21. jaanuar 2016
Tähelepanu! Artikkel on enam kui 5 aastat vana ning kuulub väljaande digitaalsesse arhiivi. Väljaanne ei uuenda ega kaasajasta arhiveeritud sisu, mistõttu võib olla vajalik kaasaegsete allikatega tutvumine.

Levinumad pilveteenustega seonduvad riskid

Pilveteenuste kasutamine levib üha enam.
Foto: Pixabay
Ettevõtete seas üha levivate pilveteenustega seotud riskid ulatuvad andmevahetuse pealtkuulamisest võrguprobleemide ja otseste rünnakuteni.

KONVERENTS TOIMUB 8. MÄRTSIL 2016 VIRU HOTELLI RUUMIS BOLERO

ESIMENE PLOKK: Ülevaade maailmas ja meil toimuvast09.45 - 10.00 moderaatori avasõnad 

10.00 - 10.30 Eesti pilvetööstuse areng. Esineja kinnitamisel

10.30 - 11.00 Maailmapanga raport. World Bank "Digital Dividends" report 2016. Küberturvalisus ja äririsk. Cybernetica turundusjuht Siret Schutting

11.00 - 11.30 Pilve turvalisus. Sertifitseerimiskeskuse juhatuse liige Kalev Pihl 

11.30 - 12.00 Turvaline pilve arhitektuur. Eesti Vabariigi IT-arhitekt Andres Kütt

LÕUNAPAUS 12-13

TEINE PLOKK: Konflikt? 

13.00 - 13.30 Riigipilv - turvalisus ja risk ärile. MKMi esineja kinnitamisel 

13.30 - 14.00 Azure'i kasutamine turvalise pilve loomisel. Microsoft Balti regiooni juht Rain Laane 

14.00 - 14.30 Uus viis salajaste isikuandmete töötlemiseks. Sharemindi ühissalastuse meetod. Sharemindi looja Dan Bogdanov, PhD

14.30 - 15.00 Aruteluring esinejate vahel 

KOHVIPAUS 15-15.15

VIIMANE PLOKK: Väga praktilised lahendused

15.15 - 15.45 Suure ettevõtte praktiline kogemus turvalise pilve loomisel. Esineja kinnitamisel

15.45 - 16.15 Keskmise suurusega ettevõtte praktiline kogemus turvalise pilve loomisel. Esineja kinnitamisel

16.15 - 16.45 Väikese suurusega ettevõtte praktiline kogemus turvalise pilve loomisel. Esineja kinnitamisel

16.45 – 16.55 Konverentsi lõpetamine

Eriti varase registreeruja hind on 219 eurot (km-ga 262,8 eurot). Osalemissoov palun saata [email protected]

Kui soovite tutvustada oma ettevõtet Äripäeva ITuudised.ee ja Cybernetica Pilvekonverentsil, siis võtke ühendust[email protected], tel 5531442

Registreerimise tingimusedKonverentsi kõige varasema registreeruja soodushind kuni 9. veebruarini on 219 eurot (km-ga 262,8 eurot). Alates 10. veebruarist kehtib tavasoodushind 249 eurot (km-ga 298,8 eurot) ja 25. veebruarist on täishind 295 eurot (km-ga 354 eurot). 

Konverentsi sihtgrupp

• IT turvalisuse eest vastutaja ettevõttes või riigiametis• Ärisaladuse ja delikaatsete isikuandmete kaitse eest vastutaja ettevõttes ja riigiasutuses• IT juhid• Infosüsteemi analüütikud ja arhitektid• IT toe pakkujad• IT eest vastutav tippjuht• Pilveteenuste pakkujad• IT ettevõtte omanikud, juhid, spetsialistid• IT audiitorid• Audiitorid, juhtimiskonsultandid• Riskijuhid• Kvaliteedijuhid, arendusjuhid

Kuigi pilveteenuste heade külgede kõrval nähakse neid suurema ohu allikana kui majasisest ITd, on enamik riske siiski kattuvad. Majasiseste lahenduste puhul lihtsalt teadvustatakse neid riske vähem.

Ülevaate pilveteenustega seotud peamistest riskidest ja nende olemusest annab CSA (Cloud Security Alliance) ja ENISA (European Union Agency for Network and Information Security) loetelu.

Tootjalõks. Pilveteenused põhinevad tihti mittestandardsetel andmeformaatidel ja rakenduste loogikal, mis võib andmete ülekandmise ühe teenusepakkuja juurest teise juurde teha keeruliseks või isegi võimatuks.

Halduskontrolli kadumine. Pilveteenuseid kasutades võib klient teenusepakkuja kätte loovutada kontrolli mitme asjaolu üle, mis võivad mõjutada muu hulgas näiteks turvalisust.

Andmete õngitsemine. Eesmärk on infot koguda, inimestega manipuleerida konfidentsiaalsete andmete avaldamiseks või mingite tegevuste sooritamiseks arvutisüsteemidele ligipääsuks ohvri teadmata.

Ressursside ammendumine. Kuna pilveteenused on nõudmispõhised, siis on võimalus, et teenusepakkuja ei ole võimeline pakkuma kliendi soovitud suuremat hulka mingit ressurssi.

Isolatsiooni katkemine. Ühiskasutatavate keskkondade puhul pole võimatu, et süsteemivigade või sihilike rünnakute tõttu pääseb üks teenusekasutaja (või ründaja) ligi teise kasutaja ressurssidele või andmetele.

Teenusepakkuja pahatahtlik tegevus. Teenusepakkuja töötaja pahatahtlik privilegeeritud õigustega ligipääs kliendi ressurssidele ja andmetele.

Teadmata riskid. Teenusepakkujate tegevus on läbipaistmatu, mis tähendab kliendi jaoks teadmatust vastavussertifikaatide, turvaprotseduuride, konfiguratsioonihalduse, monitooringu, logihalduse jms kohta.

Haldusvahendite kompromiteeri mine. Avaliku pilveteenuse puhul on haldusvahendid interneti kaudu ligipääsetavad, mis tähendab riski soovimatute ligipääsukatsete näol. Täiendav oht on kaugligipääsuvahendite ja veebilehitsejate vigade ärakasutamine.

Andmevahetuse pealtkuulamine. Avaliku pilveteenuse ja kliendi andmevahetuse puhul on tõenäosus andmeside pealtkuulamiseks suurem kui majasiseste lahenduste puhul.

Ebaturvaline või ebapiisav andmete kustutamine. Krüpteerimata andmete puhul on oht, et näiteks salvestusruumi mahu muutmisel suuremast väiksemaks või teenusepakkuja vahetamise korral avalduvad kustutamata andmed kas teistele teenuse kasutajatele või teenusepakkujale.

DDos-rünne. Ründe eesmärk on teenusepakkuja ülekoormamine, nii et klientidel on oma teenuseni jõudmine raskendatud. Tõenäosus, et niisugust rünnet tehakse teenusepakkuja ühe kliendi vastu, on väiksem kui üksiku kliendi ettevõttesisese IT-lahenduse vastu. Enamasti on pilveteenuste pakkujatel rohkem võimalusi ja ressursse sellise ründega toime tulla kui üksikettevõttel.

EDoS-rünne. Lähtuvalt asjaolust, et pilveteenuste puhul mõõdetakse ressursikasutust, sh näiteks andmesidet ja süsteemi parameetreid, ning koormuse tõustes saab neil lasta automaatselt suureneda, on teenuse kehva halduse või rahaliste vahendite halva piiramisvõimaluse tõttu võimalik põhjustada kliendi suurenenud rahalisi väljaminekuid, mis omakorda võib kliendi finantsressursside ootamatu lõppemise korral (nt ettemakse puhul) teenuse peatada.

Pilveteenusest olenematud võrguprobleemid. Võivad ilmneda ka majasiseste IT-lahenduste puhul, ründed andmesidevõrgule, võrguoperaatori ühenduse probleemid, pilveteenuse pakkuja võrguoperaatori võrguprobleemid.

Loodusõnnetused. Loodusõnnetuste (uputused, maavärinad jne) mõju teenusepakkuja tegevusele, mis võib mõju avaldada ka õnnetuskohast kaugel asuvale kliendile. Enamasti on teenusepakkujate taristulahendused piisava varuga, et teenus saaks jätkuda, olles seega töökindlam kui paljude klientide tavalahendused.

Kohtuasjad ja juurdlused. Õiguskaitseorganite tegevuse tõttu on võimalik, et teenusepakkuja andmesalvestusseadmed või muu riistvara arestitakse või konfiskeeritakse asitõendina.

Õigusalluvuse risk. Kui kliendi andmeid hoitakse või töödeldakse mõnes muus riigis, mitte kliendi asukohamaal, võib esineda olukordi, kus andmed arestitakse või teenused katkestatakse põhjustel, milliseid kliendi asukohariigis ei eksisteeri.

Intellektuaalomandi probleemid. On võimalus, et luuakse originaalloomingut (nt uued tarkvaralahendused), mis on seotud teenusepakkuja konkreetse keskkonnaga. Kui see ei ole teenusepakkuja ja -kasutaja kokkuleppes kaetud, kätkeb loodav originaallooming omandiriski.

Autor: Karel Lember, cloudware.ee pilveteenuste konsultant

Liitu ITuudiste uudiskirjaga!
Liitumisega nõustud, et Äripäev AS kasutab sinu e-posti aadressi sulle uudiskirja saatmiseks. Saad nõusoleku tagasi võtta uudiskirjas oleva lingi kaudu. Loe oma õiguste kohta lähemalt privaatsustingimustest
Indrek KaldITuudised.ee toimetajaTel: 511 1112
Anne WellsReklaami projektijuhtTel: 5880 7755