietotāju kontiem un spēj sašifrēt visu datorā esošo informāciju, tādējādi radot daudz lielākus zaudējumus,» akcentēja B.Kaškina, piebilstot, ka diemžēl droši var rēķināties, ka šādu uzbrukumu skaits no-teikti nemazināsies, tādēļ pati svarīgākā drošības prasība ir būt piesardzīgam ikvienam un atradināsiet no nevajadzīgas lētticības un ziņkārības, aizvien lielāku vērību pievēršot gan sistēmu drošībai, gan cilvēku zināšanu pilnveidošanai.