SA NU MAI ARUNCAM PISICA IN CLOUD PENTRU ORICE CARENTA DE SECURITATE

Analiştii, statisticile şi utilizatorii o spun clar: cea mai mare barieră în creşterea ratei de adopţiea a serviciilor cloud este securitatea. Acesta este bau-bau-l universal, adică tot ce este rău şi malefic în online, şi care vine şi ne fură spiritele…

cat cloudRecentul scandal legat de practicile NSA a deschis cutia Pandorei. A fost o ocazie ideală pentru corurile de proteste generate de „armata salvării de cloud”, combinate cu setea de sânge şi de senzaţional din media şi implicarea psihic – emoţională a tuturor navigatorilor pe Internet, care şi-au văzut lezată intimitatea, chit că mai mult de jumătate dintre aceştia îşi exhibiţionează gândurile, visările, plăcerile şi coşmarurile prin social media, fără ca acest lucru să ne intereseze.

Dar nu despre aceasta vreau să vorbesc acum, ci despre faptul că orice încercare de analiză lucidă a problemei securităţii în cloud trebuie privită prin diferite Prisme (… )… Care sunt carenţele tehnologice specifice cloud-ului? Care sunt viciile de administrare? Ce lipseşte sau e destul de vag în legislaţie? Dacă defalcăm aceste trei componente vom vedea că sunt destul de puţine lucruri specifice cloud-ului, adică VALABILE DOAR PENTRU SERVICIILE CLOUD, care pot fi regăsite aici… Să le luăm pe rând:

Carenţele tehnologice – venind cu picioarele pe pământ, toate tehnologiile prezente în cloud sunt specifice unor reţele de comunicaţii publice şi private sau condiţiilor de acces la Internet. Nu e destul de ciudat că deşi o medie de 70-75% dintre companiile care nu au făcut încă pasul către cloud expun ca principal motiv problemele de securitate, în timp ce peste 80-85% dintre cei care au optat pentru cel puţin un serviciu pe platformă cloud afirmă că au făcut acest pas tocmai pentru condiţiile sporite de securitate, pe care nu şi le-ar fi putut permite în condiţiile unor investiţii capex normale… Scepticii ar putea argumenta că se compară mere cu pere, dar întrebaţi orice om tehnic, orice CIO sau administrator IT dacă există ameninţări tehnice reale, care nu pot apărea în reţelele normale? Orice tehnician va fi de acord că nu aici sunt problemele de securitate în cloud ci la administrarea externă sau la viciile procedurale… adică la lucruri care pot fi îmbunătăţite încă din faza de negociere a unui contract cu un furnizor de servicii cloud. Au fost sute de articole legate de scăpările de informaţii personale din reţelele sociale, specularea unor vulnerabilităţi de către hackeri sau entităţi ascunse care vânează datele utilizatorilor, dar foarte puţine dintre acestea au avut un substrat tehnologic real, adică s-au produs din cauza fiarelor (vorba lui Zoli)… Probleme reale sunt atunci când un datacenter este inoperabil mai mult de 15-20 de minute, din motive legate de căderea serverelor, dar acestea sunt mult mai rare decât catastrofele feroviare sau accidentele de avion… Principala problemă pe care orice furnizor de servicii cloud trebuie să şi-o rezolve este continuitatea şi evitarea fluxurilor de trafic în orele de vîrf, probleme care se rezolvă prin virtualizarea serverelor şi load-balancing, ceea ce poate să îşi facă cu forţe proprii orice organizaţie care dispune de un datacenter, fără să trebuiască să mai alerge după cloud privat…

Viciile de administrare – sunt legate de oameni, nu de fiare, de modul în care se aplică sau nu politicile existente de securitate, de pregătirea tehnică şi integritatea operatorilor, de specificaţiile incluse în contractele de service, Dar ce e nou aici? Ce e valabil pentru cloud şi pentru administrarea altor tipuri de servicii nu? Care e diferenţa între un contract pentru servicii cloud şi unul pentru utilităţi sau servicii de telefonie, de exemplu? Personal m-am ferit întotdeauna de negocierile contractuale verbale şi am cerut să văd în scris, ceea ce trebuie să recunosc, nu toţi operatorii telco sunt dispusi sa facă… De ce sunt mai importante datele confidenţiale din cloud, decât toate datele personale, inclusiv contractele de proprietate sau inchiriere a locuinţelor, care sunt cerute de către operatorii telco? Cine răspunde pentru integritatea datelor personale aflate în bazele lor de abonaţi? De ce primesc săptămânal telefoane de la agenţi de telemarketing, care mi se adresează pe numele de familie, adică e clar că pe mine mă sună? Pentru orice servicii contractul trebuie să fie sfânt: de la asigurările de casă, maşină sau sănătate, la utilităţile de apă, gaze, curent, telefonie, Internet şi TV. Cine citeşte cu tenţie aceste contracte înainte să semneze ca primarul sau cine are posibilitatea să renunţa la un furnizor pentru probleme de vicii contractuale? Cine plăteşte penalităţile pentru rugina care vine pe ţeavă, cablurile de telefonie furate din subsol sau frecventele întreruperi de curent de duminică seara? În cazul oricărui serviciu de cloud trebuie studiat cu atenţie contractul SLA. Şi nu trebuie să îl studiem noi, simpli beneficiari, ci omul nostru de IT sau dacă nu avem, un consultant de specialitate, care trebuie să ştie toate hachiţele care se ascund într-un astfel de contract.

Ce lipseşte în legislaţie – până la urmă cam asta ar fi singura problemă reală a serviciilor cloud, dar nici aici nu trebuie să generalizăm. Cam care ar fi vulnerabilităţile din această zonă? Unele sunt generale şi depind de statutul furnizorilor care nu pot întotdeauna să vină cu o dovadă certificată a calităţii servicilor lor, prin simplul fapt că standardele cu valabilitate internaţională sunt destul de puţine, fiind în general comune pentru furnizorii de servici de comunicaţii sau pentru hosteri. Problemele apar atunci când există zone neacoperite de standarde sau când funizorii locali se grăbesc să dea drumul la servicii înainte să îşi asigure toate competenţele necesare. Problemele de legislaţie privitoare la serviciile de acces, utilizare şi stocare a datelor depind în mare măsură de forurile politice şi legislative ale fiecărei ţări, alianţe, comunităţi sau confederaţii. Chiar şi în Statele Unite sunt zone în care anumite paragrafe au interpretări diferite în legislaţia diferitor state. Dacă apare o problemă reală se face un proces, după care se toarnă un film şi apoi se rezolvă printr-un amendament. Orice contract de SLA are paragrafe care se referă la drepturile de prorprietate asupra datelor, modul de utilizare a acestora sau ce se întâmplă după încetarea relaţiilor contractuale. Elementele de intimitate şi confidenţialitate sunt importante dar pentru asta există cele mai multe precedente, deoarece marea majoritate a acestor paragrafe sunt identice cu cele din contractele de licenţiere sau EULA.. .În fine, garanţiile şi condiţiile limitative şi punitive se supun jurisdicţiei care acoperă furnizorul de servicii, la fel ca la contractele de service pentru echipamentele hardware sau la măsurile punitive din orice contract de distribuţie tutelate de un for juridic din ţara de provenienţă a Contractorului sau Furnizorului…

Ce se impune în acest moment este o standardizare a contractelor SLA la nivelul tuturor furnizorilor importanţi de servicii cloud. Este exact ceea ce Uniunea Europeană şi-a propus prin programul New strategy to drive European business and government productivity via cloud computing”, demarat anul trecut în septembrie de Comisia Europeană în cadrul strategiei generale legată de Agenda Digitală. Cei interesaţi pot găsi amănunte în postarea mea „Către o unificare a standardelor Cloud în UE”, din 2 Iulie.

Comisia Europeană a plecat de la premisa că una dintre cele mai mari bariere în implementarea cloudului este lipsa de încredere. Când cineva nu înţelege clar care sunt termenii dintr-un contract va ezita să semneze şi va găsi tot felul de chichiţe. Ceea ce e firesc pentru un utilizator particular. Dacă tot ni se zice că plătim pentru ceea ce folosim, măcar să ştim pentru ce plătim… Lucrurile sunt total diferite în cazul unei organizaţii care decide migrarea parţială la infrastructura cloud. Aici decizia nu o ia utilizatorul final, ci e un proces colectiv la care trebuie să ia parte oamenii tehnici, directorii de dezvoltare, managerii, resursele umane şi juriştii, care au toată libertatea să testeze serviciile oferite din punct de vedere tehnic şi să disece condiţiile contractuale, astfel încât organizaţia beneficiară să fie blindată la toate capitolele…

 Cam atât pentru această postare. Va învit să vă exprimaţi părerile în mod democratic prin comentarii pe blog. Intr-o postare viitoare voi vorbi despre cele 10 puncte esenţiale pe care trebuie să le verifici înainte de semnarea unui contract SLA pentru servicii Cloud.

Photo source: illillill.tumblr.com

Advertisements

About Radu Crahmaliuc
Independent IT&C analyst, digital transformation & Cloud computing evangelist, start-ups developer, freelancer, storyteller, events moderator & keynote speaker

One Response to SA NU MAI ARUNCAM PISICA IN CLOUD PENTRU ORICE CARENTA DE SECURITATE

  1. Pingback: TOP 10 MOST READ cloud☁mania ARTICLES IN 2013 | cloud☁mania

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: