Εστίαση στην ασφάλεια του νέφους: στρατηγικές, αρχιτεκτονικές και μοντέλα συμβάσεων για την προστασία ευαίσθητων εταιρικών δεδομένων σε έναν ψηφιοποιημένο κόσμο

Τα δεδομένα αποτελούν ένα εργαλείο της σύγχρονης ψηφιοποιημένης οικονομίας, ή αλλιώς το «νέο χρυσό» των επιχειρήσεων (ιδιωτικός τομέας), αλλά και του κράτους (δημόσιος τομέας). Στον σημερινό ψηφιοποιημένο κόσμο, δημιουργούνται ασταμάτητα αμέτρητα νέα σύνολα δεδομένων, τα οποία καταλήγουν σε μεγάλο αριθμό στο Διαδίκτυο. Ορισμένα από αυτά τα σύνολα δεδομένων αφορούν προσωπικά δεδομένα, τα οποία αποτυπώνουν μια ψηφιακή ταυτότητα. Η πραγματική τέχνη σε μια επιχείρηση είναι να φιλτράρει προσεκτικά αυτά τα δεδομένα και, πάνω απ' όλα, να τα αποθηκεύει. Σκοπός αυτής της σύντομης εργασίας είναι να παρουσιάσει τα δεδομένα σε ένα cloud καθώς και την επεξεργασία τους από την προοπτική μιας επιχείρησης. Επιπλέον, η παρούσα σύντομη εργασία παρουσιάζει τους τύπους συμβάσεων, τις αρχιτεκτονικές καθώς και τα κατάλληλα μέτρα ασφαλείας που λαμβάνει η βιομηχανία έναντι των κυβερνοεπιθέσεων, προκειμένου να διαθέτει μια σταθερή βάση για τη δική της επεξεργασία δεδομένων.

Πριν προχωρήσουμε στο θέμα της ασφάλειας του cloud, πρέπει πρώτα να γνωρίζουμε μερικά βασικά στοιχεία του λεγόμενου «cloud computing», τον τρόπο λειτουργίας του και τη δομή ενός cloud: «Το cloud computing είναι ένα μοντέλο επεξεργασίας δεδομένων, με το οποίο, όποτε χρειάζεται, μπορεί κανείς να έχει πρόσβαση, οποιαδήποτε στιγμή και οπουδήποτε, μέσω ενός δικτύου, σε έναν κοινόχρηστο πόρο διαμορφώσιμων υπολογιστικών πόρων (π.χ. δίκτυα, διακομιστές, συστήματα αποθήκευσης, εφαρμογές και υπηρεσίες). Αυτοί μπορούν να διατεθούν γρήγορα και με ελάχιστο διοικητικό κόστος ή ελάχιστη αλληλεπίδραση με τον πάροχο υπηρεσιών. Το cloud μπορεί να χρησιμοποιηθεί σε τρεις παραλλαγές (Infrastructure as a Service (IaaS), Platform as a Service (PaaS), Software as a Service (SaaS)). Ο τύπος του cloud διαφέρει ανάλογα με τον τρόπο παροχής (Private Cloud, Community Cloud, Public Cloud, Hybrid Cloud).» [1]

Στον τομέα του Cloud Computing υπάρχουν διάφοροι τύποι παροχής, ανάλογα με τον τρόπο με τον οποίο οι πάροχοι Cloud παρέχουν υπηρεσίες Cloud στους χρήστες τους. Υπάρχουν τέσσερα κύρια μοντέλα που συνδέονται με το Cloud Computing:

1. Δημόσιο cloud

Το δημόσιο cloud επιτρέπει σε όλους τους χρήστες την πρόσβαση σε υπολογιστικούς πόρους, όπως υλικό (λειτουργικό σύστημα, CPU, μνήμη) ή λογισμικό (διακομιστές εφαρμογών, βάσεις δεδομένων), με βάση συνδρομή ή με βάση την χρήση (pay-as-you-use). Πρακτικές εφαρμογές είναι η ανάπτυξη και η δοκιμή εφαρμογών κρίσιμων και μη κρίσιμων εργασιών, όπως για παράδειγμα η κοινή χρήση αρχείων και οι υπηρεσίες ηλεκτρονικού ταχυδρομείου.

2. Ιδιωτικό cloud

Το ιδιωτικό cloud χρησιμοποιείται συνήθως αποκλειστικά από έναν μεμονωμένο οργανισμό και μπορεί είτε να διαχειρίζεται εσωτερικά είτε να συντηρείται από έναν εξωτερικό πάροχο υπηρεσιών πληροφορικής. Αν και τα ιδιωτικά cloud είναι συχνά πιο ακριβά από τα δημόσια cloud λόγω των επενδύσεων σε αγορά και συντήρηση, αντιμετωπίζουν αποτελεσματικότερα τα ζητήματα ασφάλειας και προστασίας δεδομένων των οργανισμών.

3. Υβριδικό cloud (συνδυασμός φυσικού κέντρου δεδομένων ή εξωτερικού ιδιωτικού cloud και/ή δημόσιου cloud)

Το υβριδικό cloud χρησιμοποιεί τόσο ιδιωτικές όσο και δημόσιες υποδομές cloud. Οι επιχειρήσεις επιλέγουν αυτό το μοντέλο για να επεκτείνουν γρήγορα την υποδομή πληροφορικής τους όταν χρειάζεται. Έτσι, για παράδειγμα, ένας ηλεκτρονικός έμπορος μπορεί να χρησιμοποιήσει πόρους δημόσιου cloud κατά τη διάρκεια της περιόδου των διακοπών, για να συμπληρώσει ή να ανακουφίσει τις χωρητικότητες του ιδιωτικού του cloud.

4. Κοινοτικό Cloud

Το Community Cloud υποστηρίζει από κοινού πολλές οργανώσεις που χρησιμοποιούν υπολογιστικούς πόρους. Σε αυτές περιλαμβάνονται, για παράδειγμα , πανεπιστήμια που συνεργάζονται σε συγκεκριμένους ερευνητικούς τομείς ή κρατικοί φορείς, όπως αστυνομικά τμήματα εντός μιας περιφέρειας, που μοιράζονται πόρους. Η πρόσβαση σε ένα Community Cloud περιορίζεται στα μέλη της κοινότητας.

Το κόστος για τον τελικό χρήστη στα δημόσια cloud είναι συνήθως χαμηλό, χωρίς να απαιτούνται μεγάλες επενδύσεις. Τα ιδιωτικά cloud, από την άλλη πλευρά, απαιτούν επενδύσεις, αλλά προσφέρουν γενικά εξοικονόμηση σε σύγκριση με τα λειτουργικά έξοδα της δικής τους υποδομής . Τα ιδιωτικά cloud εξασφαλίζουν επίσης μεγαλύτερη υποστήριξησε θέματα ασφάλειας και συμμόρφωσης σε σχέση με τα δημόσια cloud. Για τον λόγο αυτό, ορισμένοι οργανισμοί χρησιμοποιούν ιδιωτικά cloud για δεδομένα και εφαρμογές κρίσιμης σημασίας ή ευαίσθητου χαρακτήρα, και δημόσια cloud για βασικές εργασίες όπως η ανάπτυξη εφαρμογών, τα περιβάλλοντα δοκιμών και οι υπηρεσίες ηλεκτρονικού ταχυδρομείου. [2]

Μια υβριδική λύση cloud προσφέρεται για τη μείωση ή τη διαφοροποίηση των κινδύνων από μια κυβερνοεπίθεση. Αυτή προσφέρει μεγαλύτερο έλεγχο της δικής σας ασφάλειας σε σύγκριση με την καθαρή χρήση ενός δημόσιου cloud. Επιπλέον, μια υβριδική υποδομή cloud προσφέρει τη δυνατότητα να καθοριστούν εξατομικευμένα πρότυπα ασφάλειας και να διαμορφωθείτο λογισμικό σε ιδιωτικούς διακομιστές σύμφωνα με τις συγκεκριμένες ανάγκες. Αυτή η κατανομή οδηγεί σε αυξημένη αξιοπιστία των συστημάτων και καλύτερη εκτίμηση της κατάστασης για την ταξινόμηση των προβλημάτων του συστήματος.

Επιπλέον, η σχέση κόστους-απόδοσης είναι υψηλότερη σε σχέση με την αγορά και τη συντήρηση διακομιστών στις εγκαταστάσεις. [3]

Μοντέλα αρχιτεκτονικής υπηρεσιών cloud

Λαμβάνοντας υπόψη αυτά τα πλεονεκτήματα μιας υβριδικής λύσης cloud, που κυμαίνονται από αυξημένο έλεγχο ασφάλειας έως βελτιωμένη αξιοπιστία, είναι σημαντικό να κατανοήσουμε τις διάφορες αρχιτεκτονικές υπηρεσιών cloud. Αυτές οι αρχιτεκτονικές, δηλαδή το Infrastructure as a Service (IaaS), το Platform as a Service (PaaS) και το Software as a Service (SaaS), προσφέρουν διαφορετικά επίπεδα παροχής υπηρεσιών και καθορίζουν διαφορετικές ευθύνες για τη συμμόρφωση.

1. Infrastructure as a Service (IaaS)

Οι πάροχοι IaaS παρέχουνβασική υπολογιστική, αποθηκευτική και δικτυακή υποδομή, καθώς και τον υπερ-επιτηρητή (hypervisor) για την εικονικοποίηση. Οι χρήστες είναι υπεύθυνοι για τη δημιουργία και τη διαχείριση εικονικών περιπτώσεων, την εγκατάσταση λειτουργικών συστημάτων, την παροχή εφαρμογών και δεδομένων, καθώς και για τη συνολική διαμόρφωση. Το IaaS είναι ενδιαφέρον τόσο για μικρές επιχειρήσεις όσο και για ΜΜΕ. Η απλή χρήση μιας υποδομής cloud που δεν λειτουργεί ιδιόκτητα αποτελεί μια οικονομικά συμφέρουσα εναλλακτική λύση έναντι της αγοράς δικού σας υλικού.

Παραδείγματα: DigitalOcean, AWS, Azure, Google Compute Engine, Hetzner Cloud

2. Platform as a Service (PaaS)

Οι πάροχοι PaaS επεκτείνουν το stack εφαρμογών περισσότερο από το IaaS, συμπληρώνοντας λειτουργικά συστήματα και middleware (π.χ. βάσεις δεδομένων). Οι χρήστες επικεντρώνονται περισσότερο στην ανάπτυξη εφαρμογών. Η πλατφόρμα διαχειρίζεται την υποκείμενη υποδομή.

Παραδείγματα: AWS Elastic Beanstalk, Google App Engine.

3. Λογισμικό ως Υπηρεσία (SaaS)

Οι πάροχοι SaaS προσφέρουν ένα πλήρες stack εφαρμογών. Οι χρήστες μπορούν να έχουν πρόσβαση στην πλήρως φιλοξενούμενη εφαρμογή μέσω ενός web browser. Η διαχείριση των φόρτων εργασίας και των πόρων IT βρίσκεται εξ ολοκλήρου υπό τον έλεγχο του παρόχου SaaS, ενώ οι χρήστες έχουν ρητά τον έλεγχο των δεδομένων που δημιουργούνται από την εφαρμογή.

Παραδείγματα: Salesforce, Dropbox, Google Workspace, aBusiness Suite [4]

Το cloud στο δίκαιο των συμβάσεων

Οι συμβάσεις SaaS δεν έχουν ακόμη αντιμετωπιστεί ρητά από τον νομοθέτη. Μέχρι σήμερα, μια σύμβαση SaaS μπορεί να ταξινομηθεί νομικά μόνο ως μικτή σύμβαση, η οποία περιλαμβάνει πτυχές συμβάσεων παροχής υπηρεσιών, συμβάσεων έργου και συμβάσεων μίσθωσης. Ο εφαρμοστέος τομέας δικαίου εξαρτάται επομένως από το αντίστοιχο τμήμα παροχής της σύμβασης. Το κεντρικό στοιχείο μιας σύμβασης SaaS βρίσκεται κυρίως στο δίκαιο μισθώσεων, επειδή η παροχή λογισμικού είναι πιο εύκολα συγκρίσιμη με την παραχώρηση κυριότητας στο δίκαιο μισθώσεων. Δεδομένου ότι το λογισμικό δεν θεωρείται «πράγμα» κατά την έννοια του δικαίου μισθώσεων, επικρατεί επί του παρόντος η άποψη ότι οι συμβάσεις SaaS συνιστούν παραχώρηση για χρήση περιορισμένης χρονικής διάρκειας. Αυτό συνάδει με τις διατάξεις και τον στόχο που επιδιώκει το δίκαιο μισθώσεων. [5]

Οι συμβάσεις PaaS διαμορφώνονται σε μεγάλο βαθμό από τις Συμφωνίες Επιπέδου Υπηρεσιών (SLA), οι οποίες καθορίζουν τις ελάχιστες παροχές και ορίζουν τα δικαιώματα καθώς και τις υποχρεώσεις των δύο συμβαλλομένων μερών.

Η προστασία και η ασφάλεια των δεδομένων διαδραματίζουν καθοριστικό ρόλο, καθώς στις υπηρεσίες PaaS συχνά επεξεργάζονται ευαίσθητα δεδομένα. Η σύμβαση πρέπει να περιέχεισαφείς διατάξεις για την προστασία των δεδομένων προσωπικού χαρακτήρα. Επιπλέον, είναι αναπόφευκτο να καθοριστεί στη σύμβαση ποιος κατέχει την πνευματική ιδιοκτησία των εφαρμογών που δημιουργούνται, ενώ συνήθως ο χρήστης διατηρεί την ιδιοκτησία των εφαρμογών και ο πάροχος διατηρεί την ιδιοκτησία της πλατφόρμας. [6]

Συμπέρασμα

Ανεξάρτητα από το αν πρόκειται για μια νεοφυή επιχείρηση, μια εταιρεία επιχειρηματικών κεφαλαίων, μια ΜΜΕ ή μια μεγαλύτερη επιχείρηση, η ασφάλεια του cloud είναι ζωτικής σημασίας για κάθε επιχείρηση.

Σε αυτό το πλαίσιο, δεν πρέπει να λαμβάνεται υπόψη μόνο με ποιους παρόχους cloud επιθυμεί να συνεργαστείμια επιχείρηση , αλλά και ποιοι όροι θα τεθούν σε αυτό το πλαίσιο.

Τελικά, η ασφάλεια δεν αποτελεί αποκλειστική ευθύνη του παρόχου υπηρεσιών της τεχνολογίας cloud per se, αλλά οι εργαζόμενοι μιας επιχείρησης διαδραματίζουν εξίσου σημαντικό ρόλο στον τομέα της ασφάλειας του cloud.

Είναι απαραίτητο να επενδύεται τακτικά στην εκπαίδευση και την ευαισθητοποίηση των εργαζομένων, προκειμένου να διασφαλιστεί ότι διαθέτουν την απαραίτητη τεχνογνωσία για να χειρίζονται τις οδηγίες και τις διαδικασίες ασφάλειας. Ωστόσο, για να αξιοποιήσουν πλήρως το δυναμικό του cloud, οι επιχειρήσεις θα πρέπει να επενδύουν τόσο στη συντήρηση των δικών τους συστημάτων ή των συστημάτων εξωτερικών συνεργατών, όσο και στην πρόσληψη νέων υπαλλήλων στον τομέα της πληροφορικής. Με αυτόν τον τρόπο, μια επιχείρηση μπορεί να διασφαλίσει την ασφάλεια των συστημάτων και, ως εκ τούτου, να αυξήσει την ικανοποίηση των πελατών, με αποτέλεσμα να ενισχυθεί μακροπρόθεσμα η φήμη της.

Ένα σημαντικό σημείο καμπής στην επιλογή ενός εξωτερικού παρόχου cloud είναι από πάντα η εξάρτηση από ξένους παρόχους και οι κανονισμοί τους για την προστασία των δεδομένων. Οι επιχειρήσεις αντιμετωπίζουν αυτή την πρόκληση με μέτρα όπως ο ενδελεχής έλεγχος των κατευθυντήριων γραμμών για την προστασία των δεδομένων, υβριδικές προσεγγίσεις cloud για την ελαχιστοποίηση των κινδύνων, αξιολογήσεις των μέτρων ασφαλείας και των πιστοποιήσεων των παρόχων, εκτιμήσεις επιπτώσεων στην προστασία των δεδομένων, τακτική παρακολούθηση και ελέγχους, καθώς και την προετοιμασία για πιθανές παραβιάσεις της προστασίας των δεδομένων. Οι στρατηγικές ποικίλλουν ανάλογα με το μέγεθος και τον κλάδο της επιχείρησης, αλλά όλες εξυπηρετούν τον στόχο της διασφάλισης της συμμόρφωσης με την προστασία δεδομένων και της ελαχιστοποίησης των πιθανών κινδύνων κατά τη χρήση εξωτερικών υπηρεσιών cloud.

Βιβλιογραφία

Cloud Computing
https://www.swissbanking.ch/de/themen/digitalisierung-innovation-cyber-security/cloud-computing

Μοντέλο ανάπτυξης στο cloud (2014)
https://www.sciencedirect.com/topics/computer-science/cloud-deployment-model

Κατανοώντας το cloud - γνωρίζετε τι είναι το δημόσιο cloud και τι είναι το υβριδικό cloud; (2023)
https://www.speechlive.com/at/blog/die-cloud-verstehen-wissen-sie-was-eine-public-cloud-und-was-eine-hybride-cloud-ist

Τι είναι το IaaS; Ορισμός και χρήσιμες πληροφορίες
https://bsh-ag.de/it-wissensdatenbank/iaas-infrastructure-as-a-service/

Platform as a Service (PaaS) (2022)
https://www.computerweekly.com/de/definition/Platform-as-a-Service-PaaS

Τι πρέπει να προσέξετε κατά τη σύνταξη συμβάσεων SaaS (2022)
https://www.top.legal/wissen/saas-vertraege

Συμβάσεις Platform-as-a-Service (PaaS): Ένας οδηγός (2023)
https://www.anwalt.de/rechtstipps/platform-as-a-service-vertraege-paas-vertraege-ein-leitfaden-216904.html