Τη σημερινή εποχή η υιοθέτηση Cloud υπηρεσιών (SaaS, PaaS, IaaS) από ιδιωτικές εταιρίες αλλά και από φορείς του δημοσίου τομέα παρουσιάζει συνεχώς αυξανόμενη τάση. Τα πλεονεκτήματα από την χρήση τέτοιου είδους υπηρεσιών είναι πάρα πολλά, όπως το χαμηλότερο κόστος συντήρησης, η συνεργασία, η διαλειτουργικότητα, η ευχρηστία κλπ.
Δρ. Θεόδωρος Ντούσκας
ISO 27001 LA, ISO 22301 LI, Certified DPO
Managing Director, ICT PROTECT
Ταυτόχρονα, προς αυτή την κατεύθυνση όλο και περισσότερες λύσεις cloud υπηρεσιών αναπτύσσονται, καλύπτοντας διάφορες ανάγκες όπως online παραγγελίες, υπηρεσίες μισθοδοσίας, υπηρεσίες ανθρώπινου δυναμικού, υπηρεσίες τιμολόγησης κλπ., οι οποίες εξ ορισμού διαχειρίζονται προσωπικά δεδομένα και ως αποτέλεσμα αυξάνεται η πολυπλοκότητα στη διαχείριση της ασφάλειας, προστασίας δεδομένων και ιδιωτικότητας.
Πιθανή υποβάθμιση, δυσλειτουργία ή διακοπή των Cloud υπηρεσιών έχει σημαντικές επιπτώσεις στην ασφάλεια, στην απώλεια δεδομένων, στην απώλεια φήμης και στη μη συμμόρφωση με τη νομοθεσία με αποτέλεσμα η ασφάλεια των Cloud υπηρεσιών να είναι ένα από τα πιο σημαντικά θέματα που πρέπει να λάβουν υπόψη τους τόσο οι τελικοί πελάτες των υπηρεσιών (Cloud Services Customers) όσο και οι οργανισμοί που προσφέρουν Cloud υπηρεσίες (Cloud Services Providers).
Τα πρότυπα ISO/IEC 27017[1] και ISO/IEC 27018[2] έχουν ως στόχο τη διαχείριση της ασφάλειας και την προστασία των προσωπικών δεδομένων που επεξεργάζονται μέσω Cloud υπηρεσιών. Τα πρότυπα αυτά βασίζονται στα πρότυπα ISO/IEC 27001 και ISO/IEC 27002, εστιάζοντας όμως σε επιπλέον απαιτήσεις ασφάλειας πληροφοριών και προστασίας προσωπικών δεδομένων σε cloud υπηρεσίες. Στην ουσία προσπαθούν να συνδυάσουν τα υφιστάμενα πρότυπα ασφάλειας, με τις νέες τεχνολογίες ιστού και τις απαιτήσεις προστασίας δεδομένων της νομοθεσίας (όπως ο General Data Protection Regulation (GDPR), το California Consumer Privacy Act (CCPA), κλπ.).
ISO/IEC 27017:2015
Το ISO/IEC 27017 έχει σχεδιαστεί για να βοηθήσει τόσο τους οργανισμούς που χρησιμοποιούν τις Cloud υπηρεσίες ως πελάτες (Cloud Service Customers), όσο και τους οργανισμούς που παρέχουν Cloud υπηρεσίες (SaaS, PaaS, IaaS) σε πελάτες τους ( Cloud Service Providers).
Συγκεκριμένα, το ISO/IEC 27017 προτείνει επτά (7) νέες απαιτήσεις οι οποίες αντιστοιχούν στην υπάρχουσα δομή των προτύπων ISO 27001 / ISO 27002. Οι νέες αυτές απαιτήσεις αφορούν κυρίως τους εξής σημαντικούς τομείς:
- Καθορισμός κοινών ρόλων και αρμοδιοτήτων πελάτη (Cloud Service Customer) και παρόχου (Cloud Service Provider) σε θέματα ασφάλειας και προστασίας δεδομένων
- Διαδικασίες διαγραφής και επιστροφής των πληροφοριακών αγαθών των πελατών των Cloud υπηρεσιών
- Διαχωρισμός και προστασία των εικονικών συστημάτων από μη εξουσιοδοτημένη πρόσβαση
- Δυνατότητα παραμετροποίησης των εικονικών συστημάτων βάσει επιχειρησιακών αναγκών, απαιτήσεων ασφάλειας του πελάτη και βέλτιστων πρακτικών.
- Εξασφάλιση ύπαρξης απαραίτητων τεκμηριωμένων διαδικασιών διαχείρισης κρίσιμων λειτουργιών όπως εγκατάσταση, παραμετροποίηση και διαχείριση αλλαγών στα εικονικά περιβάλλοντα, backup, ανάκτηση δεδομένων, κλπ.
- Ο πάροχος υπηρεσιών Cloud πρέπει να προσφέρει δυνατότητες παρακολούθησης κρίσιμων καθημερινών καθορισμένων λειτουργιών (π.χ. logs, περιστατικά ασφάλειας, αποτυχημένες προσπάθειες πρόσβασης, αλλαγές σε δικαιώματα αρχείων, κλπ.).
- Τεκμηριωμένη πολιτική διαχείρισης της ασφάλειας εικονικών και φυσικών δικτύων.
ISO/IEC 27018:2019
Το ISO/IEC 27018 δίνει έμφαση σε επιπλέον μέτρα προστασίας που πρέπει να εφαρμοστούν προκειμένου να αυξηθεί το επίπεδο προστασίας των προσωπικών δεδομένων που επεξεργάζονται από τις Cloud υπηρεσίες.
Πιο συγκεκριμένα, παρέχει οδηγίες στους παρόχους Cloud υπηρεσιών οι οποίοι δρουν ως εκτελούντες την επεξεργασία, ώστε να έχουν τη δυνατότητα να αξιολογήσουν τους πιθανούς κινδύνους ασφάλειας και να εφαρμόσουν τα κατάλληλα τεχνικά & οργανωτικά μέτρα προστασίας για την αποτελεσματική προστασία των προσωπικών δεδομένων των πελατών τους. Τα νέα μέτρα προστασίας του ISO/IEC 27018 ομαδοποιούνται ακολούθως:
- Εξασφάλιση των δικαιωμάτων του τελικού πελάτη για πρόσβαση στα δεδομένα ή/και για τη διαγραφή των δεδομένων του.
- Επεξεργασία των δεδομένων μόνο για τον σκοπό για τον οποίο ο πελάτης παρέχει τα δεδομένα του.
- Χρήση των δεδομένων του πελάτη για σκοπούς διαφήμισης, μόνο έπειτα από την ρητή συναίνεση του πελάτη
- Διαγραφή προσωρινών αρχείων βάσει πολιτικής τήρησης
- Άμεση ενημέρωση του πελάτη σε περίπτωση νόμιμης αίτησης κοινοποίησης των δεδομένων του (π.χ. από εποπτική αρχή)
- Καταγραφή όλων των κοινοποιήσεων των προσωπικών δεδομένων (π.χ. σε εποπτικές αρχές, ή κατά τη διαδικασία εξωτερικών ελέγχων, κλπ.)
- Καταγραφή όλων των επιμέρους υπεργολάβων που χρησιμοποιούνται για την επεξεργασία των προσωπικών δεδομένων (συν-εκτελούντων την Επεξεργασία). Συνεχής ενημέρωση των πελάτων για οποιαδήποτε αλλαγή στη λίστα των υπεργολάβων.
- Άμεση ενημέρωση του πελάτη σε περίπτωση παραβίασης των δεδομένων του βάσει των απαιτήσεων της ισχύουσας νομοθεσίας
- Τήρηση και διαχείριση ιστορικού των εκδόσεων των πολιτικών και διαδικασιών ασφάλειας
- Εφαρμογή πολιτικών και διαδικασιών επιστροφής και μεταφοράς προσωπικών δεδομένων βάσει των απαιτήσεων της ισχύουσας νομοθεσίας
- Ύπαρξη συμφωνιών εμπιστευτικότητας για όλες τις οντότητες που έχουν πρόσβαση σε προσωπικά δεδομένα πελατών τους.
- Περιορισμός της εκτύπωσης των προσωπικών δεδομένων μέσω τεχνικών & οργανωτικών μέτρων
- Διαδικασία ανάκτησης δεδομένων
- Ύπαρξη μέτρων προστασίας για ενδεχόμενη λήψη των φυσικών μέσων εκτός χώρου αποθήκευσης
- Απαγόρευση χρήσης μέσων που δεν παρέχουν δυνατότητα κρυπτογράφησης
- Κρυπτογράφηση δεδομένων που μεταδίδονται μέσω δημόσιων δικτύων
- Καταστροφή τυχόν εγγράφων με προσωπικά δεδομένα μέσω ασφαλούς διαδικασίας
- Χρήση μοναδικών αναγνωριστικών για κάθε πελάτη
- Αναλυτική καταγραφή πρόσβασης εξουσιοδοτημένων χρηστών στο Cloud περιβάλλον
- Απενεργοποιημένα αναγνωριστικά χρήστη δεν πρέπει να χορηγούνται σε άλλους πελάτες
- Οι συμβάσεις μεταξύ του πελάτη και του παρόχου υπηρεσιών Cloud (εκτελων την επεξεργασία) πρέπει να καθορίζουν τα ελάχιστα τεχνικά και οργανωτικά μέτρα για να εξασφαλιστεί ότι έχουν τεθεί σε ισχύ τα απαραίτητα και συμφωνηθέντα μέτρα ασφάλειας και ότι τα δεδομένα του πελάτη δεν υποβάλλονται σε επεξεργασία για οποιονδήποτε άλλο σκοπό ανεξάρτητο από τις οδηγίες του υπεύθυνου επεξεργασίας- πελάτη.
- Συμβάσεις οι οποίες καθορίζουν τα ελάχιστα τεχνικά και οργανωτικά μέτρα προστασίας για όλους τους υπεργολάβους του παρόχου Cloud υπηρεσιών.
- Διασφάλιση ότι διαγράφονται τα προϋπάρχοντα δεδομένα κάθε φορά που ένας χώρος αποθήκευσης δεδομένων εκχωρείται σε έναν νέο πελάτη υπηρεσιών Cloud
- Διαγραφή αποθηκευμένων δεδομένων που έχουν ανατεθεί σε άλλους πελάτες
- Ενημέρωση του πελάτη σχετικά με τις χώρες στις οποίες αποθηκευτούν τα δεδομένα του
- Εφαρμογή των κατάλληλων μέτρων προστασίας ώστε να εξασφαλιστεί ότι τα δεδομένα φτάνουν στον εξουσιοδοτημένο παραλήπτη (σύστημα, υπηρεσία ή χρήστη).
Συμπεράσματα
Η διαχείριση της ασφάλειας & προστασίας των δεδομένων και η συμμόρφωση με την ισχύουσα νομοθεσία αποτελούν απαραίτητες προϋποθέσεις για τη διεξαγωγή του ηλεκτρονικού επιχειρείν. Αποτελούν προϋπόθεση να διατηρηθούν τα υφιστάμενα προϊόντα, οι υπηρεσίες και πελάτες και να δημιουργηθούν νέα προϊόντα και υπηρεσίες. Ως εκ τούτου, η ασφάλεια των πληροφοριών είναι θεμελιώδους σημασίας για την συνέχεια της επιχειρηματικής δραστηριότητας για μια επιχείρηση.
Τόσο οι πάροχοι όσο και οι τελικοί πελάτες Cloud υπηρεσιών (SaaS, PaaS, IaaS), πρέπει να είναι σε θέση να αποδείξουν τη συμμόρφωση με την νομοθεσία και την υιοθέτηση βέλτιστων πρακτικών για την προστασία των δεδομένων των πελατών τους, των υπαλλήλων και συνεργατών τους. Με την ενδυνάμωση της ασφάλειας και το επίπεδο προστασίας των προσωπικών δεδομένων και των ηλεκτρονικών υπηρεσιών οι επιχειρήσεις είναι σε θέση να επιτύχουν ανταγωνιστικό πλεονέκτημα στην αγορά κερδίζοντας την ευρεία εμπιστοσύνη των υφιστάμενων και δυνητικών πελατών.
Τα πρότυπα ISO 27001 και ISO 27002 παρέχουν το βασικό πλαίσιο διαχείρισης ασφάλειας πληροφοριών, ενώ τα πρότυπα ISO 27017 και ISO 27018 είναι εξειδικευμένα στην προστασία των δεδομένων σε Cloud υπηρεσίες. Προτείνεται λοιπόν να εφαρμόζονται σε συνδυασμό και τα τρία πρότυπα ασφάλειας ώστε να υιοθετούνται βέλτιστες πρακτικές και να παρέχονται έμπιστες και ασφαλείς ηλεκτρονικές υπηρεσίες.
Η ICT PROTECT
Η ομάδα της ICT PROTECT αποτελείται από ειδικούς με υψηλό μορφωτικό επίπεδο (MSc, PhD) και χρόνια επαγγελματικής εμπειρίας στον τομέα της ασφάλειας πληροφοριών, οι οποίοι εκπαιδεύονται συνεχώς διευρύνοντας τις γνώσεις και ικανότητές τους μέσα από διαρκή ενασχόληση με ερευνητικές δραστηριότητες, έτσι ώστε να είναι συνεχώς στην αιχμή της τεχνολογίας και των ραγδαίων εξελίξεων.
Στόχος της εταιρίας είναι η παροχή συμβουλευτικών υπηρεσιών υψηλής ποιότητας και τεχνολογικής αιχμής, σε εθνικό και διεθνές επίπεδο, στο δημόσιο και στον ιδιωτικό τομέα.
Η Ασφάλεια Πληροφοριών αποτελεί προτεραιότητα της ICT PROTECT και για το λόγο αυτό έχει αναπτύξει Σύστημα Διαχείρισης Ασφάλειας Πληροφοριών και έχει πιστοποιηθεί κατά ISO 27001:2013, για όλες τις δραστηριότητες της.
Ταυτόχρονα, μέσω του πιστοποιημένου με ISO 9001:2015 Συστήματος Διαχείρισης Ποιότητας χρησιμοποιεί αποτελεσματικές μεθόδους σχεδίασης και παρακολούθησης της ποιότητας, σε όλα τα στάδια παροχής υπηρεσιών.
Δραστηριότητες εταιρίας
Η ICT PROTECT παρέχει εξειδικευμένες υπηρεσίες ασφάλειας πληροφοριών και προστασίας δεδομένων:
- παροχή συμβουλευτικών υπηρεσιών συμμόρφωσης με νομοθετικές / κανονιστικές απαιτήσεις (π.χ. GDPR, ΑΔΑΕ) και διεθνή πρότυπα (π.χ. ISO 27001, ISO 22301, ISO 27017, ISO 27018, ISO 20000),
- παροχή συμβουλευτικών υπηρεσιών διαχείρισης ασφάλειας πληροφοριών και προστασίας δεδομένων
- διεξαγωγή Τεχνικών Ελέγχων Ασφάλειας (Technical Vulnerability Assessments) και Δοκιμές Διείσδυσης (Penetration Tests) σε πληροφοριακά συστήματα, δίκτυα και διαδικτυακές εφαρμογές
- διεξαγωγή εκπαιδευτικών σεμιναρίων σε θέματα ασφάλειας πληροφοριών & προστασίας δεδομένων
[1] ISO/IEC 27017:2015, Information technology — Security techniques — Code of practice for information security controls based on ISO/IEC 27002 for cloud services, πηγή: https://www.iso.org/standard/43757.html
[2] ISO/IEC 27018:2019, Information technology — Security techniques — Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors, πηγή: https://www.iso.org/standard/76559.html