„Jei mano slaptažodžiai yra laikomi ne viename serveryje, o keliuose, tai juos pamatyti gali dar daugiau žmonių?“ – klausia verslininkas, kai jam pasiūloma pereiti prie „debesies“ technologijų ir paaiškinama, kad tai yra išteklių paskirstymas per kelias vietas, siekiant užtikrinti nepertraukiamą paslaugos veikimą.
Tai tikra tiesa, jei visus slaptažodžius sudėsite į tekstinį dokumentą, pavadinsite „mano-slaptazodziai.txt“ ir įkelsite į viešą segtuvą. Tada slaptažodžius matys visi, jais galės naudotis, kiek tik tinkami.
Gal pavyzdys ir nelabai tinkamas, tačiau klausimas yra visiškai logiškas. „Debesies“ technologijas kuriančios ir teikiančios įmonės dirba išties daug šioje srityje, tačiau nėra apsaugotos nuo nesėkmių. Štai visai neseniai buvo nulaužtos „Google“ vartotojų el. pašto paskyros Europoje. „Google“ tik sugebėjo atsiprašyti ir pažadėti, kad tai – paskutinis kartas.
Taip, tas pats nenulaužiamas „Google“, kuris turi geriausius serverius, geriausią apsaugą ir viską geriausią bei patikimiausią. Jei 100 proc. negalite pasitikėti „Google“, tai negalėsite pasitikėti jokiu kitu paslaugos teikėju.
Paprastai interneto paslaugos saugumą užtikrina trys dalykai:
- Paslaugos teikėjo reputacija, į kurią didieji „SaaS“ (angl. Software as a Service) tiekėjai investuoja milijonus – technologinės priemonės, buvusių programišių konsultacijos, teisininkų darbas, informacijos sklaida ir t.t. Tai – ištisas kompleksas veiksnių, į kuriuos investuojama suma yra proporcinga saugumo lygiui.
- Technologijos, užtikrinančios saugumą – „SSL“, duomenų šifravimo metodai, speciali trečiųjų šalių programinė įranga, užtikrinanti duomenų perdavimo saugumą ir t.t.
- Paslaugų teikimo sutartis (jos paprastai daugelis neskaito ir spaudžia „Sekantis“ bei „Sutinku“ mygtukus), kuri nusako sankcijas teikėjui už pažeistą duomenų saugumą, taip pat vartotojo teises ir prievoles, kurios įpareigoja laikytis tam tikrų saugumo procedūrų.
Paslaugų sutartis yra skaitoma tik tada, kai reikalingi realūs parašai, kai realūs įmonių atstovai spaudžia vienas kitam rankas po mėnesį ir daugiau trūkusių sutarties punktų derinimo ir aiškinimosi, kokios konkrečiai saugumo priemonės bus taikomos, kodėl jos yra geros ir t.t.
„Debesies“ paslaugos dažniausiai yra užsakomos savitarnos būdu ir šiame procese nedalyvauja realūs teisininkai. Savitarna reiškia, kad vartotojas užsisako paslaugą internetu pats, už ją susimoka iš anksto arba patvirtina savo mokėjimo duomenis ir sutinka su standartine paslaugų teikimo sutartimi. Kuo toliau, tuo labiau visos „debesies“ paslaugos pereina prie savitarnos, tad su saugumo priemonėmis vartotojas turi susipažinti pats ir tada nuspręsti, ar jos patenkina poreikius.
„Debesyje“ laikomų duomenų saugumas yra susijęs su jų legalumu. „Debesies“ principas yra toks, kad duomenys yra saugomi per kelis fizinius serverius skirtingose šalyse. Verslas turėtų pasidomėti, kokiose šalyse yra fiziškai laikomi duomenys, kad galėtų įvertinti, ar ten saugomi duomenys ir jų kopijos bus laikomi legaliai.
Kokie gi tie duomenys? Paprasčiausias pavyzdys – erotinio pobūdžio turinys. Visiškai nuoga moteris ir vyras meninėje fotografijojoje Amsterdame, Olandijoje bus laikoma legalia informacija, tačiau Stambule tokia nuotrauka bus nelegali, nes pažeidžia Turkijos įstatymus dėl pornografijos laikymo ir platinimo. Jei klientas nežinos šios informacijos ir neprisiims atsakomybės už savo turinį, paslaugos teikėjas, deja, bus bejėgis kažką padaryti ir turės ne tik pašalinti informaciją, bet ir atskleisti paslaugos užsakovo duomenis, jei bus pradėtas teisminis procesas.
Saugumas internete yra ne vien tik paslaugos teikėjo, bet ir kliento rūpestis. Jei klientas sukuria interneto produktą, laiko jį „debesyje“, bet nepasirūpina duomenų įvedimo saugumu įsigydamas paprasčiausią „SSL“ sertifikatą, kažin ar atsakomybę už duomenų vagystę turėtų prisiimti teikėjas.
Tas pat ir su slaptažodžių dokumentu, kuris yra įdedamas neaišku kur, ir nežinia kiek žmonių jį gali netrukdomi pamatyti ir pasinaudoti. Jei klientas nesirūpina specialiomis šifravimo priemonėmis tą dokumentą apsaugoti, taip pat informacijos prieinamumo nustatymais, nusakančiais, kas tą informaciją iš viso gali matyti, tai apie kokį saugumą galima kalbėti?
„Debesis“ – tai internetas, kuriame duomenys keliauja per kelis serverius. Vienas iš „debesies“ privalumų yra apsauga nuo informacijos netekimo, nes jei vienas serveris yra nulaužiamas, visa informacija lieka kituose serveriuose ir gali būti tinkamai apsaugota. „Debesies“ technologijos taip pat apsaugo nuo „DDoS“ atakų, kai interneto puslapis yra „užbombarduojamas“ užklausomis ir nulaužiamas, nes užklausos paskirstomos per kelis serverius („CDN“ paslauga).
„Debesies“ technologijos yra saugios, jei saugumu rūpinamasi pakankamai tiek iš paslaugos teikėjo, tiek iš kliento pusės. Paslaugos teikėjas rūpinasi bendra infrastruktūra ir jos saugumu, o klientas – savo paslaugos priežiūra ir duomenų pasiekiamumu įdiegdamas „SSL“ sertifikatus, stebėdamas veiksmų žurnalus (angl. log), nes dažnai informacija nutekinama dėl neatsargių paslaugos vartotojų kaltės, mokydamas paslaugos naudotojus pagrindinių saugumo internete principų ir t.t.
