Problematika bezpečnosti dat získává v posledních letech čím dál více pozornosti. Řada českých firem se navíc v minulosti již na vlastní kůži setkala s problémy, ať už v době povodní, výpadků elektrické energie či v podobě úniků a krádeží dat, včetně datových nosičů a souborových serverů. Co je tedy třeba udělat proto, aby vaše data byla v bezpečí?
Čtyři roviny bezpečnosti dat
Bezpečnost dat lze rozdělit celkem do čtyř velkých skupin: fyzická bezpečnost, provozní bezpečnost, síťová bezpečnost a ochrana dat (ve smyslu replikace, zálohování, šifrování, archivace, atd.). Fyzickým zabezpečením dat se rozumí zabezpečení datových nosičů před neoprávněnou manipulací a krádeží. Ještě před pár lety se poměrně běžně stávalo, že zaměstnanci zejména v menších firmách ukládali klíčová data na lokální disky, a to poněkud nerozvážně i v případě notebooků. Rozsáhlá medializace krádeží a ztrát notebooků i nepříliš vysoká spolehlivost HDD však již přiměla řadu firem tento přístup přehodnotit. Nicméně, i u dat na firemním souborovém serveru je riziko krádeže poměrně vysoké, a to jak v případě náhodných zlodějů, kteří se vloupají v noci do kanceláří, tak zejména v případě zaměstnanců, kteří před odchodem z firmy vyjmou ze serveru či síťového úložiště pevný disk se všemi daty anebo si ho aspoň zkopírují. Řada firem navíc má servery umístěny v běžných kancelářích, což tato rizika ještě zvyšuje.
Jak jdou na fyzickou bezpečnost datová centra
Fyzické zabezpečení dat rozhodně není levné. V datových centrech je samozřejmostí nonstop ostraha objektu i neustálý monitoring všech prostor datového centra kamerovým systémem se záznamem. Prostory, ve kterých je IT infrastruktura přímo umístěna se obvykle nacházejí hluboko uvnitř budovy, tj. nejsou snadno přístupné zvenčí, a jsou opatřeny bezpečnostními dveřmi. Fyzický přístup k serverům je pak možný jen pro předem autorizované osoby a pod přísným dohledem. Tuto oblast přitom každý provozovatel řeší různě. V Českých Radiokomunikacích (ČRa), které provozují svá datová centra v přísně střežených prostorách technologického zázemí televizních vysílačů Praha-Žižkov a Praha-Strahov, je využito vícefaktorové autentizace. Každý zákazník při umístění své infrastruktury do datového centra předává seznam konkrétních zaměstnanců, kteří budou mít k serverům v datovém centru fyzický přístup. Každý z nich dostane čipovou kartu a je mu sejmut otisk prstu a pořízen scan obličeje. Pokud by při žádosti o přístup do datového centra v budoucnu libovolný z těchto tří prvků nesouhlasil, nebude daný člověk do budovy datového centra vpuštěn.
Je třeba myslet i na přírodní katastrofy a havárie
Do fyzické bezpečnosti však spadá ještě jeden důležitý aspekt, jehož význam vzrostl zejména v posledních 15 letech – ochrana proti přírodním katastrofám, zejména povodním, a haváriím. Datová centra jsou na toto na rozdíl např. od firemních kanceláří nezřídka se nacházejících na březích řek perfektně připravena. Například ČRa má svá datová centra, coby zároveň televizní vysílače, cíleně navržena jako budovy se zesílenou konstrukcí stojící mimo povodňové oblasti a, což není u v ČR úplně obvyklé, mimo letecké koridory. Zvláštní důraz byl kladen i na konstrukci chlazení a potrubí, které je vedeno tak, aby nemohlo vyplavit prostory, kde je v provozu citlivá elektronika (včetně té vysílací). Datová centra jsou samozřejmě chráněna i proti požárům, a to automatickým protipožárním systémem obvykle využívajícím hasící plyn FM200 (případně jiné inertní plyny), který uhasí požár a nepoškodí elektroniku. To je něco, co si běžně firmy nemohou dovolit, neboť to klade vysoké nároky na dodatečné stavební úpravy, pakliže k tomu budova nebyla uzpůsobena již předem.
Provozní bezpečnost jako nejpalčivější místo firem
Druhou oblastí zabezpečení dat je provozní bezpečnost. Sem spadá zajištění vysoké dostupnosti všech systémů. Toho lze docílit pomocí redundance všech klíčových prvků, a to od zajištění napájecích okruhů počínaje až po větráky a napájecí zdroje jednotlivých serverů konče. Jen zajištění nepřetržitého napájení je přitom velice těžký úkol, a to jak ukazují zkušenosti z posledních let i ve velkých městech. Firmy si přitom obvykle mohou pořídit např. UPS, ale málokterá firma si už pořídí vlastní motorgenerátor, natož pak garantovanou pravidelnou zavážku nafty, a to třeba i v době povodní. Klíčovým problémem se u firem také může stát fyzické poškození budovy, kde sídlí serverovna, či třeba jen její znepřístupnění kvůli např. narušení statiky. Významní provozovatelé datových center přitom oproti tomu dokáží běžně nabídnout více geograficky oddělených lokalit. Datová centra navíc mají z pohledu provozní bezpečnosti nesrovnatelně lepší postavení v případě zajištění nepřetržitého napájení. Například v případě datového centra ČRa Praha Žižkov jsou k dispozici hned tři nezávislé VN přípojky. Díky tomu se žižkovský vysílač od svého uvedení do provozu v roce 1992, tedy déle než 20 let, ještě neocitl bez elektrické energie z elektrorozvodné sítě. Nicméně kdyby k tomu náhodou došlo, jsou zde samozřejmě k dispozici dva nezávislé okruhy UPS a dva nezávislé motorgenerátory se sjednaným přísným SLA na dodávky nafty.
Síťová bezpečnost aneb bez spojení není velení
Úzkým hrdlem řady serverů bývá konektivita. Ostatně i někteří mobilní operátoři si v minulosti na vlastní kůži vyzkoušeli, že jeden neodborný zásah bagristy dokáže spolehlivě odříznout jádro mobilní sítě od jejích vysílačů, pakliže není konektivita dostatečně zálohovaná. Profesionální datové centrum má takovýchto nezávislých přípojek jednotky až desítky, a to s velmi vysokou přenosovou kapacitou. Pokud tak nastane problém v jedné části páteřní internetové konektivity v ČR, není problém přesměrovat provoz na jinou. Síťová bezpečnost je však i o redundanci aktivních síťových prvků – přepínačů a směrovačů – přímo v datovém centru. Navíc sem patří i zabezpečení síťové infrastruktury před „softwarovými“ riziky – tj. před útoky hackerů. Je přitom zřejmé, že úroveň bezpečnostních prvků jako jsou firewally, IDS/IPS, antimalware řešení, nástroje pro ochranu proti DDoS útokům apod., do kterých si může dovolit investovat třeba i velká firma, je přeci jen nižší, než ta, do které může investovat velká firma specializující se na provoz datových center či bezpečný přenos a distribuci rozhlasového a televizního vysílání.
Zálohování a šifrování dat
Ochrana dat je čtvrtým pilířem jejich bezpečnosti. Do této oblasti lze zahrnout disková pole umožňující data paralelně ukládat na více nezávislých datových nosičů a tím je chránit před fyzickou poruchou pevného disku. Stejně tak sem patří i zálohování dat. To by ale, z důvodu např. zmiňovaných přírodních katastrof, mělo probíhat na geograficky oddělená datová média. Což pro firmy může být vážný problém, zatímco pro velké provozovatele datových center je to samozřejmostí. Mimochodem, průzkum Microsoftu a portálu IHNED.cz ukázal, že české firmy jsou na tom se zálohováním dat velice dobře. 96 % z nich svá data zálohuje, přičemž 16 % z nich do cloudu a 73 % zálohy dat ukládá v jiné lokaci než zdrojová data. Do bezpečnosti dat však patří i jejich šifrování. To mimochodem podle stejného průzkumu 48 % českých firem vůbec nevyužívá, ani u notebooků. U datových center je přitom šifrování dat jednou z nejčastěji využívaných služeb. Firmy totiž vědí, že jejich data jsou a priori mimo jejich území, a proto dbají na jejich šifrování. U cloudových služeb je pak šifrování dat k dispozici automaticky.
Bezpečnost dat je v datových centrech nesrovnatelně vyšší
A to je fakt, který si čím dál tím více uvědomují zejména malé a střední firmy. U nich je také největší pravděpodobnost, že o data přijdou, protože nemají dostatek prostředků ani znalostí na to, aby zajistily všechny čtyři úrovně bezpečnosti dat aspoň na odpovídající úrovni. Datová centra lákají ale i velké firmy, a to nejen lepší infrastrukturou a zabezpečením dat, ale i řadou certifikací a garantovanou dostupností služeb. Kupříkladu ČRa mají třeba certifikaci od NBÚ na nakládání s utajovanými skutečnostmi stupně tajné, ISO 27001 o řízení bezpečnosti informací, které jsou pro většinu firem nadbytečné a jejich datová centra i cloudové služby mají garantovánu 99,99 % dostupnost, což je hodnota, které je v prostředí běžných firem extrémně těžké dosáhnout.
