Egyre növekvő kockázattal néznek szembe azok, akik a napról-napra népszerűbb felhőszolgáltatásokra bízzák adataikat – elevenítette fel a cég hivatalos blogjában egy tavalyi szakmai találkozón tartott előadásában felsorolt aggodalmait David Schwartzberg, a Sophos biztonsági cég vezető mérnöke.

Schwartzberg abból indul ki, hogy nagyon sok munkavállalónak van szüksége arra, hogy adataihoz sok helyről hozzáférjen, és egy korábbi biztonsági kockázat, a munkavállalók által az irodai környezetben használt mobil tárolóeszközök problémájához hasonlítja az új jelenséget: míg korábban a „Bring Your Own Device” (BYOD) az eszközök tartalmának védelme miatt okozott gondokat, addig mára a cloudmegoldások terjedése miatt a felhőszolgáltatások megbízhatósága került előtérbe (Bring Your Own Software/Service – BYOS).

Példaként az igen népszerű Dropboxot hozza fel, mely önmagában megszünteti ugyan azokat a problémákat, amire például a pendrive-ok elvesztése miatt kellett felkészülni, ám új veszély jelent meg, ugyanis ebben az adattárolási modellben a felhasználók egy harmadik félnek, egy külső cégnek adják át adataikat, ezeknek a vállalkozásoknak kell megbízható és biztonságos adatkezelést biztosítaniuk. Ez azt is jelenti, hogy míg korábban a saját fizikai tároló esetében – bár sok gond volt vele – az adattulajdonosnak közvetlen felelőssége volt az adatbiztonság, ez a felhő esetében távolabb kerül tőle, és egy új szereplő jelenik meg.

A megoldás: titkosítani

A mérnök bizonyos abban, hogy a cloud nagy jövő előtt áll, ám épp ez jelenti számára az egyik fontos problémát, ugyanis a biztonsági szakember tapasztalatai szerint a kiberbűnözés mindig a népszerű technológiák felé fordul, a támadások nagy része ezeket éri.

Ez a távolra került kontroll több aggályos következménnyel jár: a felhőszolgáltató teljes hozzáféréssel rendelkezik az ügyfelek adataihoz, de a felhasználó a legtöbb esetben nem sokat tud arról, hogy a szolgáltató milyen infrastruktúrával, milyen biztonsági mechanizmusokkal rendelkezik a távoli tárhelyeken. Az is nagy gond, hogy egy ilyen adatparkban egyetlen biztonsági incidens (például egy adatvesztéssel járó behatolás) sokkal nagyobb károkat okozhat, mint egy egymagában álló számítógépen. Emellett, mivel a hálózati hozzáférés miatt ezek a tárolók a világ bármely részén lehetnek, konfliktus esetén jogi problémák is felmerülhetnek.

Schwartzberg szerint a felhős kockázatok mérséklésének fő eszköze a titkosítás: ezt a megoldást, konkrétan a TrueCryptet, a Dropbox is ajánlja, de csak a képzett felhasználóinak. A mérnök saját tapasztalatai alapján is megerősíti, hogy a titkosított adatkezelés nem egy átlagos munkavállalónak való, ennek helyes alkalmazásához haladó szintű informatikai képzettség kell, vagyis az átlagfelhasználó számára egy egyszerűen kezelhető titkosítási módszer a megoldás.