V dnešní době, kdy se spoléháme na nepřetržité fungování digitálních služeb, je důležité položit si několik otázek: Co se stane, když selžou základní pilíře naší online existence? Jak jsme připraveni na možné výpadky cloudových služeb?
Hledáním odpovědí na tyto a další otázky související více či méně úzce s kyberbezpečností se zabývá článek v Hospodářských novinách, v němž dostala prostor k vyjádření na toto téma i naše bezpečnostní ředitelka Michaela Stonová.
Kompletní znění přinášíme níže:
Cena za prevenci v IT službách se může zdát vysoká, ale je lepší být připraven než pozdě litovat. Co se stane, když… vypadne proud, nefunguje internet, nejede cloud, firemní systémy přestanou reagovat? Jsme na takové situace skutečně připraveni – ať už jako firmy, státní instituce nebo provozovatelé kritické infrastruktury?
Běžné výpadky jako třeba přerušení dodávky elektřiny, poškození optického kabelu, požár nebo technická porucha hardwaru bývají u velkých společností ošetřené. A to ať už jejich systémy pracují na vlastních serverech (on-premise), nebo v cloudu. Jenže co když přijde něco nečekaného, až zdánlivě nepředstavitelného? Může být zabezpečení strategických služeb a jejich nepřetržitého fungování problém, zejména pokud jsou provozovány v cloudu?
Cloud má plusy, ale i minusy
Řada strategických společností provozujících kritickou infrastrukturu, důležité služby, ale i složky veřejné správy využívají obvykle obě řešení. „Kombinujeme přístup s provozem v on-premise režimu i v cloudu. On-premise provozujeme klíčové komponenty systému. V cloudu jsou převážně méně podstatné či podpůrné aplikace,“ uvádí David Olszyński, vedoucí oddělení Architektura a bezpečnost AirBank. Také ČEZ provozuje business kritické aplikace a systémy kritické informační infrastruktury v on-premise prostředí na interním datacentru. Cloud využívá pro méně kritické aplikace, vývoj nových aplikací, časově omezené úlohy anebo proof-of-concepty. A obdobnou cestou hybridního IT prostředí jde i Státní zemědělský intervenční fond (SZIF).
Cloud přináší flexibilitu, efektivitu, spolehlivost, bezpečnost a často i nižší náklady než při vývoji, aplikaci a správě vlastních nástrojů. Kdo ho využívá, bere na sebe ale i rizika. Dochází ke ztrátě velké části kontroly nad vlastními daty, vzniká závislost na poskytovateli, jeho službách, výkonnosti a dostupnosti. Může znamenat i bezpečnostní riziko spojené s únikem dat či kyberútokem. Nezanedbatelná je také závislost na funkčním internetovém připojení a samotné službě. Namístě jsou v případě cloudu také obavy ohledně soukromí dat, protože různé země mají odlišné předpisy, regulace a zákony týkající se ochrany dat.
Platí, že čím globálnější poskytovatel, tím větší jsou právní i geopolitická rizika. I proto roste v Česku zájem o lokální datová centra. Například ta Českých Radiokomunikací, které u nás patří k největším poskytovatelům, využívá i řada státních podniků a organizací veřejné správy. Důvodem je často potřeba fyzické přítomnosti dat v Česku, vysoká úroveň zabezpečení a spolehlivosti. Výhodu těmto centrům dává i znalost lokálního trhu a potřeb českých organizací, legislativy a snížení rizika spojeného s mezinárodními jurisdikcemi.
Být připraven, nebýt zaskočen
Situace kolem nás je turbulentní a při současném politickém vývoji nelze vyloučit, že Evropu zasáhne ozbrojený konflikt, obchodní válka nebo masivní kyberútoky. To vše může ovlivnit dostupnost služeb, přístup k datům nebo výrazně zvýšit cenu. Ti, kteří jsou na toto připraveni, získávají výhodu.
„I naše společnost využívá kombinaci cloudových služeb a on-premise řešení. Všechno klíčové držíme v interním datacentru. V případě delšího výpadku cloudových služeb není ohrožen chod společnosti a jsme schopni i nadále poskytovat služby našim zákazníkům,“ zdůrazňuje Michaela Stonová, bezpečnostní ředitelka OKsystemu. Pro řadu firem a institucí je vybudování vlastního bezpečného datacentra včetně zálohování neúměrně drahé. Využívání cloudu je i přes uvedená rizika jejich jedinou možností. Koncový zákazník by se proto vždy měl svého poskytovatele ptát, kde jsou jeho data ukládána a zálohována, jak je zajištěna stálá dostupnost a zda existuje „záložní plán“.
Vždy je lepší být trochu paranoidní a mít připravenu zálohu internetu, lokální databáze i exit strategii pro případ krachu poskytovatele, neúměrného zvýšení ceny či naplnění jiného ze zmiňovaných rizik. „V oblasti cloudu se nespoléháme na jeden statický exit plán, ale na pravidelné vyhodnocování připravenosti opustit konkrétní prostředí – technicky, smluvně i procesně. Nechceme předstírat, že máme odpověď na každý scénář, ale máme jasně definovaný a testovaný způsob, jak reagovat, když se podmínky změní,“ vysvětluje Miroslav Štolpa, ředitel odboru provozu ICT SZIF.
Cloud veřejné správy má jasná pravidla
Pro stát a jím poskytované služby platí ještě přísnější rámec. Od roku 2023 smí veřejná správa používat pro strategické systémy pouze služby takzvaného státního cloudu, tedy eGovernment cloudu, který poskytuje Státní pokladna Centrum sdílených služeb (SPCSS). Správa eGovernment cloudu podléhá Digitální a informační agentuře (DIA), která provozuje i Katalog cloud computingu. V něm jsou pouze relativně přísně prověření poskytovatelé a služby splňující zákonné a bezpečnostní normy.
Služby v rámci SPCSS dnes jako jediné dosahují nejvyšší, čtvrté bezpečností úrovně. Úroveň tři splňuje pět dalších poskytovatelů, mezi nimi je například i Microsoft. Ten zprostředkovává infrastrukturu například pro SZIF či ministerstvo financí pro provoz informačního systému Monitor.
Další formou možné obrany proti nečekaným útokům je ostrovní režim, tedy provoz v uzavřených neveřejných sítích. Nabízí ho například České Radiokomunikace pro organizace s nejvyššími bezpečnostními požadavky. Technicky je také možné běžné systémy, které nejsou za standardních podmínek nijak omezeny, v době výjimečné situace dočasně přepnout do ostrovního režimu bez propojení do veřejného internetu.
„Praktickou otázkou však v současné době zůstává, zda takový režim má své uplatnění, jak nás například naučil probíhající konflikt na Ukrajině. Ukrajinská vláda právě díky přenesení státních systémů a dat mimo území státu a bezpečným provozem například v datových centrech Microsoftu je schopna poskytovat plnohodnotně služby svým občanům i v době destruktivních operací ruské armády,“ zdůrazňuje Dalibor Kačmář, ředitel pro technologie a bezpečnost Microsoftu.
Michaela Stonová z OKsystemu ovšem upozorňuje ještě na jedno nepřímé riziko: „Outsourcingem služeb efektivně šetříme náklady, ale zároveň si na těchto službách vytváříme závislost. Stáváme se jejich pouhými konzumenty; vytrácí se nám schopnost je nejen udržovat, ale především dále rozvíjet. To vše se nám může v budoucnu vymstít – ztráta know-how nakonec může být daleko nebezpečnější než výpadek systému.“
Celý článek si můžete přečíst i přímo na webu Hospodářských novin.