Dezbatere despre securitatea şi confidenţialitatea datelor în cloud

Cloud-ul nu e un loc potrivit pentru a te ascunde de autorități, așa cum nici serverele propriei tale companii nu sunt, dacă legea cere să pui la dispoziția guvernului datele stocate. Dar, când vine vorba de securitatea și confidențialitatea datelor unei companii, acestea sunt mai la adăpost pe serverele unor furnizori de cloud decât pe cele ale companiei, a fost una dintre concluziile dezbaterii „Securitatea și Confidențialitatea datelor în Cloud”, organizată de The HACK meetings.

Recentele discuții din mass-media americană și europeană din jurul interceptării de către autoritățile americane ale unor date confidențiale de pe serverele și rețelele de comunicații ale marilor furnizori de cloud – Apple, Facebook, Google, Microsoft, Yahoo etc – s-au concentrat și în jurul întrebării dacă conturile unor clienți business sunt la adăpost, în aceste condiții.

La dezbatere au participat:

Gabriel Salavastru, Manager IT Business Products, Romtelecom;

Calin Rangu – director executiv CIO Council Romania;

Gheorghe Dobrea – IT Security Consultant, Intelprof;

Zoli Herczeg – technical evangelist, Microsoft Romania.

„Discuțiile din mass-media au deraiat destul de mult în zona speculațiilor fără fundament. Da, dacă o autoritate solicită legal accesul la datele unui client persoană fizică, Microsoft este obligată legal, repet, să le pună la dispoziție”, spune Zoli Herczeg, technical evangelist la Microsoft România. „În ceea ce privește clienții de business, cei plătitori, lucrurile stau cu totul altfel, fie că e vorba de o firmă mică de două persoane fie că e o multinațională. În decursul anului 2012 am primit doar patru astfel de solicitări pentru clienții de business, la nivel mondial. În aceste cazuri, informăm întotdeauna firma respectivă și îi cerem să își dea ea acordul prealabil pentru ca noi să punem la dispoziția autorităților datele lor.”

Reprezentantul Microsoft a adăugat că în toate cele patru cazuri clienții au fost de acord să permită autorităților solicitante accesul la datele lor. În absolut toate cazurile în care o autoritate guvernamentală din orice țară vrea să aibă acces la datele de cont ale unui utilizator, fie particular fie de business, trebuie să vină cel puțin cu o citație, iar dacă vrea să aibă acces și la conținutul datelor din cont, este Microsoft solicită, fără excepție, mandat sau ordin judecătoresc, a mai subliniat Herczeg.

Una dintre problemele ridicate chiar de către Neelie Kroes, comisarul european pentru Agenda Digitală, în urma „scandalului NSA” este legislația legată de serviciile de cloud și, mai ales, legată de unde sunt stocate datele în Cloud și cărei legislații se supun acestea. Temerea businessurilor din zona UE este că, pe o astfel de ușă deschisă chiar legal de autoritățile americane se pot strecura competitori, spioni industriali, terțe firme care unele chiar lucrează unele pentru guverne sau, pur și simplu, hackeri.

„În Uniunea Europeană, unde statele au propria legislație în doemniul informatic, se pune acum problema armonizări acesteia”, spune Gheorghe Dobrea, consultant și analist în domeniul securității la Intelprof, companie care oferă traininguri inclusiv de ethical hacking și cyber forensic investigation. „Dar, mai mult decât atât, se pune problema armonizării contractelor între persoane fizice sau juridice și furnizorii de cloud sau a subcontractorilor serviciilor de cloud, în așa fel încât securitatea, confidențialitatea și disponibilitatea datelor să fie cât mai bine acoperite în termenii de Service Level Agreement (SLA).”
Dobrea a precizat că studiile arată că, dacă în acest an nu se va ajunge la o legislație unitară în domeniul protecției datelor, costurile anuale ale integrării datelor se vor ridfica, la nivelul UE, la 130 de milioane de euro pe an.

„Acesta este însă cel mai mic risc. Riscul cel mare este că legislațiile anumitor țări pot fi călcâiul lui Ahile, portițe care pot fi folosite de anumite organizații în scopuri mai puțin ortodoxe.”

O legislație unitară ar preveni aceste riscuri dar, mai ales, ar asigura un nivel egal al serviciilor și al protecției datelor tuturor utilizatorilor „chiar dacă este vorba de o firmă mică, ce nu are putere de negociere cu un mare furnizor și, de cele mai multe ori, nici nu înțelege tot ce se stipulează în contractul respectiv”, completează specialistul în securitate.

Romtelecom, unul dintre cei mai mari furnizori de servicii de cloud de pe piața autohtonă, de la simplă găzduire de email sau site, la recent lansatele soluții de CRM și ERP online, sub formă de SaaS (Software as a Service), spune că, din acest punct de vedere, cu excepția unui serviciu care se bazează pe tehnologie Microsoft, toate celelalte servicii folosesc date stocate local.

„Toate datele clienților noștri, persoane fizice sau juridice, sunt găzduite pe teritoriul României, în cele două centre ale noastre de date din București și Brașov”, spune Gabriel Salavastru, Manager IT Business Products, Romtelecom. „Noi oferim un grad de protecție și disponibilitate a datelor prin SLA, de 99,99%. Din punctul de vedere al securității și confidențialității, evident că datele sunt mai sigure pe serverele unui furnizor de cloud de încredere decât în propria curte, oricât de bine păzite ar fi ele la sediul firmei.”

Toate serviciile de cloud sunt furnizate, evident, prin internet, deci tot pe acolo vin și amenințările. De aceea este important ca furnizorii de servicii de cloud să aibă în ofertă și servicii de securitate, eventual oferite tot ca SaaS, odată cu celelalte produse sau servicii, spune managerul Romtelecom.

Accesul la date confidențiale nu se face spărgând serverele furnizorului de cloud, veriga slabă din lanțul de securitate fiind tot utilizatorul;, accesul la datele confidențiale, când nu e vorba de o cale oficială, se face speculând lipsa de protecție a utilizatorului, nu a furnizorului.

„Până la finele acestui an se estimează că vor fi 2,7 miliarde de utilizatori care accesează permanent internetul la nivel mondial. 150.000 de calculatoare ale acestora sunt infestate zilnic cu malware. Romtelecom, împreună cu partenerii din cadrul grupului Deutsche Telekom oferă încă de acum trei ani software de securitate chiar sub formă de serviciu cloud”, adaugă Salavastru.

Călin Rangu, directorul executiv al CIO Council, Asociatia Directorilor de Tehnologia Informașiei și Comunicații din România, spune că, la nivel macro, legislația europeană, din punctul de vedere al stocării și prelucrării datelor, este deja armonizată.

„Chiar furnizori de cloud din afara UE, precum Google sau Microsoft sunt definiți ca zone de tip «harbour» pentru care chiar dacă datele sunt stocate în afara UE, există garanția că acestea se supun legislației europene. Probleme sunt însă, întradevăr, așa cum s-a menționat, la nivel micro. Legislația transfrontalieră este încă destul de neclară.”

Pe de altă parte, aplelul la căile legale necesită o procedură legală destul de complicată și lungă, atrage atenția Călin Rangu. „De cele mai multe ori, până mergi tu pe căile legale, infractorul cibernetic și-a șters deja urmele.”

„Având în vedere acestea, din punctul nostru de vedere, al CIO Council, nu încape îndoială că serviciile de cloud furnizate de o companie serioasă sunt întotdeauna mai sigure decât serviciile proprii, indiferent cât de mare și puternică este o bancă, de exemplu. Indiferent de mărimea ei, o companie nu are resursele financiare să-și asigure o protecție la nivel maxim. Când externalizei la o firmă mare, aceasta își va lua măsuri de securitate mult mai bune decât îți permiți sau ești dispus tu financiar să o faci”, subliniază Rangu.

Până la urmă, securitatea datelor stocate sau transmise prin serviciile de Cloud depinde în cea mai mare măsură de cât de instruit în domeniul securității este și clientul.

Din acest punct de vedere, furnizori mari precum Romtelecom asigură și servicii de audit de securitate pentru clienții business și au chiar și un ethical hacker angajat care să testeze, la cererea clienților, nivelul acestora de securitate.

„În plus, facem, la rândul nostru, consultanta pentru obtinerea certificarii ISO 27001 pentru clienți care vor să obțină diverse niveluri de certificare în domeniul securității”, spune Salavastru.

În ultimă instanță, chiar și când vine vorba de căi legale de interceptare a datelor confidențiale de către autoritățile guvernamentale, tot serviciile de cloud sunt de preferat serverelor proprii.

„Să ne imaginăm că nu vrei să folosești servicii de cloud de la Microsoft sau Romtelecom, sau Google sau care ar fi ele și preferi să ai serverele tale. Și să presupunem că vine Garda Financiară sau un alt organism în control. Ce preferi: Să meargă pe toate căile și procedurile legale să obțină acces de la Microsoft sau Romtelecom la servere sau să plece cu serverul tău sub braț, așa cum îi permite legea? Nu prea știi după aceea ce se poate întâmpla, din greșeală, bineînțeles, cu serverul tău”, conchide Dobrea.

The Hack meetings este o platformă de evenimente și dezbateri pe teme de tehnologie lansată de Mobile Publishing Group și jurnalistul IT&C Vali Bîrzoi.

Partenerii media ai evenimentului „Securiattea și confidențialitatea datelor în Cloud” au fost Business Cover, Economica.net, Playtech.ro și LTV.ro. Dezbatere organizata cu sprijinul partenerilor Romtelecom Business Solutions, Microsoft România, Intelprof și CIO Council.