Máte soukromá nebo firemní data v cloudu? Prostudujte a pohlídejte si podmínky poskytovatele.

Virtualizace světa informačních technologií, aplikací, služeb, úložných kapacit je fenoménem dnešní doby. Využívání cloudových služeb včetně virtuálních úložišť přináší řadu rizik, s nimiž je nutné se nejdříve podrobně seznámit. Obchodní podmínky poskytovatelů cloudových řešení jsou totiž velmi různorodé. A to nejen v přístupu jednotlivých poskytovatelů, ale i v přístupu jednoho poskytovatele k zákazníkům z různých sfér – privátní, firemní apod.

Foto: Fotolia

Abychom lépe porozuměli cloudu jako takovému, musíme definovat význam tohoto pojmu. Cloud lze obecně charakterizovat jako poskytování služeb založených na využívání informačních a komunikačních technologiích (systémů, platforem, aplikací atd.), které jsou provozovány ve virtuálním prostoru a ke kterým uživatelé přistupují vzdáleně, typicky prostřednictvím internetové sítě.

Většinou jsou tyto služby dostupné z jakéhokoliv místa na světě, kde se lze k internetu připojit. Existují čtyři základní typy cloudů:

  1. Privátní
  2. Komunitní
  3. Veřejný
  4. Hybridní

U privátního cloudu je uživatel, ať už fyzická osoba nebo firma, zároveň vlastníkem a provozovatelem technických a systémových prostředků potřebných pro provoz cloudu. Je známo, kde jsou prostředky umístěny a je jasně definovaný vztah uživatelů k poskytovaným službám. Typické jsou dva druhy privátního cloudu. V prvním případě vlastní instituce veškeré technické a systémové prostředky, jejichž služby jsou sdíleny prostřednictvím virtualizačních nástrojů se všemi uživateli v dané instituci. A to za jasně definovaných podmínek, které určuje ta daná instituce.

V druhém případě jsou veškeré technologie umístěny v pronajatém prostoru, nicméně zákazník ví kde a tento prostor je oddělen od prostorů jiných zákazníků. To znamená, že uživatel má v rámci privátního cloudu maximální možnou kontrolu nad lokalitou, ve které se server nachází. Smlouva mezi poskytovatelem a uživatelem pak definuje „pouze“ servisní, technické a aplikační podmínky, což významně zvyšuje přímý dohled uživatele nad dostupností i bezpečností dat.

Komunitní cloud pak vzniká na základě dohody více subjektů. Podmínky, které si mezi sebou vyspecifikují před nasazením cloudu, pak musí technologické řešení respektovat. Na jejich dodržování dohlížejí zástupci jednotlivých subjektů nebo třetí strana, na které se všechny společnosti dohodnou.

Zatímco u privátního cloudu máte naprostou kontrolu nad prostředky zajišťující virtuální dostupnost veškerých dat na internetu, u veřejného cloudu většinou nemáte ani tušení, na kterých místech se vaše data nacházejí. To samozřejmě souvisí i s problémy, jež mohou vyplývat z odlišného legislativního prostředí v místě, kde jsou data uchovávána. Přestože jsou z pohledu českých zákonů vámi ukládaná data zcela legální, v jiných zemích tomu tak nemusí být.

U veřejných cloudů bývá často diskutovaná i otázka vlastnictví dat. Ta je u většiny poskytovatelů specifikována v licenčním ujednání mezi provozovatelem a uživatelem. Většinou se uživatel „proklikáním“ licenčních ujednání vzdá práv ke svým datům ve prospěch provozovatele. U privátních a komunitních (i u hybridních, kdy citlivá data uživatel má pod svou kontrolou v privátní části a ta ostatní ve veřejné) je situace jednoznačná.

Na trhu funguje mnoho poskytovatelů, kteří poskytují veřejné služby, a to někdy i zdarma. Háček však může být právě v již zmiňovaných podmínkách.

Hybridní cloud pak kombinuje privátní a veřejný cloud. Citlivé údaje ukládá do privátního cloudu, méně důležité pak do veřejného.

V současné době i díky medializaci několika velkých bezpečnostních kauz dochází ke zlepšování této situace. Poskytovatelé začínají více dbát na potřeby uživatelů a pomalu ustupují od svých přehnaných nároků. Z bezpečnostního hlediska jsou důležité mimo jiné tyto zásady:

  • Vědět kde jsou má data uložena.
  • Vědět pod jakou jurisdikcí jsou služby cloudu poskytovány.
  • Vědět co se stane s mými daty, až budu chtít přestat službu využívat (tzv. exit plán)


Ing. Aleš Špidla

Vystudoval technickou kybernetiku na Vysokém učení technickém v Brně. Ve státní správě pracuje od roku 2005, v roce 2011 koncipoval strategii kybernetické bezpečnosti České republiky a spolupracoval na věcném záměru zákona o kybernetické bezpečnosti. Je spoluzakladatelem Akademie forenzních věd, Viceprezidentem Českého institutu manažerů informační bezpečnosti, zastupuje Českou republiku v Cyber Security Coordination Group. Letošní rok se účastní LawTech Europe Congress 2014, prestižní mezinárodní konference spojující odborníky z oblasti práva a informačních technologií.

 

Hodnocení článku
0%
Pro hodnocení článku musíte být přihlášen/a

Diskuze k článku ()

Pro přidání komentáře musíte být přihlášen/a

Související články

Další články