Korzystanie z usług chmurowych (wirtualnych serwerów) kusi wygodą i oszczędnością kosztów. Jednak czy to rzeczywiście tak bezpieczne i korzystne rozwiązanie dla przedsiębiorców?
Spis treści
Czy przechowywanie danych w chmurze jest bezpieczne?
Dane firmowe – umowy, dane pracowników, klientów i kontrahentów, wyniki finansowe, rachunki – to jeden z najcenniejszych zasobów każdego przedsiębiorstwa.
Wbrew pozorom, to nie włamania hakerów są najgroźniejsze dla informacji firmowych. Dane wyciekają ze względu na błędy popełniane przez pracowników, phishing (wykradanie wrażliwych informacji, np. haseł) czy ataki ransomware, czyli oprogramowania szyfrującego.
Wystarczy, że pracownik kliknie link lub załącznik umieszczony w e-mailu, a ransomware zaszyfruje dane na firmowych dyskach. Przestępcy obiecują zwrócić dostęp po otrzymaniu okupu. Nie zawsze dotrzymują słowa, a przedsiębiorstwu grozi utrata wiarygodności oraz klientów i kontrahentów.
Agresorzy używający ransomware zarobili w 2022 roku ok. 457 mln dolarów (raport Chainalysis), a audytorska firma KPMG szacuje, że 58 proc. film w Polsce zanotowała naruszenie cyberbezpieczeństwa (31 proc. to był atak ransomware).
Jak zatem zadbać o bezpieczeństwo danych firmowych?
Jak należy przechowywać dane firmowe?
Przechowując informacje firmowe w formie cyfrowej, należy m.in.:
- regularnie tworzyć kopię bezpieczeństwa – backup pomoże przywrócić dane po awarii systemu, cyberataku (np. zaszyfrowaniu plików przez przestępców) lub przypadkowym skasowaniu. Kopia bezpieczeństwa przyda się również w innych sytuacjach, np. podczas migracji danych;
- przestrzegać przepisów o ochronie danych osobowych, m.in. Rozporządzenie 2016/679 (RODO), Ustawy o ochronie danych osobowych, Ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną;
- zabezpieczyć dane przed niepowołanym dostępem, wyciekiem/wykradnięciem na skutek celowej działalności przestępców lub błędu pracowników;
- przemyśleć metodę przechowywania informacji firmowych (serwer lokalny, rozwiązanie chmurowe);
- przygotować wewnętrzne zasady dostępu do danych (nie każdy pracownik powinien mieć ten sam poziom dostępu);
- stosować profesjonalne oprogramowanie antywirusowe.
Serwery do przechowywania danych dla firm
Przedsiębiorcy mogą przechowywać dane na serwerach należących do firmy (kopia zapasowa lokalna) lub skorzystać z usług chmurowych (kopia danych zdalna).
Do zalet własnych serwerów należy m.in. niezależność od zewnętrznych dostawców usług chmurowych oraz mniejsze ryzyko, że osoby spoza firmy będą miały dostęp do wrażliwych danych lub przekażą je organom władzy.
Minusy?
Firmowe serwery mają często gorsze zabezpieczenie niż renomowane data center (a tylko z takich warto korzystać). Przedsiębiorstwo musi też inwestować w zakup i utrzymanie własnej infrastruktury do przechowywania danych. Im większa firma, tym większy koszt utrzymania własnych serwerów.
Firmy samodzielnie przechowujące dane muszą pamiętać o regularnym tworzeniu backupów (kopii zapasowych). To fundament cyberbezpieczeństwa przedsiębiorstwa i jedno z najbardziej skutecznych działań profilaktycznych.
Kopie bezpieczeństwa powinny być przechowywane na przynajmniej dwóch różnych nośnikach, np. zewnętrznych dyskach twardych (serwerach NAS), innych komputerach lub pamięci przenośnej.
PRZECZYTAJ TAKŻE:
- Archiwizowanie dokumentów księgowych – jak prawidłowo przechowywać dokumenty? Terminy przechowywania dokumentacji księgowej
- Faktury w chmurze a papierowe. Jak długo przechowywać faktury?
- Jak przechowywać faktury ustrukturyzowane?
- Bezpieczeństwo podpisów elektronicznych a ryzyko cyberataków
- Podpis i pieczęć elektroniczna a bezpieczeństwo firmy
Czy przechowywanie danych firmowych w chmurze jest bezpieczne?
Alternatywą dla przechowywania danych na własnych serwerach są usługi chmurowe. To coraz bardziej popularne rozwiązanie. Jest wygodne (nie trzeba utrzymywać własnej infrastruktury, pliki są dostępne z dowolnego miejsca i urządzenia) i uchodzi za bezpieczne, bo dane trzymane są poza firmowymi komputerami, a strzegą ich doświadczeni pracownicy, systemy cyberbezpieczeństwa i dopracowane procedury.
Kopia bezpieczeństwa zdalna tworzona jest na serwerze sieciowym lub wirtualnym dysku należącym do firmy specjalizującej się w usługach chmurowych.
Eksperci przekonują, dokumenty przechowywane w chmurze są bezpieczne.
Adam Marczyński ze spółki Chmura Krajowa tłumaczył w serwisie Zaufana Trzecia Strona, że nie było skutecznego ataku na chmurę. Wycieki informacji były spowodowane np. nieprawidłową konfiguracją, czyli złym korzystaniem.
Przechowywanie danych firmowych – w biurze czy zdalnie?
Co wybrać: chmurę obliczeniową (cloud computing) czy serwery lokalne (on-premise)?
Jeżeli chcemy mieć całkowitą kontrolę nad kopią danych, to właściwym rozwiązaniem będzie wykorzystanie własnej infrastruktury IT. To pociąga za sobą zakup serwerów, oprogramowania oraz stworzenie zespołu informatyków odpowiadającego za obsługę serwerów. Istotne mogą być też dodatkowe koszty on-premise, czyli np. energii elektrycznej czy też usunięcia awarii.
Tych wydatków nie mają przedsiębiorstwa, które wybrały chmurę obliczeniową. Co więcej, korzystając z cloud computing łatwiej dopasować usługę do własnych potrzeb, dodać dodatkową powierzchnię, precyzyjnie planować budżet firmy (brak nieprzewidzianych wydatków), zautomatyzować tworzenie backupu oraz ograniczyć koszty (brak inwestycji w sprzęt IT oraz płacenie tylko za realnie używaną przestrzeń w chmurze).
Przed wysłanie danych do chmury warto je zaszyfrować. Zyskamy pewność, że nikt niepowołany nie będzie miał do nich dostępu.
Przechowywanie danych w chmurze a RODO
Przedsiębiorca przechowujący dane w chmurze musi pamiętać o przestrzeganiu przepisów dotyczących ochrony danych osobowych. To m.in. Rozporządzenie 2016/679 (RODO).
W praktyce oznacza to, że administrator danych osobowych odpowiada za naruszenie przetwarzanych danych.
Spójrzmy na taki przykład. Firma prowadząca sklep online przechowuje dane swoich klientów w chmurze. Doszło do incydentu i część danych osobowych wyciekło do internetu. W takiej sytuacji to administrator będzie musiał udowodnić podczas kontroli UODO, że dobrze zadbał o zabezpieczenie informacji, np. upewnił się, że usługodawca zapewnił odpowiedni poziom ochrony danych oraz zawarł z nim umowę powierzenia danych.
Firmy mogą korzystać z wirtualnych serwerów zlokalizowanych poza terytorium UE i Europejskiego Obszaru Gospodarczego. Zgodnie z RODO, przekazanie danych jest możliwe jeżeli to państwo zapewnia odpowiedni stopień ochrony, czyli m.in. praworządność, poszanowanie praw człowieka i podstawowych wolności, odpowiednie ustawodawstwo (art. 45 RODO). Z tego punktu widzenia należy poważnie rozważyć wybór chmury zarządzanej przez firmy np. z Chin.
Podsumowanie
Przechowując dane firmowe mamy do wyboru rozwiązanie on-premise, czyli na serwerach lokalnych oraz cloud (w chmurze). Oba sposoby mają swoich zwolenników, choć przewagę zdobywa model cloud computing – jest bezpieczny, wygodny skalowalny i pozwala ograniczać koszty prowadzenia przedsiębiorstwa.
Przeczytaj więcej w kategorii prawo gospodarcze.
