Kütt: pilves vajab andmekaitse erilist tähelepanu

19. veebruaril toimuvale "Pilvekonverentsile 2015" tuleb pilvetehnoloogia turvalisusest rääkima Riigi infosüsteemi arhitekt Andres Kütt. Küsisime, millised turvalisuse riske pilvetehnoloogia endas kätkeb ja mida tulevik toob.

Millised arengud pilvetehnoloogias meid tulevikus ees ootavad, milliseid muutusi on tulemas?

Usutavasti asume me pilvega praegu kusagil arengukurvi tipu lähedal. Tipule järgneb tavaliselt kiiresti sügav Illusioonide Purunemise Org mis läheb sujuvalt üle Kasulikkuse Platooks. See meid ilmselt lähiajal ees ootabki. Pilveteenuse pakkujate hulk väheneb ning nende pakutavad teenused muutuvad sarnasemaks. Samuti jõuab arvatavasti kriisini ka hoogne hinnalanguse võidujooks, mille võidavad sügavamate taskutega suured tegijad. Tehnoloogilises mõttes muutuvad pilveteenused tõenäoliselt oluliselt mugavamalt kasutatavaks ning suhteliselt varsti tuleb pilve ja mitte-pilve asemel kõikjal rääkida privaatsest ja avalikust pilvest. Ehk, pilvetehnoloogia juurdub sügavale organisatsioonide igapäevasesse haldustegevusse.

Mis on need põhjused, miks tundlikke andmeid pole turvaline pilves hoida?

Esmalt muidugi on meil suhteliselt selge seadusandlus, mis seab piirid, kus ja mil viisil andmeid hoida võib. Kuid seaduse piires on kindlasti oluliseks faktoriks asjaolu, et pilves hoides kaotate te paratamatult igasuguse kontrolli oma andmete üle. Siinkohal pean pilve all silmas avalikku pilve kui ärilist, mitte tehnilist lahendust. On näiteks teenusepakkujaid, kelle ärimudeli osa on kulude katmine läbi kliendi andmete müügi. On teenusepakkujaid, kel, lihtsalt nende asukohast tulenevalt, lasub juriidiline kohustus teie andmeid kolmandate osapooltega jagada. Ning kindlasti on teenusepakkujaid, keda on võimalik lihtsalt raha abil mõjutada saamaks juurdepääsu teie andmetele. On oluline aru saada, et isegi korralikult läbi mõeldud osapooli võrdselt kohtlev leping (mida suurema osa pilvepakkujate kasutustingimused kindlasti ei ole) võib tagada vaid piiratud vastutuse teie andmete lekke või kao korral. Kui aga andmed on juba tundlikud, on nad tavaliselt ka teie ettevõtte kestlikkuse seisukohalt olulised. Kas teie organisatsiooni kadu on kinni makstav?

Milline võiks olla lahendus, et ka tundlikud andmed oleks pilves piisavalt kaitstud?

Esimene samm sellele küsimusele vastamisel on mõiste “piisavalt” määratlemine. Kui organisatsioon suudab sisukalt vastata küsimusele piisavast andmekaitse tasemest, on juba tehtud oluline samm andmete reaalse kaitse suunas. Igasugune riskide juhtimine on ju tasakaalu otsimine võimaliku kahju, saadava tulu ja tehtavate kulutuste vahel. Ilmselt on andmete kaitsmisel pilves olulisel kohal mingit liiki krüptograafia. Tuleb aga mõista, et ka andmete krüpteerimine ei paku täielikku kaitset. Näiteks, kui teie andmebaas on krüpteeritud ja asub koos rakendusserveriga pilves, siis rakendusserver ja seega ka pilveteenuse pakkuja, omab ikkagi andmetele juurdepääsu lugedes serverite mälu või hoides silma peal võrguliiklusel. Kui krüpteerimine toime panna kliendi juures, näeb pilveteenuse pakkuja kogu võrguliiklust ning, kuna tal on ligipääs krüptitud andmetele, omab piiramatut võimalust neid kahte kombineerides milliste iganes rünnete läbi viimiseks. Lõpuks, krüptoalgoritmid paratamatult vananevad ja aeguvad. Kui te hoiate andmeid krüpteerituna pilves jääb üle vaid loota, et andmete kasulikkus kahaneb ajas kiiremini kui kasutatud krüptoalgoritmi tugevus. Võimalust veenduda andmete kustutamises teil ju ei ole. Andmete kaitsel on suur hulk halle varjundeid, andmete täielikku turvalisust ei ole olemas. Igal üksikul juhul tuleb leida aktsepteeritav riskitase ning veenduda, et valitud tehniline lahendus selle ka tagab.

PILVEKONVERENTS 2015 - pilveteenus kui ettevõtte kasvumootor: 19. veebruar: Original Sokos Hotel Viru konverentsikeskus

Aeg

Koht

Konverents käsitleb pilvetehnoloogia trende, pilvetehnoloogia võimalusi ja väljakutseid organisatsioonides ning IT juhtimise muutuvat rolli. Räägime pilvetehnoloogia turvalisusest ning tutvustame erinevaid virtualiseerimistarkvarasid ja pilvetehnoloogia projektide kogemuslugusid Eestis.

PÄEVAKAVA

09.00 – 09.30 Konverentsile registreerimine ja hommikukohv09.30 – 09.45 Moderaatori avasõnad, sissejuhatus ja päevakava tutvustus. Zone Media OÜ tegevjuht Riho Kurg

09.45 – 10.15 Pilvetehnoloogia trendid. HP tehnoloogiajuht Soomes ja Baltikumis (inglise keeles)10.45 – 11.15 Hübriidpilv kui kompromiss avaliku- ja privaatpilve vahel. Ekspress Digital OÜ tegevjuht Madis Tapupere

Ari Saareks

10.15 – 10.45 Millega tuleb arvestada pilveteenuse valikul? Eesti Telekomi IT teenuste juht Endo Viires

11.15 – 11.30 Kohvipaus

11.30 – 12.00 Turvalisest pilvest. Riigi Infosüsteemi Ameti (RIA) arhitekt Andres Kütt  

12.00 – 12.30 Tundlike andmete käitlemine pilveteenuses Danske Bank`i näitel. SignWise tegevjuht Tiit Anmann

12.30 – 13.00 Ärikriitiliste protsesside talitluspidevus Digiretsepti näitel. Haigekassa IT osakonna juht Raimo Laus

13.00 – 14.00 Lõuna

14.00 – 14.45 Avatud ja suletud lähtekoodiga virtualiseerimistarkvarad. Red Hat müügijuht Põhjamaades ja Baltikumis Toni Willberg (inglise keeles)

14.45 – 15.30 Muutunud IT juhtimine pilveteenuste kasutuselevõtuga. Fortumo arendusjuht Marek Laasik

15.30 – 16.15 Kuidas teha pilveteenust Eestist ehk miks Zone ehitas taristu Amsterdami. Zone Media tegevjuht Riho Kurg

16.15 – 16.30 Kokkuvõte ja konverentsi lõpetamine

Konverentsi soodushind kuni 9. veebruarini on 229 eurot (km-ga 274,80 eurot). Alates 10. veebruarist kehtib täishind 295 eurot (km-ga 354 eurot).

Registreeri SIIN..

Lisainfo: Merlin Mägi, telefon 6670 302 või kirjutades [email protected]