Przechowywanie danych w chmurze jest niezwykle wygodne. Z każdego miejsca świata możemy przejrzeć wszystkie zgromadzone pliki, edytować je w programach, czy podzielić się nimi ze znajomymi. Jednak czy dane w chmurze rzeczywiście są odpowiednio zabezpieczone oraz anonimowe?
Jak działa chmura?
Większość z nas nie ma pojęcia, czym właściwie jest chmura i jak działa. Jej istnienie zaczyna się właściwie od kolokacji, kiedy to otrzymujemy miejsce na dyskach w serwerowni. Z urządzenia takiego jak nasz laptop czy komputer PC przesyłamy pliki, które trafiają do serwerów Google, Microsoftu czy innych dostawców, gdzie fizycznie znajdują się nasze pliki i skąd są nam udostępniane. Jednym słowem nasza rola pozwala nam jedynie na korzystanie z plików. Jednak to dostawca zajmuję się nimi fizycznie, podobnie jak oprogramowaniem i tym, co nas interesuje najbardziej, czyli oprogramowaniem danych. Zapewne większości z was nie interesuje, gdzie fizycznie odnajdziemy te serwery, a tym samym nasze pliki. Doskonale rozumiem to postępowanie, ale sama fizyczna lokalizacja jest wbrew pozorom dość istotna. To, gdzie jest serwer, ma decydujący wpływ w kontekście przepisów prawa obowiązujących w tym państwie.
Kto zapewnia bezpieczeństwo?
Poszukiwanie serwerów i ustalanie, gdzie fizycznie znajdują się pliki, jest jednak wysoce skomplikowane. Zwłaszcza że pliki w chmurze w rzeczywistości są w postaci rozproszonej zapisane na wielu serwerach należących do dostawcy usługi. Dużo wygodniejszą praktyka jest zapoznanie się z certyfikatami, którymi chwalą się dostawcy, z których usług korzystamy. Dobrym zwyczajem jest, aby dany dostawca mógł się wykazać normą ISO 27018. Stanowi ona, że nasze dane nie zostaną wykorzystane w żadnej działalności marketingowej, czyli że dostawca nie będzie, przynajmniej oficjalnie, próbował zarobić na sprzedaży naszych danych. Dodatkowo ma on obowiązek poinformować nas, gdy dostępu do naszych danych zażąda ktoś z rządowej administracji. Kolejnym numerem, który sprawdźmy przed wyborem dostawcy, jest unijna dyrektywa 95/46/WE. Jasno określa ona poziom ochrony danych osobowych i zobowiązuje pracowników, którzy mają z naszymi danymi kontakt, do zachowania pełnej dyskrecji i poufności.
Winny? My sami
Zabieg ten, polegający na sprawdzeniu profesjonalizmu dostawców jest dość łatwy do przeprowadzenia i warto go zrobić. Jednak musimy mieć pełną świadomość, że największym zagrożeniem dla bezpieczeństwa naszych danych jesteśmy my sami. Przede wszystkim dane, które zostają zapisane w chmurze, mają charakter rozproszony. Oznacza to, że nawet jeśli zostaną wyniesione na zewnątrz, to sprawca nieposiadający klucza szyfrowania, nie będzie w stanie w żaden sposób ich odtworzyć i tym samym z nich skorzystać. Samo ryzyko przemieszczania się czy pomieszania danych w chmurze praktycznie nie istnieje, mimo że korzysta z niej bardzo wielu użytkowników. W chmurze nasze pliki są katalogowane wespół z innymi, podobnie jak my współdzielimy infrastrukturę z innymi użytkownikami. Niemniej szereg zabezpieczeń, przez które przechodzą dane, zanim ostatecznie trafią na serwer, czyni je w zasadzie anonimowymi dla pracowników usługodawców i niewidocznymi dla nieautoryzowanych użytkowników. Prawdziwym wyzwaniem dla bezpieczeństwa jest to, co jest największą zaletą chmury, a mianowicie możliwość skorzystania ze swoich plików za pośrednictwem każdego urządzenia, podłączonego do Internetu. Mówiąc otwarcie zastosowanie słabego hasła, pozostawianie komputera bez wylogowania czy udostępnianie dostępu wielu osobom, zdarza się najczęściej i to są prawdziwe przyczyny utraty danych, a nie zaniedbania ze strony dostawców. Jeśli jednak obawiamy się o bezpieczeństwo, to istnieje kilka bardzo prostych sposobów, aby nasze pliki uczynić bardziej bezpiecznymi. Przede wszystkim wybierajmy tylko tych dostawców, którzy udostępniają szyfrowane połączenia. Niech dodatkowo będzie tam możliwość szyfrowania danych przed przesłaniem ich na serwer. Na rynku istnieje wiele programów tego typu, nawet jeśli sam dostawca nie przewiduje takiej możliwości.
Rafał Madej (Informatyk)