Cloud a cloudové služby sú neoddeliteľnou súčasťou našej ponuky služieb zákazníkom

  • Novinky
Cloud a cloudové služby sú neoddeliteľnou súčasťou našej ponuky služieb zákazníkom. V rozhovore pre redakciu Hospodárskych novín v rámci aktuálneho vydania prílohy Kybernetická bezpečnosť sa tejto problematike venoval Martin Kahan, Cloud Services Manager zo spoločnosti Hewlett Packard Enterprise Slovakia. Práve partnerstvo s touto spoločnosťou nám umožňuje poskytovať cloudové riešenia najvyššej kvality. 
Cloud a cloudové služby sú neoddeliteľnou súčasťou našej ponuky služieb zákazníkom

Ktoré sú v SK najrozšírenejšie cloudové služby, v ktorom segmente sa najviac uplatnia?

Pokiaľ ostaneme v podnikovom segmente, tak v priestore verejných cloudových služieb jednoznačne dominujú hráči ako Microsoft Azure alebo Amazon AWS. V oblasti privátneho je v súčasnosti asi najvyzretejšia ponuka HPE GreenLake, aktívni sú však aj ďalší hráči ako Dell, Oracle alebo IBM. Dominantný segment nie je možné takto jednoducho určiť, faktom však je, že vo významnej miere využívajú cloudové služby najmä firmy z oblasti finančníctva, bankovníctva, obchodu. Oblasť verejnej správy je diskutabilná, nakoľko tam už spôsob čerpania cloudových služieb častokrát definuje legislatívny rámec a rôzne obmedzenia kde a za akých okolností môžu byť dáta umiestnené, resp. spracované. Práve pre túto oblasť je veľmi významná oblasť privátneho cloudu.

 Reflektuje tempo migrácie v SK svetové trendy?

Vo všeobecnosti áno, akurát latencia slovenských firiem a inštitúcií v nasadzovaní cloudových riešení so svetovými trendami je značná. Mnohé slovenské pobočky zahraničných firiem sú materskými spoločnosťami doslova tlačené migrovať svoju prevádzku do určitého typu cloudu, aby boli kompatibilné so zvyškom sveta. Našťastie aj mnohé slovenské podniky a firmy už pochopili výhody cloudových riešení najmä z pohľadu rozložených nákladov a jednoduchej správy prostredia.

Aké sú bariéry pri využívaní cloudu pre firmy a inštitúcie na Slovensku? Finančné alebo mentálne?

Obidve oblasti môžu významne ovplyvňovať rozhodovanie firiem, či prejdú alebo neprejdú do cloudu. Z finančného hľadiska môže byť prechod do cloudu veľmi atraktívny, avšak časom sa môže stať, že nie všetky služby a dáta chcete mať v cloude a rozhodnete sa vrátiť späť. A práve tu už viaceré subjekty zistili, že to vôbec nie je triviálne a už vôbec nie lacné. Z tohto dôvodu je preto dôležité nechať si spočítať celkové náklady, ktoré migrácia do cloudu obnáša. Cloudová služba môže kedykoľvek zdražieť a podnikom tak nečakane môžu stúpnuť náklady. Preto je možno výhodnejšie podpísať kontrakt na privátny cloud s garantovanými cenami na dlhšie obdobie (napr. HPE GreenLake) a mať tak ceny garantované na dlhšie obdobie. Medzi mentálne bariéry určite patrí obava kde a ako sú citlivé firemné údaje uchovávané a v neposlednom rade, kto má oprávnenie k nim pristupovať. Je potrebné si uvedomiť, že stále sa jedná o službu tretej strany, súkromného subjektu s jeho vlastnými obchodnými záujmami, čo vždy bude predstavovať určitú mieru rizika zneužitia.

Kde je najväčšia bezpečnostná hrozba pri prevádzke cloudu, čiže hrozia najväčšie škody?

Je jedno, či sa jedná o cloud alebo on-prem prevádzku. Princípy sú vždy rovnaké. Jedná sa o klasické hrozby, kedy útočník získa prístup či už cez bezpečnostnú dieru alebo zlyhanie jednotlivca. Treba si uvedomiť, že za cloud je niekto zodpovedný a ten musí dodržiavať vysoké bezpečnostné štandardy. Všade pracujú nejakí zamestnanci, ktorí môžu mať rôzne úmysly. Samotný prevádzkovateľ taktiež môže časom podľahnúť pokušeniu monetizovať rôzne typy informácií, ktoré zákazníci dobrovoľne ukladajú v cloude, ktorý prevádzkuje. Ak sa pýtate na tie štandardne pomenované hrozby, tak asi najviac sa v poslednom období spomína ransomware, čiže zašifrovanie a uzamknutie zákazníckych dát s cieľom vydierať majiteľa a požadovať výkupné. Ani najväčší hráči na trhu sa neubránili týmto hrozbám, takže toto riziko je potrebné brať vážne. Existujú našťastie jednoduché riešenia ako napríklad HPE Zerto, ktoré dokážu významne resp. úplne eliminovať riziko takéhoto útoku.

V čom sú organizácie nepoučiteľné pri prevádzke z bezpečnostného hľadiska, kde sa chyby opakujú?

V drvivej väčšine sa jedná o nekvalitne nadizajnované, zdokumentované a dodržiavané firemné procesy. Častokrát sa jedná o historický nános, ktorý sa málokomu chce razantne a zmysluplne poupratovať. Interné smernice a procesy by však mali reflektovať technologický vývoj a preto by mali začať brať slovenské spoločnosti  túto oblasť vážne. Pravidelná kontrola, ale najmä vyžadovanie dodržiavania interných politík by malo byť samozrejmosťou. Tie by mali byť nadizajnované tak, aby pri zlyhaní jednotlivca nebola ohrozená bezpečnosť celého IT prostredia. Najslabším článkom bezpečnosti bude totiž vždy človek.

Kedy mám ako zákazník spozornieť? Čo mi nesmie poskytovateľ sľúbiť, t.j. ako sa vyvarovať zavádzajúcich argumentov?

Ako uvádzam už skôr v mojich odpovediach, v prvom rade si musí sadnúť biznis model. T.j. musí sa to finančne oplatiť, a to nielen cestou „tam“, ale aj na ceste „späť“. Po technickej stránke by poskytovateľ služby nemal klásť zákazníkovi výrazné obmedzenia, pokiaľ sa rozhodne časom odmigrovať časť svojej prevádzky inam. Podpora multi-cloud resp. hybridných riešení, kde časť prevádzky je vo verejnom cloude a časť prevádzky v súkromnom on-prem cloude, by mala byť dnes samozrejmosťou. Zákazníci najviac ocenia otvorenosť a flexibilitu riešenia, práve na tieto atribúty by sa mali zákazníci primárne dopytovať.

Ako vyzerá kyberbezpečnostný incident v cloude, čo je najhorší scenár?

Vyjadrím sa k tým najhorším scenárom, samotný priebeh kyberbezpečnostného incidentu nechám na špecialistov z IT prevádzky. Pre každú spoločnosť môže mať najhorší scenár rôzne podoby. Niekde stačí, že služba je nedostupná niekoľko hodín a straty sa budú počítať v desiatkach miliónov dolárov. Ak je spoločnosť dostatočne finančne stabilná, dostane sa z toho, potom sa však musí ešte vyrovnať s následnou stratou kredibility na trhu. Z môjho pohľadu sú však najviac devastačné dva scenáre: definitívna strata dát alebo únik zákazníckych dát. Ak totiž uniknú od poskytovateľa cloudovej služby zákaznícke dáta, poškodený nie je len samotný prevádzkovateľ cloudu, ale najmä všetci jeho klienti, ktorí mu dali dôveru. Rozsah takéhoto incidentu tak má obrovský dopad na veľké množstvo spoločností po celom svete. Preto je potrebné mať rozumne nadizajnovanú cloudovú stratégiu a nespoliehať sa len na jedného poskytovateľa, ale v ideálnom prípade rozložiť prevádzku do hybridného modelu, kde je časť služieb čerpaná od verejného poskytovateľa a časť služieb si spoločnosti prevádzkujú na svojich on-prem zariadeniach (ideálne tiež vo forme cloudu napr. HPE GreenLake).