Cloudové služby a bezpečnostní rizika

Cloudové služby asi pro většinu z vás nebudou cizím pojmem. Slouží například k ukládání a zálohování dat, lze je využít ale také při hraní her nebo streamování obsahu. Cloudové služby využívají nejen jedinci, ale také spousta firem, podnikatelů i institucí. Spolu s nespornými výhodami přinášejí cloudové služby ale také jisté potenciální bezpečnostní riziko.

Data v oblacích – a v rukou poskytovatele

V případě ukládání dat do cloudu dochází – velmi zjednodušeně řečeno – k jejich odevzdání do rukou poskytovatele příslušné internetové služby. Zkuste si třeba představit, že dáte své peníze do úschovy kamarádovi, a chcete je zde mít kdykoliv k dispozici. Takový kamarád musí být nejen spolehlivý, ale také náležitě opatrný, aby ho o vaše peníze nemohl nikdo okrást. Totéž platí v případě poskytování cloudových služeb, tedy ukládání obsahu na internet. Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) vydal koncem minulého roku strategickou analýzu se zhodnocením aspektů využívání cloudových služeb u nás.

Pandemie coby cesta ke cloud computingu

Není žádnou novinkou, že covidová pandemie výrazně změnila míru i způsob, jakým lidstvo využívá technologie a internet. Spolu s nuceným přechodem na home office, ke kterému došlo na mnoha místech před dvěma lety, začali jedinci i firmy také hojně využívat cloud computing, tedy službu, umožňující samoobslužný přístup k výpočetním zdrojům. V rámci cloudu se často pracovalo například s dokumenty, ale třeba také mediálním obsahem a dalšími typy dat včetně her. Díky tomu, že byla data uložena v takzvaném cloudu, nebyly kladeny žádné nároky na hardware nebo kapacitu pevného úložiště kterékoliv ze zúčastněných stran.

NÚKIB ve své zprávě dělí modely cloudových služeb do čtyř hlavních kategorií: veřejný, kdy dochází ke sdílení dat a nabídce služeb pro širokou veřejnost; privátní, kdy jsou příslušné služby nabízené v rámci privátní interní sítě; hybridní, kdy dochází ke kombinaci předchozích dvou zmíněných způsobů sdílení dat a poskytování služeb, a komunitní, kdy mezi sebou sdílí data pouze vybrané organizace.

Bezpečnost jako výzva

Nejen v kontextu s narůstajícím výskytem kybernetických útoků je bezpečnost v případě cloudových služeb nesmírně důležitá, a mimo jiné tvoří také klíčovou součást vizitky poskytovatele těchto služeb. Zabezpečení dat v cloudových službách je komplexní a komplikovanou záležitostí, která zahrnuje několikanásobné šifrování, využívání více na sobě nezávislých datacenter při zálohování, a další podobné kroky. Na první pohled by se mohlo zdát, že využívání cloudových služeb je vždy a za všech okolností jednoznačně výhodným krokem, který řadě firem a institucí ušetří náklady, spojené s pořizování hardwaru nebo zabezpečováním dat na firemní úrovni (které je samozřejmě v jisté míře nezbytné bez ohledu na to, zda daný subjekt využívá cloud computing). 

NÚKIB nicméně ve své zprávě poukazuje na to, že před využitím cloudových služeb je zapotřebí důkladná a vědomá rešerše jejich poskytovatele. „Využíváním cloudových služeb se uživatel automaticky vzdává části kontroly nad svými daty,“ píše NÚKIB v souvislosti s tím, že je potřeba vždy důkladně ověřit, v jaké lokalitě jsou data fyzicky uložena, a to s ohledem na právní řády jednotlivých států. Zohlednit je potřeba i to, že cloudová úložiště často spravují zahraniční společnosti. Všechny tyto faktory totiž sehrávají klíčovou roli v tom, jakým způsobem, kým, a na základě jakých právních úprav může být se zmíněnými daty nakládáno. 

Specifika využívání cloudových služeb v ČR

NÚKIB ve své  zprávě zmiňuje, že vzrůstající trend v oblasti využívání cloudových služeb můžeme sledovat také u nás, a to jak ze strany soukromých subjektů, tak i orgánů veřejné moci. U nás nicméně v současné chvíli nepodléhá využívání cloudových služeb žádné zvlášť rozsáhlé regulaci, a tím pádem ani speciálním kontrolním procesům, což vystavuje data i společnosti, která tato data ukládají do cloudu, četným rizikům. „Zejména riziko ztráty přístupu k datům či jejich zpracovávání mimo území EU je natolik významné, že by nemělo být opomíjeno,“ stojí v související zprávě. Další komplikací je fakt, že v mnoha případech poskytovatelé cloudových služeb prodávají své služby přes síť přeprodejců. 

Firmám a institucím, které zvažují využívání cloudových služeb, NÚKIB důrazně doporučuje zhodnocení v rámci internetové bezpečnosti hned několika otázek. Je potřeba zjistit, v jakých jurisdikcích budou data – ať už krátkodobě, nebo dlouhodobě – uložena. Tedy analyzovat a zhodnotit právní režim dané země včetně toho, zda se na data uplatňuje regulace ochrany osobních údajů. Dále je potřeba zodpovědět si na otázku, jak dlouho chce daná organizace cloudové úložiště využívat, v jaké míře a k jakým účelům. 

Řadu nejasností, spojených s využíváním cloudových služeb, by mohla vyřešit vyhláška o bezpečnostních pravidlech pro využívá služeb cloud computingu orgány veřejné moci, která by mohla vstoupit v platnost již v průběhu prvního kvartálu roku 2023.

Přečtěte si dále článek Protokol Bluetooth 5.0 - Co umí a jak využít jeho přednosti nebo se podívejte na ty úplně nejnovější články.

Aktualizace 15.4.2024​

​