Η αβεβαιότητα και τα κενά ασφαλείας στο Cloud

Ακόμα και σήμερα, πολλές Δημοτικές Αρχές και οι υπηρεσίες τους είναι επιφυλακτικοί σχετικά με τις υποδομές cloud. Η βάση αυτής της επιφυλακτικότητας είναι ζητήματα ασφάλειας και συνέχειας λειτουργίας, καθώς τα υπάρχοντα πληροφοριακά συστήματα και η αρχιτεκτονική τους δεν λαμβάνουν υπόψη τις νέες τάσεις στις υποδομές cloud.

Τα τελευταία χρόνια, οι πάροχοι cloud έχουν αποδείξει ότι οι υπηρεσίες και οι υποδομές που προσφέρουν είναι πιο αξιόπιστες από πολλές λύσεις που βασίζονται σε τοπικές εγκαταστάσεις, παρόλο που έχουν σημειωθεί σημαντικές διακοπές λειτουργίας. Για την επίλυση θεμάτων ασφαλείας, οι πάροχοι έχουν εισαγάγει ένα ευρύ φάσμα νέων υπηρεσιών. Επιπλέον, έχουν αναπτυχθεί νέα εργαλεία που βοηθούν στη μετανάστευση και την προσαρμογή των υπαρχόντων πληροφοριακών συστημάτων και βάσεων δεδομένων στο cloud.

Οι περισσότεροι Δήμοι επιλέγουν πλατφόρμες cloud από κορυφαίους παρόχους, όπως οι AWS, GCP και Azure. Πολλοί μεγάλοι Δήμοι βλέπουν τους παρόχους αυτούς ως επιπρόσθετους πόρους για τα υπάρχοντα τοπικά πληροφοριακά συστήματα. Αναλύσαμε τη δημοτικότητα κάθε πλατφόρμας μεταξύ των χρηστών για να εντοπίσουμε τα κύρια κριτήρια επιλογής.

Για παράδειγμα, ένας Δήμος από την Ελβετία επέλεξε την Azure λόγω της φυσικής παρουσίας της στην περιοχή, καθώς οι απαιτήσεις επεξεργασίας δεδομένων στη χώρα είναι πολύ αυστηρές.

Πολλοί Δήμοι προβληματίζονται πρωτίστως από τις τοπικές κανονιστικές απαιτήσεις, οι οποίες επιβάλλουν περιορισμούς στον τόπο επεξεργασίας και αποθήκευσης δεδομένων. Υπάρχουν περιπτώσεις όπου ένας Δήμος δραστηριοποιείται σε πολλές περιοχές και απαιτείται συμμόρφωση με τη νομοθεσία για την ασφάλεια των πληροφοριών σε πολλές χώρες.

Υπήρξε μια δύσκολη περίπτωση όπου ένας Δήμος ανέπτυσσε παγκόσμια δραστηριότητα, λειτουργώντας στην Αμερική, την Ευρώπη και την Αυστραλία. Η AWS, λόγω της γεωγραφικής της διασποράς, επέτρεψε τον σωστό καταμερισμό της βάσης δεδομένων και τη συμμόρφωση με τις απαιτήσεις των τοπικών ρυθμιστικών αρχών σε κάθε περιοχή.

Ως μέρος της ανάλυσής μας, επιλέξαμε τρεις περιοχές AWS για την αποθήκευση προσωπικών δεδομένων: Νέα Υόρκη, Φρανκφούρτη, Σίδνεϊ. Η εφαρμογή κατανεμήθηκε στις συγκεκριμένες περιοχές και διαμορφώθηκε ώστε να χρησιμοποιεί περιφερειακά συστήματα διαχείρισης βάσεων δεδομένων για την αποθήκευση προσωπικών δεδομένων.

Τομείς συμμόρφωσης υποδομών Δήμου ως προς τους κανόντς GDPR:

Εδαφική Κάλυψη
Ο καθορισμός του αν ο GDPR ισχύει για τις δραστηριότητες ενός Δήμου είναι κρίσιμος, ώστε ο Δήμος να μπορεί να ανταποκριθεί στις υποχρεώσεις συμμόρφωσης.

Δικαιώματα Υποκειμένων Δεδομένων
Ο GDPR επεκτείνει τα δικαιώματα των υποκειμένων δεδομένων με διάφορους τρόπους. Είναι απαραίτητο να διασφαλίζεται ότι λαμβάνονται υπόψη τα δικαιώματα των υποκειμένων κατά την επεξεργασία των προσωπικών τους δεδομένων.

Ειδοποιήσεις Παραβίασης Δεδομένων
Ως υπεύθυνος επεξεργασίας δεδομένων, ένας Δήμος πρέπει να αναφέρει παραβιάσεις στις αρμόδιες αρχές προστασίας δεδομένων χωρίς αδικαιολόγητη καθυστέρηση. Σε όλες τις περιπτώσεις, η ειδοποίηση πρέπει να αποστέλλεται εντός 72 ωρών από την ανίχνευση της παραβίασης.

Υπεύθυνος Προστασίας Δεδομένων (DPO)
Ενδέχεται να είναι απαραίτητο να οριστεί Υπεύθυνος Προστασίας Δεδομένων (DPO), ο οποίος θα επιβλέπει την ασφάλεια των δεδομένων και άλλα ζητήματα που σχετίζονται με την επεξεργασία προσωπικών πληροφοριών.

Εκτίμηση Αντικτύπου Προστασίας Δεδομένων (DPIA)
Ορισμένες περιπτώσεις απαιτούν τη διενέργεια εκτίμησης αντικτύπου και την υποβολή αναφοράς στην αρμόδια Αρχή Εποπτείας DPIA.

Συμφωνία Επεξεργασίας Δεδομένων (DPA)
Για τη συμμόρφωση με τον GDPR, μπορεί να απαιτείται μια Συμφωνία Επεξεργασίας Δεδομένων (DPA), ειδικά όταν προσωπικά δεδομένα μεταφέρονται εκτός της Ευρωπαϊκής Οικονομικής Ζώνης.

Δεν ικανοποιούν όλες οι υπηρεσίες των παρόχων cloud τις απαιτήσεις του ρυθμιστικού φορέα, και τέτοιες περιπτώσεις μπορεί να είναι ιδιαίτερα περίπλοκες. Ακόμα και με μια ισχυρή τεχνική ομάδα, δεν είναι πάντα εφικτό να κατανοηθούν όλες οι λεπτομέρειες και να δημιουργηθεί μια υποδομή που να συμμορφώνεται με τις απαιτήσεις προστασίας δεδομένων. Για παράδειγμα, οι ευρέως δημοφιλείς υπηρεσίες ECS και EKS δεν υποστηρίζουν κρυπτογράφηση δεδομένων, γεγονός που δυσχεραίνει τη χρήση dockerized εφαρμογών και των πρόσθετων πλεονεκτημάτων που προσφέρουν οι πάροχοι cloud.

Αυτό δεν σημαίνει ότι η χρήση αυτών των υπηρεσιών είναι αδύνατη. Σημαίνει ότι πρέπει να χρησιμοποιηθούν σωστά, να διασφαλιστεί η κρυπτογράφηση δεδομένων με άλλους τρόπους ή να χρησιμοποιηθούν μόνο ως υποστηρικτικές υπηρεσίες για τον πυρήνα επεξεργασίας δεδομένων.

Αυτό είναι μόνο ένα μικρό παράδειγμα. Σήμερα, υπάρχουν πολλές περισσότερες υπηρεσίες και, φυσικά, ανάγκες για τους Δήμους, και έτσι πρέπει να καλύπτονται πολλές άλλες απαιτήσεις, όπως HIPAA, PCI-DSS, ISO 27017, ISO 27018.

Η ανάλυση των υποδομών που χρησιμοποιούν οι Δήμοι έδειξε ότι τρεις στους τέσσερις Δήμους, όπου η υποδομή είχε σχεδιαστεί ανεξάρτητα, αντιμετωπίζει προβλήματα συμμόρφωσης. Σήμερα, για να διασφαλιστεί το απαιτούμενο επίπεδο ασφάλειας δεδομένων, οι Μηχανικοί Ασφάλειας Cloud εμβαθύνουν στις διαδικασίες του Δήμου για να τις κατανοήσουν. Καθορίζουν τι χρειάζεται ένας Δήμος για να λειτουργεί αποτελεσματικά και πώς να διασφαλιστεί η συνέχεια των υπηρεσιών.

Κατά κανόνα, τα πρότυπα και οι απαιτήσεις δείχνουν τη γενική φύση των προβλημάτων, και αυτά απλώς πρέπει να λυθούν. Ωστόσο, δεν περιγράφουν τα απαραίτητα μέσα για την επίλυση αυτών των προβλημάτων. Οι υπηρεσίες που παρέχουν οι πάροχοι επιλύουν μόνο εν μέρει αυτά τα θέματα.

Είναι απαραίτητο να προσαρμοστούν τόσο οι διαδικασίες όσο και οι εφαρμογές του Δήμου. Πρέπει να ληφθεί υπόψη ότι η συμμόρφωση με τις απαιτήσεις δεν καθιστά τα συστήματα ασφαλή. Είναι απαραίτητο να οικοδομηθεί ολοκληρωμένη προστασία για την υποδομή, τα πληροφοριακά συστήματα και τις υπηρεσίες του Δήμου. Διότι, εκτός από τα δεδομένα, πρέπει να προστατεύεται και η πνευματική ιδιοκτησία καθώς και η φήμη του Δήμου.