10 válasz az Office 365 legkomolyabb biztonsági kérdéseiről
A felmérések szerint a legtöbb vállalat azért hezitál a felhőbe költözni, mert aggódik adatai biztonsága miatt. A cikkben sorra veszünk tíz olyan kérdést, amely gyakran felmerül az Office 365 szolgáltatásokkal kapcsolatban, és részletesen megválaszoljuk ezeket.
Mindenekelőtt a fizikai biztonságról: korábbi cikkünkben részletesen átvettük, hogy milyen megoldásokat alkalmaz a Microsoft, hogy felhasználói adatait biztonságban tudja. Adatközpontjaiban folyamatosan olyan rendszereket építenek ki, amelyek akár még a természeti katasztrófáknak is képesek ellenállni, legalábbis az adattárolás szintjén: az adatokat egyszerre több szerveren tárolják, így fizikai hiba esetén sem vesznek el.
A rendelkezésre állással ugyanez a helyzet: a redundáns rendszerek biztosítják azt, hogy a szolgáltatások gyakorlatilag folyamatosan elérhetőek legyenek. Hogy ez miért fontos, arról szintén kimerítően írtunk már: egy nagyobb vállalatnak már néhány percnyi kiesés is nagyon komoly károkat okozhat a kieső bevételek, elforduló potenciális ügyfelek miatt.
A több szintű védelem tehát biztosítja, hogy nem kell attól félnünk, bármilyen baj éri az adatokat az adatközpontban.
De hogyan kezelik az adatainkat?
1. Az adatkezeléshez tartozik az is, hogy fizikailag ki férhet hozzá a szerverekhez és az azokon tárolt érzékeny információkhoz.
A Microsoftnál szigorúan korlátozzák a hozzáférést. Csakis az engedéllyel rendelkező szakemberek férhetnek hozzá a gépekhez, illetéktelenek nem juthatnak azok közelébe: sok adatközpontot ma már jobban őriznek, mint egyes pénzintézeteket (és nem véletlenül, mivel az ott tárolt adatok sokszor jóval értékesebbek).
A Microsoft adatközpontok biztonságát biometrikus azonosító rendszerekkel fokozzák, kamerákkal figyelik a be- és kilépőket és a központban zajló tevékenységet, ha pedig valaki illetéktelenül akarnak bejutni vagy hozzáférni bármilyen géphez, erről a biztonsági szolgálatot haladéktalanul értesítik a riasztórendszerek.
2. Mi a helyzet a titkosítással?
A virtuális térben sok rosszindulatú szervezet és magányos bűnöző vadászik adatainkra: támadások garmadája éri az érzékeny céges rendszereket, amelyeknek a célja, hogy megszerezzék a szervereken tárolt vagy a különféle csatornákon keresztül küldött adatokat.
Egy jó szolgáltató tisztában van azzal, hogy tökéletes védelem nem létezhet, már csak azért is, mert még ha saját rendszereiben vakon megbízik is, a másik oldalon, a felhasználónál bőven előfordulhatnak felfedetlen sebezhetőségek.
A megoldás ebben az esetben természetesen a titkosítás. A Microsoft annak érdekében, hogy sem az adatközpontokban vagy a helyi számítógépeken tárolt, sem pedig a különféle csatornákon elküldött adatokat ne szerezhessék meg, ezeket folyamatosan titkosítja.
3. Felhasználják az adatainkat reklámozáshoz?
Az olyan vállalatok, mint a Google vagy a Facebook mondhatni már hírhedtek arról, hogy a felhasználók adatait felhasználják, sőt, bizonyos feltételek mellett harmadik félnek is továbbadják, ezzel fokozva a marketing hatékonyságát. Hiszen ha tudják azt, hogy mit osztunk meg, kikkel beszélgetünk, milyen oldalakat kedvelünk és tartalmakat olvasunk, akkor személyre szabott ajánlatokkal bombázhatnak.
Ugyanakkor a céges felhőalapú szolgáltatások esetén egészen más a helyzet.
Ha egy vállalat azokat az információkat használná fel marketinges célból, amelyeket ügyfelei a szerverein tárolnak, az a belé vetett bizalom legkomolyabb semmibe vétele volna. Gyakorlatilag öngyilkosság is, hiszen azt jelezné a felhasználók felé, hogy a bizalmas adattárolást semmibe veszik.
A Microsoft magától értetődően nem bányássza az adatokat, amelyeket szerverein tárolunk, és nem adják azokat tovább.
4. Ugyanez az e-mail fiókokra is vonatkozik: a Microsoft csak arra használja fel az adatokat, hogy a szolgáltatást javítsák. Ez ugyan marketinges szövegnek tűnhet, itt is érvényes azonban az, hogy ha bármilyen marketing jellegű tevékenységre használná fel az adatokat a cég vagy kiadná azokat, az azonnali bizalomvesztéssel járna: gyakorlatilag a konkurenciát erősítenék, saját brandjüket rombolnák vele.
Bizonyos adatokat felhasználnak ahhoz, hogy könnyebbé tegyék számunkra a szolgáltatások használatát: az Office 365-ben létrehozott profilok esetében például a közösségi oldalakhoz hasonlóan láthatjuk a legutóbbi fájlokat vagy azokat a tevékenységeket, amelyekhez valószínűleg közünk van múltbéli cselekedeteink, beosztásunk, a velünk kapcsolatban lévők alapján.
Ez azonban a munka gyorsítását szolgálja, praktikus megoldásokat nyújt ahelyett, hogy kiszolgáltatná az érzékeny információakt.
5. Az adatokról az Office 365-ben természetesen rendszeresen biztonsági mentések készülnek, így nem kell attól félnünk, hogy hardveres vagy szoftveres hiba miatt elvesznek az állományaink. (Ez ma már bármilyen magára adó adatközponti és felhőszolgáltatónál alapkövetelmény.)
6. Ha lejár az előfizetés, elvesznek az adatok?
Könnyű elképzelni olyan helyzetet, hogy valamiért nem újítunk meg egy előfizetést. Bármely cégnél előfordulhat, hogy egyszerűen elfeledkezünk róla, hogy elkeverednek az információk, vagy egyszerűen csak egy időre szüneteltetni akarjuk a használatát.
Egy olyan irodai felhőszolgáltatásnál, mint az Office 365 az adatok törlése ebben az esetben óriási felelőtlenség lenne: hatalmas érték egy már felállított rendszer, így a Microsoft akkor is megőrzi az adatokat egészen addig, amíg azokat ki nem tudjuk menteni.
7. Hol tárolják földrajzilag az adatokat?
Több szempontból is fontos kérdés lehet, hogy fizikailag hol tárolják adatainkat, elsősorban mégis jogi nézőpontból jelentős ez. Sokat hallhattunk már arról, hogy egyes kormányok igyekeznek hozzáférni a nagy szolgáltatók adatközpontjaiban tárolt adatokhoz, azokban az esetekben azonban, amikor ezek nem a kérelmező országban található, ezek a kísérletek mindeddig nem jártak sikerrel.
Ha tehát egy tengeren túlis szervezet kérné ki az adatokat, amelyeket egy európai vállalat az Office 365 rendszerében tárol, akkor a szolgáltató nem volna köteles engedelmeskedni a felszólításnak – a Microsoft pedig mindig az adott régióban működő adatközpontjaiban tárolja érintett ügyfelei adatait.
8. Gyenge jelszavakkal nem is próbálkozhatunk.
A jelszavak jelentőségét nem kell sokat hangsúlyozni: az egyszerűbbek könnyebben feltörhetőek, hiszen kevesebb variációt kell kipróbálni hozzájuk. Az úgynevezett brute force támadások ellen persze a modern rendszerek ma már képesek úgy védekezni, hogy limitálják az egy forrásból induló próbálkozások számát, ha viszont olyasmit választunk, ami hozzánk köthető (ilyenek tipikusan a születésnapok, rokonok vagy háziállatok nevei), az egyébként is könnyen visszafejthető, ha valaki be akarna jutni a rendszerbe.
Az Office 365 azonban megköveteli, hogy bonyolultabb jelszavakat határozzunk meg, ezzel minimalizálva az esélyét annak, hogy ismeretlenek hozzáférhessenek a rendszerhez.
9. Az adatvédelem ki- és bekapcsolható. Elképzelhetőek olyan helyzetek, amikor az adatvédelem inkább akadályozza a munkát, mintsem segítené: ilyen esetekben a felhasználók szabadon kiiktathatják az egyes funkciókat, majd visszaállíthatják azokat.
10. Mindez pedig nem csak egyszerű ígéret a Microsoft részéről, a licencszerződésben mindez megtalálható, így jogilag is köti a vállalatot, hogy biztosítsa felhasználói számára a lehető legtökéletesebb adatvédelmet.
Az adatok biztonsága mindenki érdeke
Könnyen belátható, hogy a Microsoft-nak is érdeke az, hogy a tőlük telhető legnagyobb biztonságban tudják felhasználóik adatait. A sajtó hangos a biztonsági betörésektől, nagyvállalatoktól, kormányügynökségektől lopják el rendszeresen akár felhasználók millióinak adatait.
Egy ilyen adatvesztést katasztrofális hatással van egy vállalatra: nem csak egyszerűen a hírnevét tépázza meg, rövid úton akár oda is vezethet, hogy ügyfelei elhagyják, csődbe megy. Egy korrekt szolgáltató pedig nem működhet úgy, hogy erre ne volna tekintettel, hiszen akkor nem választanák az ügyfelek.