Μια πλήρη εικόνα των υπηρεσιών cloud, τις προκλήσεις σε σχέση με την ασφάλεια, τα ζητήματα που πρέπει να λαμβάνουν υπόψη οι Oργανισμοί κατά τη σύμβαση με ένα πάροχο αυτών των υπηρεσιών, καθώς και το κανονιστικό πλαίσιο που διέπει τη χρήση τους, είχε την ευκαιρία να μας αναπτύξει ο κος Γεράσιμος Μοσχονάς, Group Information Security Officer της Alpha Bank, σε συνέντευξη που μας παραχώρησε.
Θα μπορούσατε να μας περιγράψετε το οικοσύστημα του Cloud σήμερα; Ποιες είναι οι νέες ευκαιρίες που δημιουργούνται από την ανάπτυξη των συγκεκριμένων υπηρεσιών;
Ο όρος «Cloud computing» χρησιμοποιείται για να περιγράψει on-demand υπηρεσίες (υποδομές, πλατφόρμες, εφαρμογές) που προσφέρονται μέσω δικτύων, συνήθως του Διαδικτύου, με κοινή χρήση πόρων (π.χ. υπολογιστική ισχύς, δίκτυα, αποθηκευτικά μέσα). Αποτελεί ένα είδος outsourcing, με σημαντικές όμως διαφοροποιήσεις κυρίως σε θέματα σχετικά με τα δεδομένα (π.χ. πού βρίσκονται αποθηκευμένα τα δεδομένα, ποιοι είναι οι πραγματικοί cloud providers κ.λπ.). Τα μοντέλα ανάπτυξης του cloud είναι τέσσερα: public (υποδομή διαθέσιμη σε όλους ή σε μια μεγάλη επιχειρηματική ομάδα), private (αποκλειστική χρήση της υποδομής από έναν Οργανισμό), community (η υποδομή μοιράζεται μεταξύ Οργανισμών που έχουν κοινές απαιτήσεις/ ανάγκες) και hybrid. Ενώ οι αντίστοιχες cloud υπηρεσίες κατηγοριοποιούνται ως software as a service (SaaS), platform as a service (PaaS) και infrastructure as a service (IaaS), αναλόγως του είδους των προσφερόμενων υπηρεσιών. Το cloud προσφέρει σημαντικά οφέλη (ευελιξία (on-demand service), επεκτασιμότητα (resource pooling), υψηλή απόδοση & διαθεσιμότητα, πρόσβαση μέσω δικτύου με διάφορα μέσα/συσκευές, μείωση κόστους). Από επιχειρηματικής άποψης, το cloud μπορεί να θεωρηθεί ως μία τεχνολογία που προσφέρει σε έναν Οργανισμό τη δυνατότητα να χρησιμοποιήσει άμεσα υπηρεσίες που γρήγορα μπορούν να επεκταθούν και που ο Οργανισμός πληρώνει μόνο γι’ αυτά που χρησιμοποιεί.
Προσφέρει όμως το cloud το επιθυμητό επίπεδο ασφαλείας που κάθε Οργανισμός απαιτεί στη σημερινή εποχή, μια εποχή με μεταβαλλόμενες και ολοένα αυξανόμενες απειλές και κινδύνους;
Το Cloud Computing δεν είναι απαραίτητα λιγότερο ή περισσότερο ασφαλές από το υφιστάμενο περιβάλλον ενός Οργανισμού. Όπως κάθε νέα τεχνολογία, εμπεριέχει νέες δυνατότητες αλλά και κινδύνους. Οι κίνδυνοι εξαρτώνται α) από το είδος των δεδομένων και των υπηρεσιών, β) από το ποιος διαχειρίζεται και με ποιο τρόπο τα δεδομένα και τις υπηρεσίες, γ) από τους μηχανισμούς ασφαλείας που έχουν υλοποιηθεί, δ) από το κανονιστικό πλαίσιο. Η μετάβαση σε cloud δύναται να αναβαθμίσει τις υπάρχουσες υποδομές & εφαρμογές και να καλύψει τις σύγχρονες απαιτήσεις ασφαλείας, με την προϋπόθεση ότι ο πάροχος πρέπει να εξασφαλίζει α) την εμπιστευτικότητα, ακεραιότητα και διαθεσιμότητα των πληροφοριών, σύμφωνα με τις καθορισμένες απαιτήσεις ασφαλείας, β) το επίπεδο υπηρεσιών (ποιότητα, διαθεσιμότητα) σύμφωνα με τις καθορισμένες επιχειρησιακές απαιτήσεις, γ) τη συμμόρφωση με το κανονιστικό πλαίσιο. Θέματα ασφαλείας που χρήζουν εξέτασης είτε προ της συμφωνίας με τον πάροχο cloud υπηρεσιών είτε κατά τη διάρκεια που παρέχονται οι cloud υπηρεσίες, αφορούν στους τομείς της σύμβασης, της λειτουργίας, της προστασίας των δεδομένων και της κανονιστικής συμμόρφωσης.
Μπορείτε να μας αναπτύξετε τις απαιτήσεις ασφαλείας που πρέπει να λαμβάνονται υπόψη κατά τη σύμβαση με ένα πάροχο υπηρεσιών cloud;
Στη σύμβαση με τον πάροχο cloud υπηρεσιών, ο Οργανισμός πρέπει να καλύψει σημαντικά θέματα, όπως είναι: α) η πλήρης περιγραφή της προσφερόμενης υπηρεσίας, με ιδιαίτερη έμφαση στο αποδεκτό επίπεδο υπηρεσιών (ποιότητα, διαθεσιμότητα) και στην υποχρέωση ενημέρωσης προς τον Οργανισμό για κάθε αλλαγή, β) η κάλυψη όλων των απαιτήσεων ασφαλείας που πρέπει να πληροί ο πάροχος, γ) η κατοχύρωση του δικαιώματος του ελέγχου (right to audit) και περιοδικής επαναξιολόγησης του παρόχου, δ) ο πρότερος καθορισμός των υπεργολάβων (μη εφικτό σε πολλές περιπτώσεις) ή να κατοχυρωθεί η απαίτηση για έγκριση από τον Οργανισμό για κάθε υπεργολάβο με τον οποίο δύναται να συνεργαστεί ο πάροχος, ε) ο καθορισμός και η αποδοχή των τοποθεσιών όπου θα βρίσκονται (αποθηκεύονται/ επεξεργάζονται) τα δεδομένα, καθώς και η έγγραφη προειδοποίηση για αλλαγή της τοποθεσίας, στ) η κάλυψη σε περίπτωση που ο πάροχος εξαγοραστεί από άλλον (συνέχιση των όρων συνεργασίας), ζ) οι προϋποθέσεις λήξης της συνεργασίας (παράδοση & καταστροφή των δεδομένων), η) η ενημέρωση για κάθε περιστατικό ή παραβίαση της ασφαλείας και η διαχείριση των περιστατικών αυτών, θ) η εμπιστευτικότητα των πληροφοριών.
Τι πρέπει επίσης να διασφαλίζουμε σε σχέση με τις ενδοεπιχειρησιακές λειτουργίες του κάθε Οργανισμού;
Καταρχήν, η μη διαθεσιμότητα του Internet – είτε σε επίπεδο χώρας είτε στο επίπεδο του Οργανισμού, επιφέρει τη διακοπή της παροχής των cloud υπηρεσιών, όσο και αν αυτό στην εποχή μας είναι πολύ δύσκολο να συμβεί, κυρίως στο επίπεδο μιας χώρας. Έπειτα, η λειτουργία της υπηρεσίας δύναται να επηρεαστεί, καθότι ένας άλλος πελάτης της ίδιας cloud υποδομής μπορεί να αντιμετωπίζει προβλήματα. Π.χ., στα πλαίσια διερεύνησης μίας παράνομης δραστηριότητας, η υπηρεσία μπορεί να πρέπει να διακοπεί για όλους τους πελάτες της υποδομής. Ένα άλλο θέμα έχει να κάνει με την αλληλεξάρτηση των συνεργατών σε μία cloud υποδομή (κύριος πάροχος – υπεργολάβοι). Αν στην αλυσίδα αυτή κάτι συμβεί, όλη η υποδομή δύναται να μην είναι λειτουργική ή να θέσει κρίσιμα ζητήματα ασφαλείας. Άλλος παράγοντας αφορά στις προϋποθέσεις για αλλαγή του παρόχου ή μεταφορά της υπηρεσίας στο χώρο του Οργανισμού. Τι θα συμβεί δηλαδή, αν ο πάροχος πτωχεύσει/ δυσλειτουργήσει για μεγάλο χρονικό διάστημα και δεν είναι δυνατή η μεταφορά των υπηρεσιών αλλού ή αν αυτό σημαίνει μεγάλο κόστος και χρόνο για τον Οργανισμό; Και βέβαια, ο Οργανισμός πρέπει να αξιολογεί περιοδικά ότι ο πάροχος δύναται να καλύψει τις επιχειρησιακές του απαιτήσεις για συνέχιση των εργασιών/ ανάκτηση από καταστροφή (BCP, DRP) και μάλιστα ότι αυτός είναι πιστοποιημένος για τη δυνατότητα αυτή (π.χ. ISO-22301).
Ποιες είναι οι βασικές απαιτήσεις σε σχέση με την προστασία των δεδομένων στο cloud για τον provider και την επιχείρηση;
Ο πάροχος πρέπει να περιγράψει όλα τα μέτρα που λαμβάνει (περιμετρική & εσωτερική αρχιτεκτονική ασφαλείας, μηχανισμοί και διαδικασίες ασφαλείας, διαχείριση προσβάσεων, αξιοπιστία προσωπικού) για την προστασία των υπηρεσιών και των δεδομένων του Οργανισμού, τα οποία και πρέπει να γίνουν αποδεκτά εκ των προτέρων (δύσκολο, αλλά αναγκαίο βήμα). Ο πάροχος οφείλει να λαμβάνει τα ίδια μέτρα προστασίας για όλα τα αντίγραφα των δεδομένων (π.χ. για τα backups, τα ίδια με αυτά των online δεδομένων, ενώ ιδιαίτερη προσοχή πρέπει να δίδεται στα κοινά μέσα για χρήση backup). Όλες οι προσβάσεις και οι ενέργειες πρέπει να καταγράφονται βάσει των κανονιστικών και επιχειρησιακών απαιτήσεων. Ο Οργανισμός πρέπει να εξασφαλίσει ότι η μεταφορά δεδομένων προς το cloud τυγχάνει της έγκρισης των επιχειρηματικών ιδιοκτητών. Τα δεδομένα πρέπει να έχουν διαβαθμιστεί και να προστατεύονται καταλλήλως είτε κατά τη μεταφορά τους προς το cloud είτε όταν αποθηκεύονται σε αυτό (π.χ. χρήση τεχνολογίας DLP, DRM, κρυπτογράφηση, αλλοίωση δεδομένων, όταν δεδομένα παραγωγής χρησιμοποιούνται για δοκιμές στο cloud). Όσον αφορά στην κρυπτογράφηση, σημαντικό το θέμα που τίθεται και αφορά στο ποιος διαχειρίζεται τα κλειδιά της κρυπτογράφησης ή αν επιτρέπεται η κρυπτογράφηση βάσει της τοπικής νομοθεσίας της χώρας που λειτουργεί ο πάροχος. Ένα άλλο θέμα είναι η χρήση κοινών πόρων της cloud υποδομής από πολλούς Οργανισμούς. Αυτό εμπεριέχει υψηλούς κινδύνους και για το λόγο αυτό πρέπει να λαμβάνονται ειδικά μέτρα, κυρίως δε για τα εικονικά (virtual) περιβάλλοντα. Το γεγονός της κοινής χρήσης δύναται να έχει σημαντικές επιπτώσεις και σε περιπτώσεις όπου μόνο ένας Οργανισμός δέχεται συντονισμένη επίθεση (π.χ. DDoS), αλλά όλοι τελικά μπορεί να επηρεαστούν από την επίθεση αυτή. Τέλος, η διατήρηση και η καταστροφή των πληροφοριών είναι ένα κρίσιμο θέμα που πρέπει να διευθετηθεί και βάσει του οποίου πρέπει να καλύπτονται τόσο οι επιχειρησιακές όσο και οι κανονιστικές απαιτήσεις του Οργανισμού.
Υπάρχει κάποιο ρυθμιστικό πλαίσιο για τη διαχείριση και προστασία των δεδομένων, στο οποίο πρέπει να βασιζόμαστε κατά την ανάπτυξη των υπηρεσιών cloud;
Πάντα το κανονιστικό πλαίσιο παίζει σημαντικό ρόλο στις αποφάσεις ενός Οργανισμού. Έτσι και με τη χρήση υπηρεσιών στο cloud, ο κάθε Οργανισμός πρέπει να αξιολογήσει κρίσιμα θέματα, τα οποία αν δεν εξετάσει ενδελεχώς, οι επιπτώσεις δύναται να είναι μεγάλες. Τα κανονιστικά θέματα αφορούν: α) την υφιστάμενη νομοθεσία για μετακίνηση/ επεξεργασία/ αποθήκευση δεδομένων εκτός της χώρας του Οργανισμού, είτε προς χώρες της Ευρωπαϊκής Ένωσης είτε σε άλλες τρίτες χώρες (Οδηγία 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, Ν.2472/1997 για την Ελλάδα, σχετικοί νόμοι στις χώρες του εξωτερικού όπου εδρεύουν οι θυγατρικές του Οργανισμού) β) την πιθανή άγνοια του Οργανισμού για την τοποθεσία των δεδομένων του (π.χ. λόγω αλλαγής κάποιου υπεργολάβου, mirroring δεδομένων σε άλλη χώρα κ.λπ.). Τι σημαίνει αν τα δεδομένα του βρίσκονται σε πάνω από μία χώρες; Τι νομικό καθεστώς ισχύει σε κάθε χώρα; Πρέπει εκ των προτέρων να υπάρχει συναίνεση από τον Οργανισμό για την κάθε τοποθεσία των δεδομένων του. γ) την έννοια του Υπεύθυνου Επεξεργασίας (Data Controller, ο Οργανισμός) και του Εκτελούντος την Επεξεργασία (Data Processor, ο πάροχος). Είναι δύσκολο για τον Οργανισμό (ως data controller) να ελέγχει διαρκώς και με αποτελεσματικό τρόπο ότι ο πάροχος (ως data processor) διαχειρίζεται τα δεδομένα με νόμιμο και ασφαλή τρόπο. Σε κάθε περίπτωση, ο Οργανισμός είναι υπεύθυνος για την επεξεργασία των δεδομένων, έστω και αν αυτή εκτελείται από τον πάροχο. Τι γίνεται όμως όταν ο πάροχος δεν το πράττει πλήρως αυτό, καθότι η νομοθεσία στη χώρα που λειτουργεί διαφέρει από αυτήν του Οργανισμού; δ) την παροχή στοιχείων (forensics) προκειμένου να διερευνηθεί μία υπόθεση (κατόπιν αιτήματος είτε του Οργανισμού είτε μίας Αρχής που εδρεύει στη χώρα του Οργανισμού). Ο πάροχος δύναται να μην είναι σε θέση να προσφέρει αυτή την υπηρεσία ή να αρνηθεί να το κάνει για να προστατεύσει τα δεδομένα των άλλων πελατών του ή γιατί δεν του το επιβάλλει η τοπική νομοθεσία. Ακόμα και οι απαιτήσεις για την περίοδο διατήρησης των δεδομένων είναι δυνατό να μεταβάλλονται ανά χώρα, όπως και η διαδικασία απόδοσης των στοιχείων αυτών (π.χ. χρόνος απόκρισης). ε) την κοινή υποδομή και κοινό αποθηκευτικό χώρο για όλους τους πελάτες του παρόχου. Σε περίπτωση π.χ. κατάσχεσης του εξοπλισμού του παρόχου λόγω αδικήματος του ιδίου ή ενός εκ των πελατών του, υφίσταται κίνδυνος τα δεδομένα των άλλων πελατών που δεν έχουν σχέση με το θέμα να αποκαλυφθούν σε τρίτους ή ακόμα αυτό να επιφέρει τη διακοπή της υπηρεσίας. Ποιο είναι λοιπόν το νομικό καθεστώς που ισχύει για τέτοια θέματα στις χώρες που λειτουργεί ο πάροχος; στ) την εξασφάλιση της πρόσβασης των πελατών του Οργανισμού σε στοιχεία που αυτοί δικαιούνται, όπως ποιος είχε πρόσβαση σε δεδομένα που τους αφορούν. ζ) το ζήτημα της πιστοποίησης. Εάν ο Οργανισμός είναι πιστοποιημένος ως προς κάποιο πρότυπο (π.χ. PCI-DSS, ISO-27001), θα πρέπει και ο πάροχος να είναι ομοίως πιστοποιημένος για την ίδια υπηρεσία. η) την υποχρέωση του παρόχου να ειδοποιεί άμεσα για κάθε περιστατικό ασφαλείας που συμβαίνει στην υποδομή και στις προσφερόμενες υπηρεσίες του, να ενημερώνει για κάθε έλεγχο ασφαλείας (σκοπός, ευρήματα, ενέργειες) που διενεργείται και για τις αξιολογήσεις που υφίσταται για λήψη πιστοποίησης.
Κλείνοντας, τι θα θέλατε να προτείνατε σε όσους Οργανισμούς επιλέξουν να αξιοποιήσουν cloud υπηρεσίες προκειμένου να διασφαλίσουν το μέγιστο δυνατό επίπεδο προστασίας;
Ένας Οργανισμός προτού προχωρήσει στη χρήση cloud υπηρεσιών, πρέπει να ακολουθήσει συγκεκριμένα βήματα:
Α. Να καταγράψει τα περουσιακά του στοιχεία (δεδομένα, εφαρμογές, υποδομές) και να προβεί σε αξιολόγηση αυτών, αναγνωρίζοντας τους σχετικούς κινδύνους. Δηλαδή, να ορίσει το πόσο εμπιστευτικά (classification) και πόσο σημαντικά είναι αυτά για τον Οργανισμό (criticality).
Β. Να καθορίσει τους αναγκαίους μηχανισμούς ασφαλείας για τα στοιχεία αυτά.
Γ. Να επιλέξει ένα συγκεκριμένο μοντέλο ανάπτυξης στο cloud (private, public, community, hybrid) και να καθορίσει αν και πώς τα δεδομένα του Οργανισμού θα μετακινούνται εντός και εκτός του cloud.
Δ. Να αξιολογήσει τόσο το μοντέλο cloud υπηρεσιών (SaaS, PaaS, IaaS) όσο και τον πάροχο των υπηρεσιών αυτών ως προς α) την πλήρωση των απαιτήσεων ασφαλείας καθώς και των αντίστοιχων κανονιστικών β) την αξιοπιστία γ) τις πιστοποιήσεις (π.χ. PCI-DSS, ISO-27001, ISO-27002).
Κλείνοντας, να σημειωθεί ότι ο κάθε Οργανισμός πρέπει να έχει κατά νου ότι οι cloud υπηρεσίες υπόκεινται στους ίδιους μηχανισμούς ελέγχου (αξιολογήσεις κινδύνων, μέτρα ασφαλείας, αξιολόγηση συμβάσεων συνεργασίας, συμμόρφωση με εσωτερικούς & εξωτερικούς μηχανισμούς) που εφαρμόζονται σε κάθε νέα υπηρεσία (υποδομή, εφαρμογή) την οποία ο Οργανισμός προμηθεύεται/ υλοποιεί με τον παραδοσιακό τρόπο. Η δε σχετική έγκριση για την ασφάλεια των πληροφοριών είναι αναγκαία προϋπόθεση, πριν την οποιαδήποτε χρήση cloud υπηρεσιών.
Συνέντευξη με τον κο Γεράσιμο Μοσχονά Group Information Security Officer Information Security Division ALPHA BANK
