The Hack meetings dezbaterea cu incidenta publica

Cristian Nicolau Niciun comentariu , , , , , , , , , , , , , , , , , , , ,

Asa cum spuneam aici am ramas in suspensie cu ideile desprinse in intalnirea The Hack de la Hotel Epoque unde inconjurat de o audienta selecta m-am lamurit intrucatva cu privire la incidentele generate de catre ziaristii americani cu privire la intimitatea datelor de cloud.

Personajele principale ale dezbaterii au fost cativa actori principali ai interactiunii cu cloudul romanesc participanti – invitati: Gabriel Salavastru, Manager IT Business Products, Romtelecom, Calin Rangu – director executiv CIO Council Romania, Gheorghe Dobrea – IT Security Consultant, Intelprof, Zoli Herczeg – technical evangelist, Microsoft Romania.

Asa cum s-au expus in brainstormingul de inceput au reiesit cateva idei stralucite: “Cloud-ul nu este un loc unde te poți ascunde de autorități. Dar, dacă autoritățile (din orice țară, nu numai SUA) vin cu o citație sau ordin judecătoresc la furnizorul de cloud, acesta trebuie să se conformeze și să ofere acces la datele clientului. Asta nu înseamnă că autoritățile au acces oricând la aceste date. Microsoft oferă acces la metadatele clienților săi numai pe baza unei citații și oferă acces la date (conținut) numai pe baza unui ordin judecătoresc” asa cum a precizat Zoli Herczeg . “Guvernele (de aiurea) și agențiile lor (alea cu trei litere) fac analiza datelor care sunt disponibile pe internet în diverse scopuri. Asta e realitatea. The name of the game is big data. Asta nu înseamnă că pot analiza și documentele voastre din cloud. “Securitatea în cloud este cu mult mai mare decât își poate permite marea majoritate a consumatorilor de IT de orice dimensiuni. Trebuie să înțelegem că securitatea înseamnă protejarea datelor împotriva pierderii, utilizării greșite, accesului neautorizat, dezvăluirii, alterării sau distrugerii și atunci ne dăm seama că ne trebuie:

    1. controlul accesului și
    2. criptarea datelor în repaus (stocare) și în mișcare (transfer) și
    3. securitate fizică și
    4. recuperare în caz de dezastre și
    5. auditare în sens de monitorizare.

Avem o problemă de încredere peste care nu putem trece decât prin respectarea regulilor și prin transparență. De aceea am cerut șefului Departamentului de Justiție al SUA să ne permită publicarea completă a modului în care tratăm solicitările de acces la date pentru a include și cele în scop de siguranță națională. Detalii în română aici și în engleză aici.”

“Interceptarea de către Agenţia Naţională de Seuritate a SUA (NSA) a unor date din conturi de pe platformele de servicii de Cloud americane –  Facebook, Google, Microsoft, Yahoo etc. Recentele discuţii din mass-media americană şi europeană s-au concentrat şi în jurul întrebării dacă, în aceste condiţii, conturile unor clienţi business sunt la adăpost.”

„În Uniunea Europeană, unde statele au propria legislaţie în doemniul informatic, se pune acum problema armonizări acesteia”, spune Gheorghe Dobrea, consultant şi analist în domeniul securităţii la Intelprof, companie care oferă traininguri inclusiv de ethical hacking şi cyber forensic investigation. „Dar, mai mult decât atât, se pune problema armonizării contractelor între persoane fizice sau juridice şi furnizorii de cloud sau a subcontractorilor serviciilor de cloud, în aşa fel încât securitatea, confidenţialitatea şi disponibilitatea datelor să fie cât mai bine acoperite în termenii de Service Level Agreement (SLA). Dobrea a precizat că studiile arată că, dacă în acest an nu se va ajunge la o legislaţie unitară în domeniul protecţiei datelor, costurile anuale ale integrării datelor se vor ridica, la nivelul UE, la 130 de milioane de euro pe an.”

Romtelecom, unul dintre cei mai mari furnizori de servicii de cloud de pe piaţa autohtonă, de la simplă găzduire de email sau site, la recent lansatele soluţii de CRM şi ERP online, sub formă de SaaS (Software as a Service), spune că, din acest punct de vedere, cu excepţia unui serviciu care se bazează pe tehnologie Microsoft, toate celelalte servicii folosesc date stocate local.

„Toate datele clienţilor noştri, sunt găzduite pe teritoriul României, în cele două centre ale noastre de date din Bucureşti şi Braşov”, spune Gabriel Salavastru, Manager IT Business Products, Romtelecom. „Noi oferim un grad de protecţie şi disponibilitate a datelor prin SLA, de 99,99%. Din punctul de vedere al securităţii şi confidenţialităţii, evident că datele sunt mai sigure pe serverele unui furnizor de cloud de încredere decât în propria curte, oricât de bine păzite ar fi ele la sediul firmei.”

„Până la finele acestui an se estimează că vor fi 2,7 miliarde de utilizatori care accesează permanent internetul la nivel mondial. 150.000 de calculatoare ale acestora sunt infestate zilnic cu malware. Romtelecom, împreună cu partenerii din cadrul grupului Deutsche Telekom oferă încă de acum trei ani software de securitate chiar sub formă de serviciu cloud”, adaugă Salavastru.

Călin Rangu, directorul executiv al CIO Council, Asociatia Directorilor de Tehnologia Informaţiei şi Comunicaţii din România, spune că, la nivel macro, legislaţia europeană, din punctul de vedere al stocării şi prelucrării datelor, este deja armonizată. „Chiar furnizori de cloud din afara UE, precum Google sau Microsoft sunt definiţi ca zone de tip «harbour» pentru care chiar dacă datele sunt stocate în afara UE, există garanţia că acestea se supun legislaţiei europene. Probleme sunt însă, întradevăr, aşa cum s-a menţionat, la nivel micro. Legislaţia transfrontalieră este încă destul de neclară.” Pe de altă parte, apelul la căile legale necesită o procedură legală destul de complicată şi lungă, atrage atenţia Călin Rangu. „De cele mai multe ori, până mergi tu pe căile legale, infractorul cibernetic şi-a şters deja urmele.”„Având în vedere acestea, din punctul nostru de vedere, al CIO Council, nu încape îndoială că serviciile de cloud furnizate de o companie serioasă sunt întotdeauna mai sigure decât serviciile proprii, indiferent cât de mare şi puternică este o bancă, de exemplu. Indiferent de mărimea ei, o companie nu are resursele financiare să-şi asigure o protecţie la nivel maxim. Când externalizei la o firmă mare, aceasta îşi va lua măsuri de securitate mult mai bune decât îţi permiţi sau eşti dispus tu financiar să o faci”, subliniază Rangu.

„Să ne imaginăm că nu vrei să foloseşti servicii de cloud de la Microsoft sau Romtelecom, sau Google sau care ar fi ele şi preferi să ai serverele tale. Şi să presupunem că vine Garda Financiară sau un alt organism în control. Ce preferi: Să meargă pe toate căile şi procedurile legale să obţină acces de la Microsoft sau Romtelecom la servere sau să plece cu serverul tău sub braţ, aşa cum îi permite legea? Nu prea ştii după aceea ce se poate întâmpla, din greşeală, bineînţeles, cu serverul tău”, conchide Dobrea.

Una dintre concluziile din sala a fost o solutie tehnica la indemana prin care se poate evita factorul psihologic al conectarii la cloud privat si anume virtualizarea serverelor, solutie prezenta in orice masina Microsoft, rezolvand in acest fel orice problema de securitate, acces si orice solutie legata de servere situate in teritoriu in special pentru firmele mari.

Tot una dintre concluziile la care subscriu este ca bombele mediatice de oriunde ar veni acestea nu pot fi dezamorsate decat de catre specialisti impreuna cu cei implicati in tirul incrucisat care pentru unii aduce vanzari nebanuite iar pentru altii pagube incomensurabile.

Visits: 0

Lasă un răspuns