A felhőalapú munkakörnyezeteknek a kollaboratív munkavégzés lehetősége az egyik legnagyobb előnye – egyben azonban kockázatot is jelent, így egy vállalatnak, amely a felhőbe költözteti irodai munkafolyamatait, fel kell készülnie a váratlan adatvesztéssel járó helyzetekre is. Ez nem csak az együttműködésből eredhet, több oka is lehet, ha adatainknak hűlt helyét találjuk.
Az olyan szolgáltatások rohamos terjedésével, mint az Office 365, kritikussá vált, hogy a modern vállalatok megértsék az adatvédelem jelentőségét a szoftver-mint-szolgáltatás (SaaS) környezetekben.
A vállalat IT-részlegének felelőssége az, hogy biztosítsa a megfelelő védelmet a saját rendszer, a saját felhasználók esetében, hogy összeegyeztessék elérhető eszközeiket a felhőszolgáltatásokkal, a szolgáltató feladata pedig, hogy a bizalmat kiérdemelje, és saját rendszereit is védje, illetve megfelelő opciókat garantáljon arra, hogy adatainkat vissza is nyerhetjük baj esetén.
Akármilyen nagy azonban a bizalom, egy felelősségteljes vállalatnak arra is gondolnia kell, hogy minden adatát, információját egy külső rendszerben is tárolja, biztonságos módon készítsen mentéseket adatbázisairól.
Az adatvesztésnek ugyanis számos olyan oka lehet, amelyeket az IT részleg nem tud megakadályozni…
Az emberi hiba
Az egyik olyan tényező, amit soha nem zárhatunk ki teljesen. Bármilyen profi is egy csapat, adódhatnak olyan esetek, amikor egy apró figyelmetlenség is komolyabb adatvesztéshez vezet. Persze néha az is elegendő, hogy ez egy-egy fontosabb fájlt érintsen mindössze: ha nem készült biztonsági mentés, ha nem tudjuk semmilyen módon visszanyerni, akkor a projekt szempontjából kritikus információknak is búcsút mondhatunk.
Akármilyen jól képzett stábbal dolgozunk is, a véletlen hibák lehetőségét nem hanyagolhatjuk el. Az Aberdeen egy kutatása szerint a SaaS szolgáltatásokat használó cégek nem kevesebb, mint 80 százaléka szenvedett már el valamilyen adatvesztést – az esetek 64 százalékában pedig egyértelműen az emberi hibát azonosították okként.
47% azon esetek aránya, amikor a végfelhasználók törölték a fájlokat, 17% százalékban egyszerű alkalmazotti hibák történtek. A hekkertámadások 13%-ban voltak felelősek, míg a migráció során 10% veszített adatokat. 7 százalékban rosszindulatú adattörlések történtek, például nemrégiben kirúgott alkalmazottak okoztak kárt a cégeknek, végül pedig az alkalmazáshibák szintén 7 százalékért felelnek.
Szerencsére az Office 365 esetében a kollaboratív munkával alkalmanként óhatatlanul együtt járó hasonló hibákat bizonyos mértékig automatikusan szűrik. A törölt fájlokat adott ideig megőrizhetjük, hogy baj esetén is visszaállíthassuk azokat, a support is segíthet – a gond az, hogy a Microsoft részéről nem tudnak minden véletlent megakadályozni. Ha érkezik egy kérés a felhasználó részéről, a rendszernek nincsen mérlegelési joga, nem vélheti úgy, hogy véletlen törlésről van szó vagy éppen egy volt leépített alkalmazott bosszújáról – a rendszer egyszerűen végrehajtja az utasítást.
Ezért tehát szükséges, hogy az adatainkat ne csak ebben az egy rendszerben tároljuk, még ha maga a rendszer redundáns is. Az adatok replikációja külső tárhelyre lehetővé teszi, hogy bármilyen emberi hiba esetén rövid úton helyrehozhassuk a bakit.
Kibertámadások
A filmipar mára misztifikálta a hekkereket, a fenyegetés, melyet jelentenek, nagyon is valós és évről évre nagyobb.
A Ponemon Intézet 2015 Cost of Cyber Crime című jelentésében olvashatjuk, hogy a kibertámadások körülbelül 15,4 millió dollár, átszámítva 4,4 milliárd forint kárt okoznak egy amerikai nagyvállalatnak. Egy cég egy átlagos héten átlagosan 160 kibertámadást regisztrált, ami a 2010-es adatnak a háromszorosa. Leggyakoribbak a vállalati rendszerbe juttatott trójaiak vagy férgek, illetve vírusok. A vizsgált cégek nem kevesebb, mint 97 százaléka esett az elmúlt évben malware támadás áldozatául.
Az európai adatok sem sokkal biztatóbbak, a briteknél például egy "átlagos" sikeres betörés ára 1,46 millió font, ami több mint az egy évvel korábbi, 600 ezres költségnek támadásonként. Átszámítva ez több mint 580 millió forintot jelent.
A Nemzeti Kibervédelmi Intézet (NKI) adatai szerint csak a bejelentett támadások száma ötezer volt Magyarországon, ezek között kiemelkedően sok volt az adatlopás, több mint száz bank esetében próbálták ügyfelek adatait ellopni, de APT-jellegű kifinomultabb támadásokból sem volt hiány.
Nem vitás, hogy egy felhőalapú céges rendszerben rengeteg olyan adatot tárolunk, amelyek eltulajdonítása nagyon komolykárokat okozhat a cégnek, és nem is csak pénzügyileg.
A hekkerek folyamatosan sebezhetőségek után kutatnak a céges adatbázisok védelmén, gyenge pontokat keresnek, amelyeken besurranhatnak, hogy adatainkat eltulajdonítsák. Ilyen gyenge pontokat pedig bármely rendszeren találhatunk.
A Microsoft Office 365 három lépcsős védelmi rendszere, melyről korábban már részletesen írtunk, a legtöbb esetben képes kiszűrni a támadásokat, jóval hatékonyabban, mint más irodai rendszerek, ennek ellenére természetesen 100% százalékos védelmet nem nyújt – ahogyan erre soha semmilyen rendszer nem lesz képes.
Adatvesztés és meghiúsult visszaállítás
Az Office-ban ugyan van lehetőség arra, hogy megőrizzük a törölt fájlokat, e-maileket vagy akár teljes postafiókokat, ezeket az adatokat csak adott ideig szerezhetjük vissza a rendszer adatbázisából (alapesetben 30 napig).
A tanulmányok azt mutatják, hogy a felhasználók túlontúl nagy bizalommal vannak a SaaS szolgáltatások iránt az adatmegőrzés terén, mégpedig jellemzően azért, mert nincsenek tisztában a szolgáltatások funkcióival és lehetőségeivel.
Az IDG felmérése szerint a felhőalapú szolgáltatásokat használók 68 százaléka szélsőségesen vagy nagyon bízik abban, hogy a szolgáltató képes visszaállítani adatait, ha esetleg azok (bármilyen ok miatt) elvesznének.
Az kutatás szerint a gond az, hogy a felhasználók tévhitben élnek azt illetően, hogy a szolgáltatók hogyan, milyen mértékig védik adataikat, olyan funkciók létezését feltételezik, amelyek nem részei előfizetéseiknek, és amikor megtörténik az adatvesztés, elvárják, hogy a visszaállíthatatlan adatokat is visszakapják.
A visszaállítás tehát csak akkor mehet zökkenőmentesen, ha biztonsági mentéseket készítünk a rendszeren kívül is: adatbázisainkat adott időközönként lementjük, hogy a fontos fájlokat megőrizzük. Ilyenkor meg kell határoznunk azt is, hogy mely adatállományok milyen prioritással bírnak, milyen időközönként mentsük őket és így tovább – de csakis így garantálhatjuk, hogy legalábbis a károk minimalizálására képesek leszünk.
Megfelelőség (compliance)
Az on-premise adattárolás esetében viszonylag egyszerű megoldani azt, hogy az IT irányelveknek, a szervezet előírásainak megfeleljen minden komponens – a SaaS szolgáltatások esetében azonban nem garantálható ilyen egyszerűen az, hogy az adatvédelem a szervezeti irányelvekkel a szolgáltatás teljes mértékben kompatibilis legyen.
A cégeknek ezért külön oda kell figyelni arra, hogy saját adattárolási gyakorlatuk megfeleljen a felhőalapú szolgáltatásnak, illetve, hogy legyen egy biztonsági opció arra az esetre, ha az eltérések miatt az adatbiztonság sérülne.
Hol kezdjük a biztonsági mentést?
A mentéseket lehetőleg egy olyan adatbázisban, olyan tárhelyen replikáljuk, amely mind a saját rendszerünktől, mind a felhőszolgáltatóétól független. Az első teendő az legyen, hogy meghatározzuk, melyek a legfontosabb adatok, amelyeket mindenképpen meg kell őriznünk, amelyek szó szerint létfontosságúak a vállalat számára. Határozzuk meg azt is, hogy milyen gyakorisággal akarunk biztonsági mentéseket készíteni – vannak állományok, amelyeket elegendő akár havonta egyszer replikálni, megint másokat akár napi szinten vagy akár óránként is érdemes lehet külső helyen biztonságba helyezni.
A nulladik lépés azonban az kell, hogy legyen, hogy a cég IT részlegén túl, a vezetőségben is teljes mértékben tudatosítjuk, hogy mennyire fontos adatainkat biztonságban tudni. A döntéshozóknak tudniuk kell azt, hogy ha nem gondoskodnak többszörösen létfontosságú adataik védelméről, akkor végül csak önmagukat hibáztathatják, ha elveszítik azokat.
