Kad su stručnjaci hrvatske tehnološke tvrtke NVTeh odlučili provjeriti do kakvih sve javno dostupnih podataka korisnika mogu doći u Amazonovom »oblaku«, znali su da da bi ondje mogli pronaći svega i svačega, ali ono do čega su uspjeli doći ipak ih je ostavilo poprilično iznenađenima: osobni podaci, povjerljivi ugovori zaposlenika i klijenata, izvorni programski kodovi, pa čak i sekvence ljudskog genoma.

Sve su to u »oblaku« na nepreglednim serverima Amazon Web Servicea (AWS) ostavili korisnici iz različitih tvrtki, čak i onih s Fortune 100 liste, i institucija, ne pridržavajući se nekih osnovnih sigurnosnih pravila, a ono što je u cijeloj priči dodatno zabrinjavajuće jest to što na praktički isti način, na koji su to uspjeli stručnjaci ove zagrebačke tvrtke, do istih podataka može doći bilo tko tko ima pristup AWS alatima i osnovna znanja o njihovom korištenju.

Zanemarivanje struke

Zabrinjavajuće informacije o značajnim nedostacima u pristupu skladištenju i osiguravanju podataka kod tržišnih lidera na području oblačnih, iliti cloud ješenja, Amazon Web Serviceu, NVTeh je objavio na svom blogu, a ova se informacija potom brzo prošilirila po društvenim mrežama i portalima. Vijest je izazvala velik interes kod kompanija koje koriste popularno Amazonovo rješenje za skladištenje podataka i poslovnih informacija, koje tvrtke klasificiraju kao poslovnu tajnu. Domaći stručnjaci stoga upozoravaju na prijeko potreban oprez pri korištenju cloud rješenja u korporativne svrhe.

Ivo Ugrina

– Zanemarivanjem stručnog pristupa izradi rješenja vaši podaci mogu postati javni, a poslovanje ugroženo, napominje Ivo Ugrina iz zagrebačkog NVTeha, hrvatske IT kompanije koja se bavi isporukom rješenja za »cloud computing« te savjetovanjem u području oblačnih rješenja s velikim iskustvom rada na međunarodnim projektima te nizom uglednih privatnih i javnih društava kao klijenata na tržištima Europske unije i SAD-a.

«Cloud computing« predstavlja jedan od najbrže rastućih trendova u području informacijske tehnologije jer ovakva rješenja omogućavaju fleksibilnije operativne troškove poslovanja kod tvrtki te plaćanje resursa po utrošku umjesto kapitalnih ulaganja. Amazon je među prvima krenuo s uslugama u oblaku kada je 2006. godine osnovao Amazon Web Services (AWS) koji je kod mnogih klijenata postao zamjena za osobne podatkovne centre. Danas je AWS izraziti tržišni lider na području poslovanja u »oblaku«.

Ljudski faktor

IT stručnjaci iz zagrebačke tvrtke NVTeh tvrde da podaci skladišteni u »oblaku« s malom neopreznošću mogu postati javno dostupni, a svoje istraživanje su prezentirali već i na konferenciji DORS/CLUC – Dani otvorenih računarskih sustava. U analizi koju je proveo R&D tim NVTeha izložili su niz primjera o rizičnosti postavljanja podataka u oblak te važnosti »najbolje poslovne prakse« prilikom pohranjivanja i zaštite korporativnih podataka.

Amazon

NVTeh-ovi eksperti odlučili su istražiti korištenje opcije za javno dijeljenje virtualnih čvrstih diskova na AWS-u te su došli do zapanjujućih otkrića: korisnici koji su javni profil formirali »samo na sekundu« kako bi prebacili podatke, pritom se nadajući da će to uspjeti obaviti samo interno, učinili su veliku potencijalnu štetu za svoje tvrtke. NVTeh-ov tim razvio je sustav za analizu javno dostupnih slika čvrstih diskova i pronašao niz javno dostupnih financijskih, pravnih, medicinskih i drugih podataka čak i vrlo uglednih kompanija te raznih baza korisnika koje bi trebale ostati u zoni privatnosti. Dok je Amazon u posljednjih deset godina, od pokretanja svog AWS oblačnog servisa poduzeo znatne napore kako bi tvrtkama pružio kvalitetnu edukaciju pri implementiranju njihovih servisa u njihovu postojeću IT infrastrukturu, sigurnost, kao i na mnogo drugih područja, pada kad se uključi ljudski faktor. Ne pomažu tu previše ni Amazonovo jasno upozorenje pri uključivanju javne opcije dijeljenja virtualnih čvrstih diskova.

– Slično kao i kod uporabe noža, poreže se onaj koji ga nepravilno koristi. Korištenje servisa u »oblaku« znači spremanje podataka na računalima koje ne posjedujete. Za pogreške učinjene u oblaku, stoga, mnogo je veća šansa da će postati javne, a posljedice idu od običnih neugodnosti do gubitka podataka klijenata i znatne financijske štete, napominje Ivo Ugrina.

Među nizom drugih stvari istraživači NVTeha uspjeli su doći do podataka nekih vodećih američkih sveučilišta koji sadrže detaljne kartone pacijenata, uključujući i njihove genske sekvence, kao i do sigurnosnih postavki i ključeva za pristup podacima tvrtki koji se nalaze na listi Fortune 100 najuspješnijih. Pronašli su, uz to, i gomilu drugih jako osjetljivih podataka, kao što su konfiguracije web servera, SSH ključevi i već ranije spomenuti izvorni programski kodovi, koje softverske kompanije inače ljubomorno čuvaju od konkurencije.

Šok i nevjerica

Budući da je NVTeh poduzeo ovo istraživanje kako bi upozorili na opasnosti kojima se tvrtke izlažu pri nepridržavanju osnovnih sigurnosnih pravila, poput enkriptiranja svojih podataka u »oblaku«, pokušali su kontaktirati sve tvrtke i institucije kojima su ti podaci pripadali. Rezultati su im bili polovični: dok su neke tvrtke odmah odgovorile te u suradnji s njima pokušale poduzeti korake da spase svoje podatke, nije bilo malo onih, čak u svjetskim okvirima vrlo značajnih kompanija, koje im na poruke i mailove nisu našle shodno ni za odgovoriti. I oni koji su im odgovorili te s NVTehom dogovorili telekonferenciju, u početku njihova upozorenja nisu shvaćali ozbiljno. Sve dok im iz NVTeha ne bi zorno predočili do čega su sve uspjeli doći.

– U tom trenutku izraz lica bi im se poptuno promijenio, prisjeća se Ugrina.

Pojedini predstavnici kompanija potom su čak počeli očajavati. Neki su čak sazvali sjednice svojih uprava kako bi o tome raspravili, dok su drugi iskreno priznali: »Postane li ovo javno, moglo bi nas u potpunosti uništiti«.

Sve je to bilo rezultat višemjesečnog istraživanja tima NVTeha, na čelu s glavnim inženjerom R&D odjela, Nevenom Vučinićem.

– Istraživanje je potaknuto svjesnošću da je većina korisnika naprednih oblačnih rješenja nekadašnji korisnik prijašnjih, neoblačnih, rješenja te sa sobom donose navike koje mogu biti problematične unutar modernih cloud sustava. Također, učestalo se može vidjeti i zanemarivanje najboljih praksi pri izradi rješenja s pristupom da propust neće biti otkriven ako bude vidljiv »samo par minuta«. Kao što je naše istraživanje pokazalo, nestručan pristup sigurnosti podataka može dovesti do ozbiljnih pravnih i financijskih posljedica te je nažalost znatno učestaliji no što se mislilo. Zaposlenicima treba stalno naglašavati da su podaci jedna od temeljnih vrijednosti tvrtke. Kao IT profesionalci imamo odgovornost da druge i sebe konstantno educiramo, promoviramo najbolje prakse te odradimo težak posao da bi se naše klijente zaštitilo što je više moguće, pojasnio je Ivo Ugrina.

Pali i »obavještajci«

Ova je tematika, očekivano, zainteresirala i svjetske medije, s obzirom na to da je američka kompanija UpGuard u isto vrijeme objavila članak da su na Amazonovom »oblaku« bili javno dostupni osjetljivi dokumenti, s oznakom tajnosti, jedne od američkih obavještajnih agencija – Nacionalne geospacijalne agencije. Nekao u isto vrijeme, piše The Next Web, tvrtka OneLogin, koja klijentima sustav sigurnog pristupa korporativnim podacima za njihove zaposlenike, partnere i klijente, objavila je da je napadač uspio dobiti pristup do seta njihovih AWS ključeva. Budući da se, po svemu sudeći, ne radi tek o izoliranim incidentima, jasno je da upozorenja zagrebačkog NVTeha dolaze u pravo vrijeme, a na tvrtkama koje koriste Amazonova oblačna rješenja je da poduzmu prave korake kako bi zaštitile svoje i privatne podatke svojih klijenata i korisnika, kako bi izbjegli razne neugodnosti, ali i štete koje bi se mogle brojati u milijunima dolara.