Kako je bitcoin dostigao rekordno visoku cijenu u 2017. godini, zaposleni u tehnološkom i finansijskom sektoru sve češće su raspravljali o jednom pojmu – blockchainu, tehnologiji za pohranu podataka koja stoji iza nekoliko kriptovaluta. Šta je blockchain? Kako nam može pomoći u pogledu sigurnosti prilikom pohrane podataka? Kako će se koristiti u različitim industrijama? Šta bi kompanije trebale imati u vidu ukoliko žele uvesti blockchain i šta su potencijalni izazovi?
Izvor: a&s International
E-mail: redakcija@asadria.com

Blockchain tehnologija, koja je prvi put privukla veliku pažnju zbog bitcoina, smatra se ključnom tehnologijom nove generacije za mnoge industrije. Izraz “blockchain” sastavljen je iz “bloka” i “lanca”, s tim što je blok u ovom slučaju “kutija” za pohranu podataka, dok blockchain označava prikupljanje blokova podataka u obliku lanca. Svaki blok podataka je šifriran i dozvoljava pristup isključivo ovlaštenim korisnicima. Svi blokovi su međusobno povezani koristeći kriptografske principe poput lanaca. Čitav blockchain može također biti opisan kao niz zapisa podataka, kojim upravlja grupa kompjutera koji nisu u vlasništvu jednog entiteta. Drugačije rečeno, ne postoji centralni autoritet u sistemu za pohranu podataka, što ga čini demokratskim.

Struktura ovog sistema omogućila je CIA-i da na raspolaganju ima trojstvo cyber sigurnosti (povjerljivost, integritet i raspoloživost), kaže kaže Tanner Johnson, viši analitičar u oblasti cyber sigurnosne tehnologije i IoT-a u IHS Markitu. “Povjerljivost sprečava neautorizirane pojedince da pristupaju informacijama. Integritet ih sprečava da izmijene ili modifikuju informacije. Dostupnost osigurava da pojedinci koji imaju ovlaštenje uvijek imaju pristup neophodnim informacijama”, kaže Johnson. Osim toga, dodao je da neopozivost i autentičnost blockchaina pomaže pri sprečavanju pojedinaca da negiraju svoje akcije počinjene u digitalnom svijetu, jer blockchain pruža dokaze o njihovoj aktivnosti. Svako može pristupiti i vjerovati podacima koji se održavaju u blockchainu, bilo da se podaci dijele na javnoj ili privatnoj mreži. Blockchain ima veliki potencijal kada je u pitanju primjena u oblasti sigurnosti.

Primjene blockchaina
“Primjene blockchaina su neograničene kao i primjene bilo koje druge tehnologije. Ako postoji okruženje u kojem pojedinci žele na siguran način dijeliti informacije, blockchain tehnologija se može implementirati kako bi udovoljila ovom zahtjevu. Od opsežne analitike podataka iz clouda do transakcijskih podataka finansijskih ustanova, različiti vidovi zaštite koji se nude kroz blockchain tehnologiju mogu se primijeniti na svakom mogućem tržištu”, rekao je Johnson. Američko Ministarstvo domovinske sigurnosti koristilo je blockchain tehnologiju za osiguravanje prijenosa i skladištenje informacija prikupljenih iz širokog spektra izvora, od pojedinačnih sigurnosnih kamera do velikih podatkovnih centara. Čak se i podaci iz zastarjelih nadzornih uređaja mogu pohranjivati i čuvati na siguran način. Američki zvaničnici također razmatraju uvođenje blockchaina u sistemima Agencije za sigurnost u transportu (TSA). Trenutno se dobar dio posla te agencije odvija ručno i na osnovu vizuelne procjene. Uz blockchain tehnologiju, TSA se nada da će ubrzati, automatizirati i dodatno osigurati proces provjere identiteta na kontrolnim tačkama. Od ostalih industrija, poput bolnica, također se očekuje da će početi koristiti blockchain tehnologiju. Medicinske ustanove rade s ogromnom količinom ličnih i podataka vezanih za medicinska stanja pacijenata, koji bi lako mogle privući hakere i dovesti do krađe identiteta. Skladištenje podataka o pacijentu na blockchainu trebalo bi pomoći bolnicama da dodaju još jedan sloj zaštite svom sistemu.

Usvajanje blockchaina i dalje izazov
Blockchain nesumnjivo ima prednosti za kompanije i organizacije kada je u pitanju sigurnost. Međutim, usvajanje te tehnologije kao što je blockchain generalno nije jednostavan poduhvat. “Primijetio sam da je najveća prepreka usvajanju blockchaina u organizacijama suštinski manjak znanja. Čak i one organizacije koje su svjesne ove tehnologije mogle bi imati problema pri osmišljavanju sveobuhvatne strategije prelaska na nju, a da pri tome ne dođe do ometanja njihovih trenutnih operacija. Nažalost, sigurnost i praktičnost mogu biti uzajamno isključive stvari budući da, što je sistem sigurniji, to korisnik mora imati više stvari u vidu kako bi ga koristio. Osim ako su organizacije voljne potpuno naučiti kako najbolje implementirati blockchain tehnologiju uz istovremeno održavanje poslovnih operacija, mnoge bi mogle oklijevati da uvedu takvo rješenje”, kaže Johnson.

Blockchain pomaže u korporativnoj cyber sigurnosti
Zahvaljujući rastućim mogućnostima cloud računarstva i korporativnih podataka, većina kompanija premjestila je svoju infrastrukturu na internet. To smanjuje potrebu za upravljanjem lokalnim serverima i podatkovnim centrima, ali s druge strane čini infrastrukturu podložnom cyber napadima. Rastuća popularnost blockchaina u pogledu sigurnosti podataka rezultirala je povećanjem broja pružalaca sigurnosnih rješenja zasnovanih na blockchainu. Svaki od njih je kreirao drugačiji pristup i svaki se sa svojim rješenjima fokusirao na razne industrije. Naprimjer, indijski startup Block Armour razvio je sigurni sistem za zaštitu korporativnih podataka na način da ih hakeri ne mogu vidjeti i ukrasti. Block Armour kombinuje privatnu blockchain mrežu i TLS tehnologiju kako bi omogućio napredni softverski definisan perimetar (SDP) zasnovan na blockchain tehnologiji. SDP je sigurnosni okvir koji je razvila Alijansa za cloud sigurnost, a koji kontroliše pristup podacima na osnovu identiteta. Ovaj pristup podrazumijeva to da svi korisnici koji žele pristupiti određenoj infrastrukturi moraju biti autentificirani i autorizirani.

Kada je u pitanju phishing – česta hakerska strategija kojom napadači pokušavaju doći do načina na koji mogu lažirati identitet – Block Armourovo rješenje sadrži tri autentifikacijska procesa, uključujući lozinke, digitalni korisnički ID te digitalni ID uređaja, čime se hakerima može blokirati pristup sistemu te se korporativni podaci mogu adekvatno osigurati. “Razvili smo Secure Shield arhitekturu (SSA), koja štiti sistem i omogućava siguran pristup mreži. Sistemi su nevidljivi te su zaštićeni od poznatih i nepoznatih prijetnji. Samo je autentificiranim i autoriziranim korisnicima i uređajima dozvoljeno da vide i pristupe tim zaštićenim sistemima”, objašnjava Narayan Neelakantan, suosnivač i direktor Block Armoura.

Odmah uočite napade
Block Armourova rješenja pohranjuju digitalne identitete u privatni blockchain kako bi se omogućilo sigurno identificiranje korisnika i uređaja. Pored toga, zapisi o pristupu su pohranjeni i u blockchainu, što ih čini nepromjenjivim i neosporivim. Prema ovoj firmi, kompanijama i organizacijama u prosjeku je potrebno 100 dana da detektuju napad budući da su napadači u stanju izbrisati tragove hakiranja iz logova. Zahvaljujući navedenom rješenju koje logove pohranjuje u blockchain, kompanije će moći instantno vidjeti napade na svoj sistem. Block Armourovo Digital Vault cyber sigurnosno rješenje koristi se da zaštiti podatke o korisnicima u finansijskom sektoru. IoT Armour rješenje za sigurnu komunikaciju između IoT uređaja i cloud servera također je prihvatio proizvodni sektor. “Većina drugih cyber sigurnosnih rješenja na tržištu predstavlja specijalizirane proizvode. Naš cilj je omogućiti prednosti za kupce pomoću holističkog proizvoda. Nalazimo se među samo nekoliko proizvoda koji mogu zaštititi i lokalni i cloud sistem pomoću jedinstvene konzole. Također imamo mogućnost da zaštitimo IT i IIoT sisteme pomoću jedinstvene platforme”, kaže Neelakantan.

Ograničenja u pohrani
U oblasti sigurnosti podataka jedan od najvećih izazova je omogućavanje ograničenog pristupa autoriziranim korisnicima te osvježavanja podataka, kao i održavanje tih dozvola tokom životnog vijeka podataka ili za novokreirane podatke. Jedan od načina da se riješi taj problem jeste davanje kontrole vlasniku podataka. Blockchain to radi omogućavanjem mehanizma za granularni prilagodljivi pristup pohranjenim podacima. “Međutim, trenutno postoje ograničenja u pogledu veličine podataka koji se mogu pohraniti u blockchainu. Iako je u nedavnoj prošlosti bilo pokušaja da se riješi taj nedostatak, potrebno je još mnogo vremena prije nego što se ti problemi neutrališu”, kaže Neelakantan.

Standardizacija potrebna u ranoj fazi blockchain tehnologije
Uprkos brojnim prednostima koje blockchain može donijeti različitim industrijama, ova tehnologija je još u ranoj fazi. Alijansa za sigurni IoT (TIioTA), organizacija zasnovana na iskorištavanju blockchain infrastrukture radi osiguravanja i prilagođavanja IoT ekosistema, radila je sa Svjetskim ekonomskim forumom na okviru za najbolje prakse u oblasti blockchaina. Njen cilj je pažljivo razmotriti sve nepredviđene situacije kako bi kompanije mogle iskoristiti pun potencijal ove tehnologije te usput smanjiti rizik za svoje podatke. Alijansa je stoga razvila Arhitekturu distribuiranih referenci, razvojni okvir koji kombinuje blockchain tehnologiju i IoT cloud te vodi programere kroz implementiranje ove tehnologije u oblasti IoT-a.
TIoTA je dodala ovu arhitekturu u svoj program TIoTA izazova, koji okuplja inovatore i kompanije iz cijelog svijeta kako bi dizajnirali i implementirali inovativna blockchain rješenja te riješili probleme iz stvarnog svijeta. “U okviru ovog programa od učesnika se traži da mapiraju svoje primjere iz prakse u skladu s TIoTA referentnom arhitekturom, što je rezultiralo nekim neočekivanim projektima i kreativnim implementacijama blockchaina”, kaže Anoop Nannra, globalni šef u oblasti blockchain/DLT poslovanja u Cisco Systemsu i predsjedavajući TIoTA-e. Cisco Systems je jedan od suosnivača ove alijanse.

Blockchain u autonomnim automobilima
Zahvaljujući tehnologiji distribuiranih podataka, primjene blockchaina u IoT oblasti mogle bi imati određene prednosti. Bosch i Siemens, članice TIoTA-e, sarađivale su na autonomnom automobilu. On postaje inteligentni robot koji ljude može odvesti gdje god žele. Projekat zahtijeva da vozilo može bez problema obaviti razne zadatke samostalno, bez ikakve interakcije s ljudima. Kompanije su započele rad na projektu omogućivši automobilu da se sam autentificira na parkiralištu s rampom te plati parking-mjesto. Putnik koji sjedi u automobilu ne mora preuzeti kartu za parkiranje niti sam plaćati za nju. Automobil je u stanju sam završiti sve ove zadatke nezavisno i bez ikakvih problema.

“Primjeri iz prakse poput ovoga su stvarni, oni funkcionišu i omogućavaju validaciju upotrebe blockchaina”, kaže Nannra.
Ostali primjeri uključuju kreiranje sigurnih i prenosivih digitalnih identiteta, pametne ugovore za IoT proizvode, identitet i porijeklo IoT proizvoda, nepromjenjive zapise o senzorskim podacima i logovima te uređaje za plaćanje. Svi ovi primjeri zahtijevaju visok nivo sigurnosti. “Blockchain može transformisati način na koji identificiramo kompromitovane servere, računare ili aplikacije. Uz blockchain stotine ili hiljade posmatrača mogu zapisati male djeliće informacija kako bi se kreirao konsenzus o saobraćaju unutar mreže. Aktivnost verificira većina učesnika prije nego što se doda u trajni, enkriptirani zapis. Posmatrači na taj način mogu potvrditi podatke za mrežnog inžinjera, a time sama mreža postaje osnova za status fajlova. Zahvaljujući potpisanoj serijalizaciji, podaci se mogu poredati i ponovo sastaviti svaki put iz potpuno nasumičnih izvora. To mrežnu analizu čini mnogo efikasnijom te inžinjerima omogućava veći stepen povjerenja u tu analizu”, objašnjava Nannra. Međutim, Nannra je izrazio zabrinutost zbog trenutnog zastoja u primjeni blockchaina, koja je još nova tehnologija. Stoga je prerano da donosioci odluka definišu najbolje prakse za dizajniranje praktičnih blockchaina.

Iako je svijest o rizicima usporila širu primjenu tehnologije računarstva u oblaku (cloud), aplikacije kojima se pristupa putem virtuelnog okruženja postaju sve popularnije zahvaljujući rješenjima poput modela upravljanja identitetima i pristupom u vidu usluge
Priredila: redakcija a&s Adrije
E-mail: redakcija@asadria.com

Dixons Carphone, britanska kompanija koja se bavi maloprodajom tehnologije, prijavila je u junu 2018. godine „neovlašteni pristup podacima“, odnosno svojim serverima, pri čemu je bilo ugroženo oko 1,2 miliona informacija koje sadrže lične podatke. Važno je napomenuti da je ovo prvi medijski ispraćen slučaj narušavanja sigurnosti podataka u jednoj velikoj evropskoj korporaciji nakon donošenja Opće uredbe o zaštiti podataka (GDPR) Evropske unije 25. maja 2018. godine. Ovaj slučaj samo naglašava činjenicu da se stavovi prema cyber sigurnosti moraju promijeniti, odnosno da u složenom svijetu poslovnog računarstva nije dovoljno imati samo „sigurnu arhitekturu“.

Šira primjena računarstva u oblaku
Danas poslovno računarstvo postaje sinonim za ono koje se dešava u oblaku. Ipak, ovaj vid računarstva uz usluge koje se pružaju u oblaku i dalje predstavljaju izazov za velike korporacije. U ranim danima tehnologije oblaka sigurnost je često bila razlog za njenu sporiju primjenu u poslovnom svijetu jer kompanije nisu bile spremne da se odreknu kontrole nad svojim „perimetrima“. Čini se da ova nespremnost polako nestaje. Prema najnovijem izvještaju o globalnoj IT cloud infrastrukturi, koji je predstavila kompanija International Data Corporation (IDC), do kraja 2019. godine više novca će se uložiti u infrastrukturu oblaka nego u tradicionalnu tehnologiju centara podataka. Ovo je važna prekretnica i pokazatelj sve šire prihvaćenosti cloud tehnologije.
I Institut Ponemon je radio istraživanje o globalnoj sigurnosti podataka u oblaku. Pokazalo se da 79% ispitanika smatra da su aplikacije u oblaku važne za njihovo poslovanje i da će se oni u naredne dvije godine još više oslanjati na njih. Ipak, 75% ispitanika istovremeno vjeruje da je upravljanje propisima o privatnosti i zaštiti podataka složenije kada je u pitanju oblak nego kada se koriste lokalni serveri. Samo 44% ispitanika ima definisane funkcije i odgovornosti za čuvanje osjetljivih informacija u oblaku u okviru svojih organizacija. Nedostatak kvalitetnih nadzornih procedura je nešto što zakonodavci neće blagonaklono tretirati u slučaju povrede sigurnosti podataka.

Pružatelji usluga u oblaku ulažu dosta vremena i truda kako bi uvjerili svoje najveće klijente da su njihove infrastrukturne usluge sigurne i usklađene s propisima. Amazon AWS je, naprimjer, ocijenjen kao dovoljno robustan da može zadovoljiti zahtjeve američkog Ministarstva odbrane za fizičko razdvajanje servera uz primjenu tehnika logičkog razdvajanja.

Povećanje pouzdanosti
Potpredsjednik kompanije Gartner Research Jay Heiser vjeruje da pružatelji usluga koji koriste model infrastrukture kao usluge (IaaS) sada nude dovoljno kvalitetnu pouzdanost i sigurnost da će do 2022. godine oko 95% svih sigurnosnih incidenata u oblaku „ići na dušu klijenata“. „Za sada se većina prijavljenih sigurnosnih incidenata u oblaku pokazala kao posljedica grešaka samih korisnika. Primjeri uključuju nepravilne konfiguracije resursa za pohranu, nekorištenje višefaktorske autentifikacije za zaštitu korisnika i administratora te nepravilno korištenje API-ja, tj. interfejsa za programiranje aplikacija“, kaže Jim Reavis, izvršni direktor industrijske grupe Cloud Security Alliance (CSA).

Jačanju povjerenja u oblak trebalo je dosta vremena i truda, kaže on. „Najbolje prakse su implementirane i ponavljane tokom vremena“, objašnjava Reavis, „a rani korisnici clouda su dijelili iskustva kako bi kreirali detaljnije sigurnosne planove, kao što su preciznije smjernice za jačanje otpornosti sistema. Edukacija i kontakti sa državnim i regulatornim tijelima s ciljem odobravanja pružanja cloud usluga bili su ključni za jačanje poslovnog povjerenja.“ Od alata za upravljanje odnosima s kupcima u prodaji do onih za zajednički rad i dijeljenje sadržaja, cloud usluge su postale dio unutrašnjeg funkcioniranja kompanija.

Ključni sigurnosni izazovi
Ako je poslovni svijet većinski prihvatio tehnologiju oblaka, koji su specifični izazovi koje treba riješiti kako bi se smanjila prateća složenost njene sigurnosti, a istovremeno olakšalo upravljanje uslugama? Chris Martin, tehnički direktor britanske telekomunikacijske kompanije Powwownow, kaže da pored jačanja otpornosti infrastrukture na napade, za šta su zaduženi pružatelji usluga u oblaku, postoje četiri dodatne ključne oblasti na koje se treba fokusirati. „Identifikacija korisnika je veoma važna, kao i osiguravanje da podaci o klijentima ne budu slučajno podijeljeni s konkurentom koji koristi istog provajdera usluga u oblaku. Tu je i ograničavanje pristupa podacima samo na konkretne zaposlenike koji ga moraju koristiti jer im je to u opisu radnog mjesta. Na kraju, imamo i šifriranje podataka u tranzitu i mirovanju kako bi se smanjio rizik od iskorištavanja podataka u slučaju da dođe do kršenja njihove sigurnosti ili kompromitovanja“, kaže Martin.

Reavis iz udruženja CSA navodi kvalitetno šifrovanje, upravljanje ključevima, API pristup i pristup log-datotekama kao ključne adute sigurnosti za pružatelje usluga u oblaku. On smatra i da bi klijenti trebali provjeravati ključne standarde i propise, kao što su ISO 27001, standardi kontrole organizacija usluga (SOC) i usklađenost s GDPR uredbom kao pokazatelje kvalitetnog upravljanja. U IT odjelima i dalje postoji zabrinutost zbog gubitka kontrole, posebno kada su u pitanju pristup i korisničke privilegije te mogućnost praćenja ponašanja korisnika prilikom pristupa cloud uslugama. U istraživanju koje je radio Gemalto 51% ispitanika kaže da je teže ograničiti pristup uslugama koje se pružaju u oblaku, dok 43% smatra da nedovoljno poznaju sve cloud usluge koje se koriste u njihovoj kompaniji.

IT u sjeni
U tom smislu, usluge u oblaku su postale skoro „previše“ dostupne. Naprimjer, nekom timu je danas lako početi koristiti popularnu aplikaciju za dijeljenje sadržaja i zajednički rad kao što su Slack ili Dropbox, a da im pri tome ne treba ništa više osim web-preglednika i mogućnosti plaćanja preko kreditne kartice kompanije. Ovo je taj „IT u sjeni“ zbog kojeg direktori informatičke sigurnosti nemaju mira. Sa stanovišta zaposlenika, mnoge usluge u oblaku su brze, jednostavne za upotrebu i fleksibilne, kao i dizajnirane da podrže inovacije u segmentima u kojem ih korporacijski IT ne može pratiti.

„Nema ničega sumnjivog u pronalaženju kvalitetnog rješenja koje će pomoći vama i vašem odjelu da budete uspješni. Mnoga se revolucionarna rješenja uvode preko kreditne kartice i plaćaju na način da IT odjeli ne znaju za to“, navodi Per Werngren, predsjednik Microsoftove partnerske mreže IAMCP. Iz perspektive menadžera informatičke sigurnosti, tzv. IT u sjeni predstavlja problem jer se poslovni podaci o kompaniji mogu dijeliti preko infrastrukture u oblaku nad kojom oni nemaju kontrolu. To dovodi do sigurnosnog rizika, nedostatka prave odgovornosti i nepostojanja dokumentovane evidencije korištenja u slučaju da nešto krene naopako. Međutim, čak i kod odobrenih usluga uključivanje upravljanja identitetom u korporativne IT sisteme predstavlja stari izazov. Tu ključnu ulogu igra širenje kontrole koju administratori sa svojih mreža prenose na sam oblak.

Ko je ko i šta kažu brojke?
Informiranost o tome ko pristupa čemu i gdje, jedan je od ključnih principa savremene sigurnosti. U tome ključnu ulogu ima i mogućnost da se politike pristupa ograniče i mijenjaju. Administratori moraju imati kapacitet da „ručno“ promijene korisnikovu mogućnost pristupa podacima i, naprimjer u slučaju unapređenja ili otkaza, isto urade i automatski, ako se na korisnikovom nalogu otkrije neobično ponašanje. Principi “sigurnog dizajna” zahtijevaju kontinuiranu procjenu rizika na osnovu mrežne aktivnosti.

Američka telekomunikacijska kompanija Verizon radila je izvještaj o kršenju sigurnosti podataka za 2018. godinu. U njemu se navodi da je broj slučajeva povreda podataka povezanih s korisničkim akreditivima koji su ukradeni pomoću malvera bio toliki da ih se moralo izostaviti iz samog istraživanja. „Ovo su validni slučajevi kršenja“, ističu autori, „ali bi zbog velikog broja (više od 43.000) mogli zasjeniti sve ostale.“ Čak i bez ovih cifri, u 1.799 potvrđenih slučajeva povreda podataka koji su poslužili kao osnova za Verizonov izvještaj, ukradeni ili zloupotrijebljeni akreditivi bili su povezani s gotovo 50% napada.

Da situacija bude gora, oko 67% ispitanika u Gemaltovom istraživanju smatra da je upravljanje korisničkim identitetom nešto teže u oblaku nego u tradicionalnom IT okruženju. To je jedna od rijetkih stavki koja se nije poboljšala u protekle tri godine.
Loše je što nivo povjerenja ne raste uprkos tome što rješenja za upravljanje identitetom u oblaku već postoje. Upravljanje identitetom i pristupom kao uslugom (IDaaS) je relativno novi, ali i brzorastući sektor za koji Gartner predviđa da će činiti 40% svih usluga povezanih s identitetima do 2020. godine.

Šta je IDAAS?
IDaaS model je obećani „sveti gral“ digitalne sigurnosti, u smislu da je praktičniji za korištenje i sigurniji od tradicionalnih tehnologija. Model se temelji na principu nazvanom Smart Single Sign On (SSO), što znači da zaposlenici imaju jedan identitet pomoću kojeg se prijavljuju na usluge koje su im potrebne tokom radnog dana, a na osnovu unaprijed definirane politike pristupa. To SSO model čini praktičnijim rješenjem jer zaposlenici moraju pamtiti samo jednu lozinku i koristiti jedan dodatni token za dvostruku autentifikaciju po potrebi. SSO je i sigurnija opcija jer ograničavanje broja potrebnih akreditiva znači manju šansu da ih se zaboravi ili ponovo iskoristi za druge usluge. SSO autentifikacija je tradicionalno bila dio paketa usluga koje se hostiraju na lokalnom nivou, npr. Microsoft Active Directory. Prijenos ovih usluga u oblak nije uvijek jednostavan, a u nekim slučajevima je i nemoguć. Mnogi smatraju da rješenje leži u tome da se i samo upravljanje sigurnošću i identitetima prebaci u oblak.

„Šira primjena oblaka je donijela i IdaaS. Organizacije sada imaju pristup jedinstvenom rješenju za prijavu za pristup oblaku koje podržava infrastruktura za autentifikaciju“, kaže Jason Garbis, potpredsjednik sektora proizvoda u kompaniji Cyxtera, koja se bavi mrežnom sigurnošću. Sigurnost u oblaku podrazumijeva da se korisnici prijavljuju na jedinstveni portal putem kojeg IT odjeli imaju kontrolu nad upravljanjem. To im omogućava da autentificiraju korisnike za široki spektar usluga i protokola. IDaaS se pokazao posebno važnim u projektima digitalne transformacije u kompanijama.

„Za potrebe digitalne transformacije kompanije obično angažuju mnogo različitih vanjskih ugovarača i dobavljača u okviru svojih projekata. To proizvodi dodatni sigurnosni izazov: kako oni mogu zaštititi svoje mreže i kreirati siguran ambijent, a da istovremeno vanjskim akterima dopuste pristup svojim sistemima? Tu na scenu ulazi IDaaS tako što omogućava automatizirano i fleksibilno odobravanje te zabranu pristupa i upravljanje identitetima“, kaže Garbis. On objašnjava da je IDaaS nastao iz želje da se kompanijama omogući da povećaju svoju brzinu i agilnost, a da zadrže cjeloviti uvid u kontrolu pristupa.

Daljinski pristup lokaciji
Kontrola sigurnosti oblaka putem samog oblaka administratorima također daje mogućnost da utvrde konkretne politike pristupa u zavisnosti od same lokacije, što može biti ključno u eri mobilnog poslovanja. Naprimjer, ako se zaposlenik prijavi izvan ureda, od njega se može tražiti dodatni faktor za autentifikaciju. Ako se prijavljuje s radnog mjesta, naglasak se može staviti na praktičnost.
Tu su i dodatne prednosti. „IDaaS se mnogo brže implementira u poređenju s tradicionalnim lokaliziranim sistemima za upravljanje identitetima. On nudi i moderno i praktično korisničko iskustvo“, kaže Yogesh Patel, glavni analitičar podataka u kompaniji Callsign, koja razvija softver za autentifikaciju zasnovan na inteligenciji. Standardi kao što je SAML čine IDaaS platforme vrlo efikasnim za web-aplikacije. Proizvodi kao što su Zendesk, Office 365 i Salesforce podržavaju najnoviji SAML 2.0 protokol. Izazov s kojim će se suočiti pružatelji IDaaS usluga u budućnosti neće biti integracija više identiteta u oblaku, nego uključivanje tradicionalnih ureda u sistem. „Mnoge organizacije se još bore s integracijom ovih novih sistema sa svojom zastarjelom infrastrukturom. Pri tome mislim na zrele sisteme koji omogućavaju vođenje poslovanja“, kaže Patel.

Kako IDaaS platforme sazrijevaju kao tehnologija, one se počinju direktno baviti ovim problemima. Naprimjer, Gemaltov SafeNet Trusted Access sistem će uskoro dobiti podršku za prijave na osnovu tzv. infrastrukture javnih ključeva (PKI). To uključuje ogromnu većinu autentifikatora baziranih na CBA i konvergentna rješenja bazirana na značkama koja se trenutno koriste. To će organizacijama koje ulažu u PKI proizvode za logički i fizički pristup omogućiti da koriste iste tokene za pristup aplikacijama u oblaku ili u virtuelnim okruženjima.

Opet o GDPR-u
Kakve veze IDaaS ima s Općom uredbom o zaštiti podataka (GDPR)? Kvalitetna autentifikacija je put prema ispunjavanju zahtjeva o usklađenosti s propisima o zaštiti ličnih podataka, gdje god se oni primjenjivali. Nova potreba je i ona koja se tiče mogućnosti da se zaposlenima u multinacionalnim firmama omogući pristup podacima na osnovu toga gdje se nalaze, a ne samo prema onome što rade. Organizacija može, naprimjer, poželjeti da osigura da podaci iz Evropske unije budu vidljivi samo zaposlenima na njenom području. Uz adekvatne politike i platforme, to je mnogo lakše učiniti uz primjenu sigurnosti zasnovane na oblaku nego uz korištenje zasebnih platformi u odvojenim zemljama. Sve ove stvari se mogu riješiti pomoću IDaaS modela. Važno je, međutim, napomenuti da kada je riječ o sigurnosti u oblaku, ne postoji jedinstveno rješenje za sve probleme – potrebna je slojevita odbrana.

“IDaaS je oblast koja se brzo razvija, a u teoriji predstavlja i pogodan način da riješite pitanje upravljanja identitetom u mnogim kompanijama. Ipak, mnoge IT menadžere opterećuje pitanje odabira dobavljača i rizika da odabrani dobavljač postane žrtva velikog napada ili ugrožavanja podataka, što može ugroziti i pristup podacima vaše organizacije”, kaže Martin, predstavnik kompanije Powwownow. Budućnost sigurnosti u oblaku leži u kombinaciji sofisticiranih vidova odbrane i kvalitetnije obuke. “Mislim da ćemo u narednih nekoliko godina biti svjedoci jačeg oslanjanja na automatizaciju kako bismo držali korak s veličinom i dinamičnom prirodom oblaka”, kaže Reavis iz CSA. Prema njemu, konačna efikasnost će zavisiti od oslanjanja na DevOps koncepte, vještačku inteligenciju, mašinsko učenje i blockchain. „Poboljšanje edukacije i podizanje svijesti je najvažniji zadatak za organizacije koje žele osposobiti svoju radnu snagu u sigurnosti i pratiti nove trendove u ovoj oblasti. Nije dovoljno da sigurnosni menadžeri potroše jednu sedmicu godišnje da odu na predavanje. Ovaj proces mora biti kontinuiran kako bi se održao korak s promjenama“, zaključuje Reavis.