Miałem okazję rozmawiać niedawno z osobą żywo zainteresowaną skorzystaniem z naszego rozwiązania do obsługi kancelarii brokerskiej. Wszystko ładnie, pięknie, zakres możliwości systemu zachwycał, dopóki nie okazało się, że aplikacja jest udostępniana w modelu SaaS (ang. Software as a Service). Rozmówca stracił zainteresowanie i zakończył rozmowę słowami: „Panie Konradzie, ja tam nie ufam tym chmurom, dane są bezpieczniejsze w moim biurku”. To już pewnie zależy od tego, gdzie stoi biurko. Ale nie o wnętrzarstwie miało być, a o tym, dlaczego wciąż zewnętrzna lokalizacja danych budzi niepokój.
Wszędzie dobrze, ale w domu najlepiej?
Mimo że coraz więcej aplikacji i technologii działa na zasadzie usługi, wciąż można spotkać sceptyków takich rozwiązań. Nie chciałbym się tutaj pochylać nad konkretnymi definicjami „chmur”, ani tworzyć akademickich zestawień i porównań, bo nie w tym rzecz. Upraszczając, jeśli coś jest „w chmurze”, to po prostu nie jest „u mnie”. Zasadniczo brak zaufania w tej kwestii sprowadza się właśnie do tego, że dane będą „nie wiadomo gdzie” i przeświadczenia, że „u mnie na pewno będą bezpieczniejsze”.
Co takiego może stać się z naszym komputerem? Może np. zostać skradziony, spłonąć w pożarze lub ulec zalaniu, może być również wyrzucony przez okno itd.. A jak wiemy, ludzie dzielą się na tych, którzy robią backupy i którzy dopiero będą je robić. Dodajmy więc do powyższego, że nawet 30% osób nigdy nie wykonało żadnego backupu i otrzymamy prosty przepis na kłopoty.
Istnieje duże prawdopodobieństwo, że w firmach profesjonalnie zajmujących się przechowywaniem danych powyższe sytuacje nie będą miały miejsca. Nawet jeśli, to stosowne zabezpieczenia, np. regularnie wykonywane (!) backupy danych przechowywane w odizolowanych lokalizacjach sprawią, że kradzieże, zalania i pożary przestaną nas martwić.
Człowiek sam sobie hakerem
A co z atakami i wyciekami danych, o których w mediach jest zawsze bardzo głośno? Co mówią liczby? Mówią, że 89% wycieków danych w firmach to przypadki nieumyślne. 11% to kradzieże i phishing.[1] Znaczy, że najczęściej to my sami jesteśmy winni wycieku. Co ciekawe, wśród tych nieumyślnych, jednym z najczęściej pojawiających się przypadków jest wysłanie wiadomości zawierającej dane poufne na błędny adres mailowy. Proza życia. W przypadku phishingu też wysuwa się przed szereg nasza naiwność i nieuwaga, bo przecież kiedy dostajemy maila od „znanego miliardera” o treści: „Ja postanowić dać Ci moja firma, tylko ty dać mi hasło do skrzynka” – to na pewno jest to prawda.
Chcąc jeszcze bardziej uzmysłowić, jak łatwe jest stracenie danych, przytoczę najpopularniejsze hasła wykorzystywane na świecie w 2020 roku opublikowane przez firmę NordVPN. Oto pierwsza piątka:
- 123456
- 123456789
- picture1
- password
- 12345678[2]
„Qwerty” było dopiero w drugiej dziesiątce. Cóż za rozczarowanie.
Jak u Pana Datacenter za piecem
No dobrze, skoro najlepszym co możemy zrobić dla bezpieczeństwa przetwarzanych przez nas danych, jest samemu włączyć myślenie, to czemu mielibyśmy korzystać z „SaaSów” i tego typu wynalazków? Otóż mają one kilka podstawowych przewag nad aplikacją na komputerze pod biurkiem.
Naszymi danymi opiekują się profesjonaliści z wypracowanymi procedurami bezpieczeństwa nie tylko, aby zapobiegać utracie danych czy przerwie w działaniu, ale również minimalizować straty, jeśli już wypadek się zdarzy. Dysponują wysokiej klasy sprzętem, antywirusami i zabezpieczeniami, do których większość z nas nie ma nawet dostępu. Wykonywane są regularne, nawet codzienne backupy danych, i przechowywane są w odrębnych lokalizacjach. Można stosować tzw. mirroring systemów, czyli jednoczesne działanie tej samej aplikacji. Kiedy jedna ulega awarii, ruch jest przekierowany na drugą.
Korzystając z aplikacji, do której dostęp jest zdalny, dodatkowo zabezpieczamy się na wypadek zainfekowania czy zhakowania własnego komputera. Jeśli ktoś będzie miał do niego dostęp, nie oznacza to wtedy, że np. dane naszych klientów czy partnerów biznesowych będą od razu dostępne dla atakującego. Korzyści z rozwiązań zdalnych można by mnożyć, nie mniej jednak warto przy decyzji o wyborze sposobu korzystania z oprogramowania kierować się zdrowym rozsądkiem. Budując dom, naprawiając auto, zdecydowanie częściej decydujemy się powierzyć to profesjonalistom – niech każdy robi to, na czym zna się najlepiej.
Jak sobie pościelesz, tak się wyśpisz
Podsumowując, jeśli chodzi o bezpieczeństwo danych, to po pierwsze nie wybierajmy drogi na skróty, zachowujmy czujność i rozwagę, zachęcajmy do tego również naszych współpracowników.. Po drugie, sprawdzajmy dostawców systemów, których chcemy używać pod kątem tego, gdzie przechowują dane i w jaki sposób je chronią. Dla przykładu, w VSoft możemy się pochwalić współpracą z jednym z najlepszych, polskich data center, firmą Polcom. Dzięki temu mamy pewność, że dane użytkowników systemu VSoft Insurance Broker i ich klientów są bezpieczne i przetwarzane zgodnie z wymogami KNF.
Zachęcam więc wszystkich, którzy się wahają, żeby dokładnie przeanalizowali wszystkie dostępne opcje i za Pezetem: powtórzyli: „Przeprowadzam się na chmurę (…) i dobrze się z tym czuję dziś”. Chociaż, akurat w tym utworze mogło chodzić o coś nieco innego…
Konrad Jakubowski, Product Owner VIB
[1] Na podstawie raportu o bezpieczeństwie informacji przygotowanego przez Związek Firm Ochrony Danych Osobowych
[2] Na podstawie listy najpopularniejszych haseł wykorzystywanych w sieci opublikowanej przez firmę NordVPN