- Niestety, dość często firmy zakładają, że gdy korzystają z usług chmurowych, nie ma już potrzeby ochrony danych, bo wystarczą wbudowane podstawowe narzędzia i funkcje.  – zauważa Tomasz Krajewski, Senior Technical Sales Director w Veeam. 

Do kogo dziś należą dane przekazywane do chmury, jak rozumiem w 100 proc. do pierwotnego właściciela?

Za dane zawsze odpowiada ich twórca. Dostawca chmury może pomagać w zapewnieniu dostępności do zasobów, ale nie bierze on pełnej odpowiedzialności. Dla przykładu, za wyciek czy utratę jakichkolwiek danych odpowiada firma będąca ich właścicielem. Obowiązek kontrolowania danych i zapewniania im ochrony nie znika, gdy przedsiębiorstwo przenosi swoje dane do chmury. Niezależnie od tego, gdzie informacje są generowane i przetwarzane, to firma jest ich właścicielem, a nie dostawca usług chmurowych. To firma powinna więc zadbać o ochronę zasobów i tworzenie bezpiecznych, niezmienialnych kopii zapasowych, aby w razie ataku uniknąć przykrych niespodzianek. Jeśli dane zostaną zablokowane lub wykradzione, przedsiębiorstwo mogą spotkać poważne konsekwencje nie tylko finansowe, ale też prawne czy związane z utratą wizerunku.  

Firma – właściciel myśli „ok. mam dane, przekazuję je do chmury, płacę za to, więc nic mnie więcej nie obchodzi, niech martwi się dostawca usług” – czy częste jest takie podejście firm?

Niestety, dość często firmy zakładają, że gdy korzystają z usług chmurowych, nie ma już potrzeby ochrony danych, bo wystarczą wbudowane podstawowe narzędzia i funkcje. Trzeba jednak zaznaczyć, że świadomość stale rośnie, chociaż w wielu przypadkach wciąż na zasadzie „mądry Polak po szkodzie”. Gdy dojdzie do utraty lub wycieku danych, często okazuje się, że zakres odpowiedzialności dostawcy chmury rozmija się z tym co zakładała i oczekiwała firma. Wtedy przedsiębiorstwa zaczynają zastanawiać się nad strategią zabezpieczania swoich danych, aby w przypadku awarii lub udanego cyberataku zmniejszać utratę kontroli nad swoimi zasobami i dostępu do nich. Jak wskazał najnowszy raport Veeam Ransomware Trends Report 2023, aż 93 proc. ataków ransomware celuje w kopie zapasowe. Kluczowe jest więc nie tylko regularne tworzenie backupu, ale też wdrożenie dobrze zarządzanej i zaawansowanej strategii ochrony danych w chmurze.

Kto zatem odpowiada za dane w chmurze? I czy w każdym przypadku jest to współdzielenie odpowiedzialności, czy może są wyjątki, sytuacje, kiedy tak nie jest?

Za dane zawsze odpowiada użytkownik, czyli firma. Dostawcy usług chmurowych w ramach umów dotyczących poziomu ich świadczenia (SLA) zapewniają dostępność aplikacji, działania serwerów i infrastruktury przez 99,99% czasu, jednak nie dotyczy to ochrony danych ich klientów. To tak zwany model wspólnej odpowiedzialności (ang. shared responsibility model - red.). Dostawcy chmury często oferują podstawowe narzędzia do zabezpieczania danych, ale ochraniają one kopie zapasowe jedynie przez kilka miesięcy. Tymczasem lokalne regulacje prawne wymagają przechowywania danych przez 5 lat, czy ich szyfrowania. To użytkownik jest zobligowany do zapewniania zgodności z obowiązującymi regulacjami, a jeśli zaniedba tego obowiązku, może być pociągnięty do odpowiedzialności prawnej. Dostawca chmury odpowiada za zapewnienie narzędzi, ale to użytkownik ponosi odpowiedzialność za ich prawidłowe wykorzystanie.

Co w przypadku cyberataku? Kto odpowiada za bezpieczeństwo danych?

Utrata czy zaszyfrowanie danych to zawsze poważny problem dla właściciela danych. Dostawcy chmury nie analizują tego, jakie dane są do niej przesyłane ani w jakiej postaci. Może się przecież zdarzyć, że dane przesyłane do chmury zostały już wcześniej zaszyfrowane na lokalnych dyskach użytkownika i nawet przesłane do chmury będą nieużyteczne. Według raportu Veeam Ransomware Trends Report 2023, aż 3 na 4 firmy w wyniku ataku ransomware tracą przynajmniej część swoich repozytoriów kopii zapasowych. Chmura może pomóc w zabezpieczaniu i zarządzaniu danymi, jednak znów to przedsiębiorstwo jest odpowiedzialne za zasoby, które generuje i przetwarza. To firma powinna ograniczać ryzyko związane z bezpowrotną utratą danych lub dostępu do nich w wyniku cyberataku czy błędów pracowników. Każda firma powinna przede wszystkim zapewnić sobie dostępność danych, gdyż to one są kluczowe dla działania biznesu. Z powodu przestojów biznes może tracić miliony. Dlatego konieczne jest wdrożenie niezawodnej, dopasowanej do potrzeb organizacji strategii backupu i odzyskiwania danych po ataku ransomware.

Jak firma powinna zabezpieczyć się na wypadek najgorszych scenariuszy jeśli korzysta z chmury?

Zabezpieczenie zawsze jest takie samo, niezależnie od tego czy używamy systemów we własnych serwerowniach, czy w serwerowniach wirtualnych, nawet gdy chmura służy tylko jako wirtualny dysk. Każda firma powinna przygotować solidny plan przywracania działalności na wypadek udanego ataku oraz stosować „złotą” zasadę backupu 3-2-1-1-0. Zgodnie z nią powinno się posiadać co najmniej trzy kopie krytycznych z punktu widzenia biznesu danych, na dwóch różnych rodzajach nośników, a przynajmniej jedna z nich powinna się znajdować poza siedzibą firmy. Kolejne cyfry jeden i zero oznaczają, że przynajmniej jedna kopia powinna znajdować się w trybie offline (a więc być fizycznie odizolowana od sieci oraz niezmienialna - red.). Konieczne jest też dokładne przetestowanie procedury odzyskiwania zasobów, aby upewnić się, że w kopiach zapasowych nie ma błędów, a dane mogą zostać odzyskane zgodnie z planem. Należy zawsze pamiętać, że opracowanie strategii ochrony danych leży po stronie firmy. Chmura to tylko zestaw narzędzi, który może pomóc w realizacji „złotej zasady”, ale sama w sobie nie jest zabezpieczeniem, które zapewni odporność cybernetyczną.