IT@BANK 2021: W chmurze bezpieczniej?
Robert Lidke: Rozmawiamy przed kolejnym dniem konferencji IT@BANK2021, podczas której będzie Pan miał prezentację pod tytułem „Ochrona z Chmury – czyli sposób na atak 100 milionów fałszywych użytkowników”. Ten tytuł pozwala domyślać się, że firmy działające w chmurze obliczeniowej są bardziej odporne na cyberataki i ciągłość ich pracy jest mniej zagrożona od firm, które korzystają z własnych, tradycyjnych serwerowni. Jeśli tak jest ‒ to dlaczego?
Tomasz Stachlewski: Świat się zmienia, z roku na rok mamy coraz więcej danych. Ale też pojawia się coraz więcej bardziej wyspecjalizowanych ataków na systemy informatyczne firm, na ich aplikacje, co powoduje ogromne straty.
Tymczasem w chmurze firmom łatwiej jest uodparniać się na tego typu ataki i ograniczać tego typu problemy. Przedsiębiorstwa bardzo często idą do chmury właśnie po to, aby bardziej uodpornić się na ataki. Ataki, które widzimy w obecnych czasach są znacznie groźniejsze i mają większy zasięg niż te z którymi mieliśmy do czynienia 10 lat temu.
Przypomnę bardzo słynny atak z 2012 roku, który „powalił” kilka największych banków amerykańskich, atak typu DDoS. Obecnie tego typu atak to byłaby tylko miniaturka w porównaniu z atakami jakie mają miejsce obecnie.
To co daje chmura, to możliwość wyskalowania się, to możliwość wykorzystania globalnej infrastruktury po to, aby się uodpornić na tego typu ataki, z którymi mamy do czynienia w obecnych czasach. To również możliwość wykorzystania wbudowanych mechanizmów ochronnych i doświadczenia od dostawcy, który z tego typu problemami i atakami zmierza się każdego dnia.
Ale czy ważne jest kto dostarcza chmury? Bo może to być chmura w kraju X, w kraju Y, a może być w Polsce.
‒ I tak, i nie. Czy warto zastanowić się, kto dostarcza chmurę? – jak najbardziej. Za każdym razem, gdy wybieramy dostawcę chmury czy jakiekolwiek innego rozwiązania, należy zweryfikować, czy spełnia on nasze potrzeby. I jednocześnie czy jest on odpowiednio wykorzystywany przez podobnych do nas klientów, z podobnej branży w innych rejonach świata.
Czy istotne jest gdzie jest zlokalizowany dostawca chmury? ‒ odpowiedź jest złożona. Jak najbardziej jest to istotne, bo często jeśli działamy w branży finansowej, to podlegamy pod pewne regulacje, które wymagają od nas, żeby np. dane były przechowywane w obszarze Unii Europejskiej, Europejskiego Obszaru Gospodarczego i wówczas musimy o tym pamiętać.
Najwięksi, główni dostawcy chmurowi na świecie, tacy jak AWS, mogą wydać na bezpieczeństwo znacznie więcej, niż te instytucje, które w chmurze nie działają, albo chcą wszystkim zająć się samodzielnie
Z drugiej strony czy jest to istotne, żeby chmura była na terenie Polski, czy ogólnie EOG, czy może w innym kraju? I tak, i nie. To podobnie jak z pieniędzmi. Czy pieniądze należy trzymać w skarpecie, w domu, bo jest najbezpieczniej? Czy może pieniądze należy przekazać do banku, który będzie odpowiednio chronił te pieniądze, ponieważ ma odpowiednio zaimplementowane mechanizmy ochrony?
I tutaj mamy dokładnie ten sam mechanizm ochronny. Najwięksi, główni dostawcy chmurowi na świecie, tacy jak AWS, mogą wydać na bezpieczeństwo znacznie więcej, niż te instytucje, które w chmurze nie działają, albo chcą wszystkim zająć się samodzielnie.
Upraszczając ‒ istotne jest, abyśmy wybierali dostawcę chmurowego na podstawie naszych wymagań i na podstawie wymagań regulatora. Ale jednocześnie należy patrzeć trochę szerzej na wybór dostawcy chmurowego, niż tylko na kwestię, gdzie ten dostawca jest zlokalizowany.
Wiadomo, że firmy, instytucje finansowe idą do chmury, jedne szybciej, drugie wolniej. Ale ci, którzy idą wolniej robią to świadomie, bo się boją utraty kontroli nad swoimi danym. Czy ma Pan jakieś rady dla tych najbardziej bojaźliwych firm?
‒ Ja w AWS pracuję od 6 lat. Gdy rozpoczynałem pracę, miałem spotkania z klientami i jednym z pierwszych pytań, wątpliwości, była właśnie kwestia bezpieczeństwa. Czy chmura jest bezpieczna? Czy powinienem iść do chmury? Jak zapewnię odpowiedni poziom bezpieczeństwa w chmurze? Po tych sześciu latach, spotykamy w roku 2021 i jest kwestia zupełnie inna. Firmy idą do chmury z różnych powodów, ale właśnie kwestie bezpieczeństwa są jednym z tych powodów, które najczęściej popychają do chmury.
Jak rozwiać wątpliwości? Zazwyczaj wątpliwości są skupione wokół bariery mentalnej. Że dane nie będą już na serwerze, do którego mam bezpośredni dostęp, że nie mogę go zobaczyć, że nie mogę go „przytulić”.
Większość banków online, które zostały stworzone w ciągu ostatniego dziesięciolecia działa w pełni w chmurze
Ale naprawdę one są zlokalizowane w dużo bardziej bezpiecznej infrastrukturze, gdzie jest więcej specjalistów, gdzie nakłady finansowe na bezpieczeństwo są zdecydowanie większe.
Jaki będzie najlepszy argument, żeby rozwiać te wątpliwości? Zobaczmy, kto już korzysta z chmury! Jakie systemy, jakie aplikacje również w branży finansowej są zlokalizowane w chmurze? I wcale nie musimy patrzeć daleko.
Za oceanem, w Ameryce, to firmy finansowe, największe banki, jak Capital One korzystają z chmury, często przenoszą tam też systemy krytyczne, systemy core-owe.
To również się dzieje w Europie. Większość banków online, które zostały stworzone w ciągu ostatniego dziesięciolecia, działa w pełni w chmurze, ponieważ chmura daje im nie tylko tę kwestię agility, zwinności, dostarczania funkcjonalności, ale właśnie odpowiednie mechanizmy zapewnienia bezpieczeństwa. Warto również popatrzeć co dzieje się w Czechach, gdzie jeden z największych banków – Moneta Bank – zdecydował się na migrację do chmury AWS.
Wątpliwości i strach często pojawiają na początku wędrówki chmurowej, ale bardzo szybko firmy zdają sobie sprawę, że akurat jeśli chodzi o bezpieczeństwo, to jest to ten argument, który nas do chmury najczęściej i najszybciej popycha, a nie odwrotnie.
Jeśli chodzi o kwestię cyberbezpieczeństwa w odniesieniu do zwykłego użytkownika komputerów, Internetu, to mówi się, że tym najsłabszym ogniwem jest człowiek. A w przypadku bezpieczeństwa w chmurze obliczeniowej, czy też tym najsłabszym elementem bezpieczeństwa jest człowiek?
‒ Jak najbardziej. W przypadku chmury bardzo często użytkownicy pytają czy to, że idą do chmury oznacza, że będą super bezpieczni, zawsze? I czy o niczym nie muszą już myśleć? Absolutnie ‒ nie. To nie tak działa. W przypadku chmury mówimy o modelu współdzielonej odpowiedzialności.
W zależności od tego z czego korzystamy w chmurze, to za pewne rzeczy będzie odpowiedzialny dostawca chmurowy, a za inne będzie odpowiedzialny użytkownik. I tak jak moglibyśmy popełnić pewne błędy w świecie własnej serwerowni, ustawić bazę danych, ustawić hasło admin/admin, nie aktualizować systemów operacyjnych to w skrócie te same pomyłki, błędy natury ludzkiej można zrobić w chmurze.
Ale mimo wszystko tych pomyłek, tych błędów, jest zdecydowanie dużo mniej. A tam, gdzie potencjalnie mogą występować, to dostawca chmurowy zazwyczaj informuje o tym użytkownika. Na przykład: „drogi użytkowniku nie aktualizujesz systemów operacyjnych; drogi użytkowniku, te porty są nieodpowiednio otworzone na świat.”
Zatem czynnik ludzki to jest ciągle ten mechanizm, który będzie potencjalnie najczęściej spotykanym problemem. I należy też o tym pamiętać w świecie chmurowym.
Ale miejsc popełnienia błędów jest zdecydowanie mniej, a tam gdzie one występują, tam dostawca chmurowy bardzo klarownie i jawnie pokazuje, że tutaj należy coś poprawić.
Dlaczego dostawca chmurowy to robi? Ponieważ nie chce, żeby ten błąd zaistniał, gdyż nie chodzi tylko o zaufanie do firmy, która korzysta z chmury, ale również o zaufanie do dostawcy chmurowego.
Terminy konferencji IT@BANK:
- DZIEŃ 2 – 17.11.2021 r.
- DZIEŃ 3 – 24.11.2021 r.