Chmura kojarzy się z bezpieczeństwem gwarantowanym przez wielkiego dostawcę. To prawda tylko połowicznie. Microsoft, Google czy inny operator faktycznie utrzymuje serwerownie, prąd, sieć i fizyczną ochronę na poziomie, którego mała firma nigdy nie osiągnie. Za to, kto ma dostęp do Twoich danych, czy są kopiowane i czy nie wyciekają na zewnątrz, odpowiadasz już Ty. W sprawach, które prowadzimy, straty najczęściej nie biorą się z awarii chmury, tylko z błędnego założenia, że skoro dane są w chmurze, to są bezpieczne same z siebie.
Model współodpowiedzialności, czyli kto za co odpowiada
Najważniejsze pojęcie, od którego trzeba zacząć, to model współodpowiedzialności (shared responsibility). Dzieli on obowiązki między dostawcę a klienta i różni się w zależności od usługi.
- Dostawca odpowiada za chmurę. Fizyczne serwery, sieć, zasilanie, aktualizacje warstwy sprzętowej i podstawowej infrastruktury. Tego nie musisz pilnować.
- Ty odpowiadasz za to, co w chmurze. Konta i hasła, uprawnienia, konfigurację usług, klasyfikację danych oraz to, komu je udostępniasz.
Granica przesuwa się w zależności od modelu. W usłudze typu Microsoft 365 dostawca bierze na siebie więcej, bo dostajesz gotową aplikację. W maszynie wirtualnej w chmurze Azure to Ty aktualizujesz system operacyjny i pilnujesz jego zabezpieczeń. Zasada jest stała: im większą swobodę konfiguracji dostajesz, tym więcej odpowiedzialności spoczywa na Tobie.
Najczęstszy błąd, jaki widzę na audytach, to przekonanie, że dostawca robi backup danych klienta. On zabezpiecza swoją infrastrukturę. Twoje pliki, które skasuje pracownik albo zaszyfruje ransomware, to już nie jego problem.
Szyfrowanie danych
Szyfrowanie to podstawowa warstwa ochrony i w poważnych chmurach jest domyślne, ale warto rozumieć, na czym polega.
- Dane w spoczynku (at rest). To, co leży na dyskach dostawcy, jest zaszyfrowane. Nawet fizyczna kradzież nośnika nie daje dostępu do treści.
- Dane w transporcie (in transit). Połączenie między Twoim komputerem a chmurą jest szyfrowane, zwykle przez TLS. Dzięki temu nikt nie podsłucha danych po drodze.
Dla firmy praktyczne pytanie brzmi: kto trzyma klucze szyfrujące. W większości przypadków zarządza nimi dostawca i to wystarczy. Jeśli przetwarzasz dane szczególnie wrażliwe, warto rozważyć zarządzanie własnymi kluczami, co daje pełniejszą kontrolę, ale wymaga procesu ich bezpiecznego przechowywania.
Kontrola dostępu
W chmurze nie ma muru firewalla wokół wszystkiego. Jest za to konto, które z dowolnego miejsca na świecie sięga po Twoją pocztę i pliki. Dlatego tożsamość jest nowym obwodem bezpieczeństwa, a kontrola dostępu to dziś najważniejsza rzecz do zrobienia.
- Uwierzytelnianie wieloskładnikowe (MFA). Absolutna podstawa dla każdego konta. Samo hasło dawno przestało wystarczać.
- Zasada najmniejszych uprawnień. Pracownik dostaje dostęp tylko do tego, czego potrzebuje w swojej roli, i nic ponad to.
- Porządek w kontach. Konta byłych pracowników muszą być natychmiast blokowane. Aktywne konto osoby, która odeszła pół roku temu, to gotowy punkt wejścia.
- Dostęp warunkowy. Możliwość zablokowania logowania z nietypowych krajów lub z niezarządzanych urządzeń.
Backup danych w chmurze
To punkt, który zaskakuje najwięcej firm. Chmura zapewnia dostępność, czyli że usługa działa, ale nie zastępuje kopii zapasowej Twoich danych. Jeśli pracownik skasuje foldery, a ktoś w ferworze opróżni kosz, po upływie okresu retencji dane znikają. To samo dotyczy złośliwego szyfrowania czy przejęcia konta.
Dostawcy tacy jak Microsoft działają w modelu współodpowiedzialności także tutaj: dbają o dostępność platformy, ale za odzyskiwalność Twoich treści odpowiadasz Ty. Dlatego rekomendujemy osobny backup Microsoft 365, niezależny od samej platformy. Dobra kopia powinna trzymać się reguły 3-2-1: trzy kopie danych, na dwóch różnych nośnikach, z jedną poza główną lokalizacją.
Lokalizacja danych
Ostatni element, o którym firma musi wiedzieć, to gdzie fizycznie leżą jej dane. Ma to znaczenie dla zgodności z RODO oraz dla wymagań branżowych.
- Region danych. Sprawdź, czy dostawca przechowuje dane w Unii Europejskiej. Poważni operatorzy pozwalają wybrać region i to udokumentować.
- Transfery poza UE. Jeśli dane trafiają do krajów spoza Europejskiego Obszaru Gospodarczego, potrzebne są odpowiednie podstawy prawne.
- Umowa powierzenia. Z każdym dostawcą chmury, który przetwarza dane osobowe, powinieneś mieć podpisaną umowę powierzenia przetwarzania.
Te trzy punkty to nie biurokracja dla samej biurokracji. To one decydują, czy w razie kontroli albo incydentu potrafisz udowodnić, że panujesz nad danymi.
Od czego zacząć
Jeśli Twoja firma korzysta już z chmury, a powyższe punkty brzmią znajomo tylko częściowo, sensowna kolejność jest taka:
- Włącz MFA na wszystkich kontach i uporządkuj uprawnienia.
- Sprawdź, kto ma dostęp do danych i usuń konta, które nie powinny już istnieć.
- Zapewnij niezależny backup danych z chmury, zgodny z regułą 3-2-1.
- Zweryfikuj, gdzie leżą dane i czy masz podpisane umowy powierzenia.
- Rozważ kontrolę wycieku danych, jeśli przetwarzasz informacje wrażliwe.
Chmura jest bezpieczna dokładnie w takim stopniu, w jakim sam ją skonfigurujesz. Jeśli chcesz mieć pewność, że Twoja część modelu współodpowiedzialności jest zaopiekowana, pomożemy poukładać całość: od dostępu i backupu po ochronę przed wyciekiem danych. Dobrym pierwszym krokiem jest rozmowa o tym, które dane są dla firmy krytyczne i co realnie je dziś chroni.