Wśród potencjalnych zagrożeń cloud computing wymienia się często problem bezpieczeństwa danych przechowywanych i przetwarzanych w chmurze. O ile bezpieczeństwo rozumiane jako odporność na utratę danych zapewniane jest najczęściej przez dostawców usług w stopniu bardzo wysokim, o tyle na temat ochrony informacji przed niepowołanym dostępem opinie nie są jednoznaczne. Wydarzenia ostatnich tygodni pokazały, że dbałość o zabezpieczenia jest bardzo ważna.
Bardzo głośny stał się przypadek wykradzenia firmie Sony ogromnej ilości danych użytkowników sieci Playstation Network. Hakerzy zdobyli dane teleadresowe i hasła 77 milionów (sic!) klientów Sony, najprawdopodobniej łącznie z numerami kart kredytowych. Zrobiła się oczywiście wielka afera, poszkodowani się frustrują, koncern przeprasza i stara się jakoś uratować twarz (swoją drogą ciekawe, na ile to się uda). Cała sprawa pokazuje jednak przede wszystkim, jak trudno jest w stu procentach zabezpieczyć dane.
Jerzy Stuhr śpiewał, że nie ma takiej rury, której nie można odetkać. Parafrazując można rzec, że nie ma systemu, do którego nie można się włamać. No, jest jeden sposób – całkowicie odłączyć system od Internetu. Pomysł bardzo kiepski w przypadku usług cloud computing, z definicji funkcjonujących w sieci.
Nie wiemy na razie, co zawiodło w przypadku Sony. Być może zabezpieczenia były dziurawe. Ale dziury w oprogramowaniu były, są i będą – i póki co nie widać na to żadnej rady. Nie można wykluczyć, że zadecydował czynnik ludzki. Kto wie, może nawet swoją rolę odegrał szpieg – dywersant? Przecież źródłem ogromnych wycieków, z których zasłynął nie tak dawno serwis WikiLeaks, byli zawsze konkretni ludzie, którzy dane te wykradali, z różnych pobudek.
Prawda jest taka, że im więcej cennych danych będzie przechowywanych w chmurach, tym większy wysiłek będą inwestować hakerzy, aby te dane zdobyć. A wszystko zmierza właśnie w tym kierunku. Spójrzmy choćby na sklep iTunes. Miliony kont klientów z pełnymi danymi adresowymi, numerami kart kredytowych (włącznie z kodem CVV/CVC!) oraz historią zakupów. Nie ma najmniejszej wątpliwości, że próby ataku na tę bazę danych już były wykonywane – i na pewno wciąż będą.
Tymczasem użytkownicy coraz chętniej używają usług cloud computing. Przechowujemy swoje zdjęcia na różnych serwisach fotograficznych, notatki w Evernote, a nawet pliki w serwisie DropBox. Znam osoby, które przechowują tam dane najwyższej wagi, np. pliki z hasłami do różnych serwisów i aplikacji. Dlatego warto również krótko zastanowić się nad modnym pojęciem prywatności. Dotyczy ono nie tylko cloud computing, ale ogólnie całej naszej obecności w Internecie. W miarę jak coraz więcej naszych danych – miast znajdować się wyłącznie na naszych twardych dyskach – trafia do sieci, temat staje się coraz bardziej popularny. A jednocześnie coraz ważniejszy.
Podobnych przykładów można podawać znacznie więcej. Coraz popularniejsze stają się Dokumenty Google, a firma Microsoft również oferuje swój odpowiednik – Office 365. Istnieje wiele firm, które w swojej działalności opierają się na Gmailu, kalendarzu i dokumentach Google. Wielu nieco bardziej tradycjonalistycznych biznesmenów nie jest wręcz w stanie tego pojąć. Coś, co zawsze było dla przedsiębiorstwa bardzo cenne, stanowiło ściśle strzeżone tajemnice handlowe i biznesowe, teraz przechowywane jest na serwerach amerykańskiego giganta, o których tak naprawdę przecież niewiele wiemy.
Wydaje się jednak, że największym zagrożeniem dla swojej prywatności i bezpieczeństwa własnych danych są… sami użytkownicy. Nie ma lepszego „zaproszenia” dla złodziei danych niż wykorzystanie bardzo prostego do złamania hasła. Niedawno czytałem o badaniach, które pokazały, jakie są najpopularniejsze hasła używane w Internecie. Włos się jeży na głowie. Aż 79% pytanych tworząc hasła stosuje najbardziej niebezpieczne zasady – np. wykorzystując imię swoje lub kogoś bliskiego, albo datę urodzenia. Wśród najczęściej spotykanych haseł królują „123456″, „12345″ oraz różne warianty słowa „password”! (W Polsce zapewne w czołówce byłaby nazwa pewnej tylnej części ciała). Okazuje się również, że 26% respondentów używa takiego samego hasła we wszystkich serwisach i aplikacjach. Jeżeli login też jest taki sam, dekonspiracja hasła uzyskuje od razu katastrofalny zasięg.
Tragiczne jest to, że osoby, które popełniają tego typu błędy, robią to zupełnie nieświadomie. Zagadnienia dotyczące bezpieczeństwa i prywatności to temat na tyle nowy, że świadomość potencjalnych zagrożeń i sposobów obrony przed nimi jest dziś wciąż bardzo niska. Hasła to tylko jeden przykład, ale nie jedyny. Wystarczy spojrzeć, co dzieje się w serwisach społecznościowych. Dla wielu osób nie ma żadnych granic – piszą o wszystkim, publikują zdjęcia, zamieszczają liczne informacje o sobie, nie tylko o ulubionych filmach czy książkach, ale także np. o poglądach politycznych itp. Zapewne większość z tych osób nie ma w ogóle świadomości istnienia jakichkolwiek ustawień prywatności. Zachłyśnięci możliwościami, dawanymi przez technologię XXI wieku, ochoczo dzielą się z całym światem swoim prywatnym życiem.
Ostatnio głośno było o wypowiedzi Juliana Assange’a (założyciela WikiLeaks), który nazwał Facebooka „najbardziej przerażającą machiną do szpiegowania, jaką kiedykolwiek wynaleziono”. Assange powiedział m.in.: „Facebook to najbardziej szczegółowa baza danych o ludziach, ich kontaktach towarzyskich i rodzinnych, nazwiskach, adresach, miejscu aktualnego pobytu, sposobie komunikowania się. Wszystko to znajduje się w USA i dostępne jest amerykańskim organizacjom wywiadowczym.”
Trudno osądzić, czy w istocie amerykańskie służby mają pełny dostęp do bazy danych Facebooka. Moim zdaniem co najmniej mogą mieć. Niedawno dowiedzieliśmy się na przykład, że TomTom – producent nawigacji samochodowych – potwierdził, że dane zbierane przez te urządzenia przekazywane są lokalnym władzom i policji. Nie przypuszczam, by był to odosobniony przypadek. Tak czy inaczej należy znów przypomnieć: „nie ma systemu, do którego nie można się włamać”.
Walkę o bezpieczeństwo naszych danych w sieci musimy zacząć do siebie. To my w pierwszej kolejności musimy zrobić wszystko, aby – po pierwsze – nie umieszczać tam niczego, co nie musi się tam znajdować, a po drugie – jak najlepiej zabezpieczyć resztę. Na końcu pozostaje kwestia zaufania do dostawcy usług. Zaufanie to zawsze powinno być choć trochę ograniczone. Na tyle, aby zachować czujność, oraz rozsądek i umiar w udostępnianiu swoich prywatnych danych.