Prezentacja KPMG: E-assurance w chmurze obliczeniowej

Krzysztof Radziwon, partner w firmie doradczej KPMG,
Paweł Skowroński, menedżer w firmie doradczej KPMG

Tak właśnie jest w przypadku cloud computingu. Potencjalne korzyści są bardzo wysokie, ale potencjalne ryzyko związane z wykorzystaniem do przetwarzania naszych danych w środowisku informatycznym poza naszą kontrolą, również wiąże się z pewnymi ryzykami, których nie warto bagatelizować.

Ostatecznie, to zarządy spółek ponoszą odpowiedzialność za bezpieczeństwo firmy, w tym za bezpieczeństwo jej aktywów informacyjnych, niezależnie od tego, gdzie je zdeponowano i komu powierzono ich przetwarzanie. Firmy świadczące usługi outsourcingu, w tym w również cloud computingu, starając się ograniczyć to ryzyko, podnieść poziom zaufania do swoich usług mogą i często sięgają po usługi niezależnych firm doradczych, które na ich zlecenie (lub na zlecenie ich klientów) poddają weryfikacji poziom bezpieczeństwa przetwarzania danych „w chmurach”. To właśnie jest e-assurance. Zanim omówione zostaną standardy, według których przeprowadzane są usługi atestacyjne (e-assurance), możliwości, jakie dają oraz przykładowe cele atestacji, warto pokusić się o krótką charakterystykę głównych ryzyk związanych z przetwarzaniem w chmurze obliczeniowej. A dlaczego ryzyk? Każda znacząca zmiana dotycząca aktywów firmy, jakimi są posiadane i przetwarzane informacje, powinna rozpocząć się od kompleksowej analizy ryzyk, dokonanie ich kwantyfikacji, a w konsekwencji świadome zarządzanie nimi poprzez wdrożenie odpowiednio zaprojektowanych mechanizmów kontrolnych ograniczających je do poziomu akceptowalnego przez kierownictwo firmy.

Ryzyka w chmurze

W przypadku chmur obliczeniowych analiza ryzyka jest utrudniona ze względu na złożoność zagadnienia (zarówno techniczną, jak i organizacyjną) oraz możliwe implementacje, takie jak SaaS, PaaS, IaaS lub wszelkie kombinacje rozwiązań stosowanych w chmurach prywatnych, publicznych oraz hybrydowych. Jednakże można wymienić kilka klasycznych ryzyk, z których część występuje również w często spotykanym outsourcingu zasobów informatycznych (np. usługa kolokacji serwerowni). Obecnie istnieje kilka prac w zakresie ryzyk występujących w środowisku chmury obliczeniowej, z pewnością jednak warto przywołać listę ryzyk opracowaną przez Europejską Agencję Bezpieczeństwa Sieci i Informacji ENISA. ENISA wyróżnia między innymi następujące kluczowe ryzyka:

• Utrata kontroli nad środowiskiem Poniższa grafika obrazuje prostą zależność wynikającą ze stopnia kontroli kierownictwa firmy nad poszczególnymi elementami tworzącymi docelowe rozwiązanie. I tak, w przypadku posiadania własnych zasobów IT ryzyko to oczywiście jest najmniejsze, gdyż mamy kontrolę nad całym środowiskiem i sami decydujemy, jak nim zarządzać, jakie zabezpieczenia utrzymywać. Z kolei na drugim końcu znajduje się publiczna chmura obliczeniowa w implementacji SaaS, w której to kierownictwo firmy nie ma kontroli praktycznie nad żadnym z elementów tworzących infrastrukturę informatyczną.
  Oczywiście należy pamiętać, iż stopień kontroli nad środowiskiem nie jest jedynym wyznacznikiem ostatecznego poziomu ryzyka, a jedynie jednym z istotnych czynników je kształtujących.
• Awaria mechanizmów separujących wielu dzierżawców (ang. tenants) – ryzyko to obejmuje sytuację utraty separacji poszczególnych elementów: zasoby dyskowe, pamięć, CPU wykorzystywanych przez kilku dzierżawców. Awarie tego typu spowodowane nieautoryzowanymi atakami/ działaniami osób z zewnątrz infrastruktury są wciąż rzadkością w porównaniu z atakami na zwykłą infrastrukturę IT, jednakże w przyszłości mogą one stać się zdecydowanie bardziej popularne wraz ze wzrostem popularności chmur obliczeniowych.
• Ryzyko utraty zgodności regulacyjnej – niestety każda migracja do chmury obliczeniowej wiąże się z trudnościami w spełnieniu wymogów regulacyjnych obowiązujących daną firmę, zwłaszcza jeżeli przetwarzanie danych związane jest z branżami szczególnie regulowanymi lub danymi szczególnie prawem chronionymi. Sytuacje takie budzą szczególne zainteresowanie regulatorów rynku, takich jak np. GIODO, KNF, KNUiFE, PCI DSS. Ryzyko to jest niebagatelne, ponieważ może tak naprawdę zniweczyć całą idę wykorzystania chmury obliczeniowej przez firmę w przypadku niemożności spełnienia wysokich, często specyficznych wymogów regulacyjnych, których spełnienie jest niezbędne, aby móc skorzystać z mocy obliczeniowych chmury. Oczywiście w przypadku możliwości zastosowania wymaganych mechanizmów kontrolnych należy pamiętać o ich udokumentowaniu oraz w wybranych przypadkach konieczności ich niezależnej weryfikacji.

• Nieprawidłowa ochrona danych – w tym zakresie mamy do czynienia z kilkoma ryzykami zarówno po stronie klientów, jak ...