Na data není cestovní pojištění
Prakticky všechny firmy dnes využívají informační technologie. Čelí přitom nejen požadavku na spolehlivost provozu, ale také na bezpečnost dat. A otázka bezpečnosti dat zahrnuje jak problematiku jejich ztráty, tak i jejich zneužití. Pokud využíváme cloudových služeb nebo máme datacentrum u externího poskytovatele, velká část zodpovědnosti leží na něm. Tato zodpovědnost ale prakticky nikdy nesahá tak daleko, aby nahradila ekonomickou ztrátu, ke které může dojít právě v důsledku zneužití nebo i ztráty firemních dat.
Velké korporace mají často vlastní IT oddělení s bezpečnostními odborníky, proto je možná zajímavé podívat se na to, jak se k otázce datové bezpečnosti staví malé a střední firmy (SME), které jsou typicky uživateli cloudových služeb. Z průzkumu SME segmentu, který pro České Radiokomunikace uskutečnila v září 2018 agentura XACT, vyplývá, že pro 76 % dotazovaných je „rozhodně důležité“ nebo „důležité“ to, kde jsou fyzicky data uložena. A jako důvod toho, proč je lokalita datového centra pro ně důležitá, uváděli respondenti nejčastěji právě bezpečnost uložených dat.
Povědomí o důležitosti datové bezpečnosti mezi malými a středními podniky je určitě dobrou zprávou. Žádná firma dnes není tak tak malá, aby byla pro případné útočníky neviditelná nebo nezajímavá. Riziko ztráty dat totiž nepředstavuje jen možné selhání techniky. Mnohem větší riziko představují útoky ransomwaru, které k nám nejčastěji míří z ruských nebo ukrajinských serverů. Ransomware je schopen nevratně zašifrovat data tak, že pro jejich majitele se stanou nepřístupná a tedy ztracená, často nepomůže ani zaplacení výkupného. Kyberšpionáž zaměřená na získání firemního know-how není zápletkou hollywoodských filmů, ale je dnešní realitou a stále častěji jí čelí i menší podniky. A to i díky tomu, že se v některých zemích – jako je třeba Čína – provádí kybernetická špionáž systematicky a je de facto součástí státní politiky.
Ani Spojené státy nejsou ideálním místem pro zajištění soukromí našich dat. Díky tzv. Vlasteneckému zákonu (Patriot Act) mají totiž americké vládní bezpečnostní agentury v některých případech mnohem jednodušší přístup k privátním datům umístěným na amerických serverech, než je tomu zvykem u nás.
Dujú spík čechiš?
Informační technologie jsou svou podstatou mezinárodní a řada firem působí globálně. Produkty a služby se prodávají on-line, platí se jednoduše bankovní kartou, firmy centralizují svá zastoupení do několika málo středisek. A tak jsem se nedávno dostal do situace, kdy jsem on-line kupoval původně český antivirový program u nizozemské firmy. S nákupem žádný problém nenastal, horší to ale bylo s technickou podporou, protože jsem chtěl vyřešit nákup tak, aby proběhl mezi dvěma plátci daně z přidané hodnoty. Nakonec jsem místo toho dostal individuální slevu, ve mně ale zůstala obava, zda jsem dostal správný účetní doklad. Nevím, zda to bylo tím, že jsem nepřesně popsal svůj požadavek v angličtině, nebo proto, že můj kontakt se neorientoval v daňových předpisech. Ale proč to říkám?
Bezpečnost jde ruku v ruce se spolehlivostí a ta je zase podmíněna schopností řešit rychle technické problémy. To si samozřejmě firmy uvědomují, a tak nepřekvapí, že ve zmíněném průzkumu mezi SMB firmami hrály důležitou úlohu i otázky, které souvisejí s technickou podporou. Pokud vezmeme odpovědi „rozhodně důležité“ a „důležité“, tak mezi nejpodstatnější patří faktory „řešení poruch a výpadků“ (89 %), „řešení reklamací“ (87 %) a „komunikace s poskytovatelem“ (86 %).
Všechny tři faktory se ukázaly jako podstatnější než cena vlastních služeb. Snadno tak můžeme vytušit, jak by mohla vypadat odpověď na nevyřčenou otázku, zda je pro firmy důležité, aby měly k dispozici českou technickou podporu. Ta totiž u mezinárodních poskytovatelů nemusí být pravidlem. Pro řadu menších a středních firem – pokud zrovna nejsou z IT branže – je typické, že nemají vlastního odborníka na informační technologie. Často tak pro ně bývá obtížné specifikovat technickou podstatu svého problému česky, natož pak třeba v angličtině. Lokální technická podpora, se kterou mohou komunikovat česky, tak může být pro ně podstatná. Vedle geografického umístění infrastruktury je to další faktor, který je vhodné u poskytovatele uvážit.
V Evropě dobře, doma nejlíp
Často ani nedoceňujeme některé výhody, které nám plynou z členství v Evropské unii. Vzpomeňme jen direktivu GDPR, která byla přijímána se smíšenými ohlasy. GDPR se sice zaměřuje na data osobní, ale prakticky všechny organizace dnes s takovými daty pracují. Právní rámec pro osobní data přiměl všechny subjekty ke změně politiky nakládání s daty; poskytovatelé služeb, kteří jsou ve vztahu k datům jejich zpracovateli, museli zajistit odpovídající technická opatření. A to vlastně pro všechna data, protože často není možné odlišit osobní údaje od ostatních dat. Ve výsledku to určitě znamená vyšší všeobecnou úroveň datové bezpečnosti.
Ovšem možnost využívat lepšího bezpečnostního prostředí s sebou nese i povinnosti. Jednou z nich je i nutnost zajistit, aby osobní data byla zpracovávána (a tedy i uchovávána) na půdě Evropské unie. Pokud tedy nějaká firma chce využít třeba úložiště nebo jinou cloudovou infrastrukturu pro práci s osobními údaji (popř. i ostatním daty, zpracovávanými společně), musí si vybrat takového poskytovatele služeb, který je schopen splnění této právní povinnosti zaručit. A to bez ohledu na skutečnost, zda pro danou firmu je či není důležité, kde se její data budou nacházet.
Aktuální preference jsou ale jasné: naše podniky požadují co nejbližší fyzické umístění serverů, na nichž běží jejich data. Ideálně ve stejném městě, nebo alespoň na území České republiky. Tomuto trendu se snaží cloudoví provozovatelé vyjít vstříc a třeba České Radiokomunikace již začaly s výstavbou sítě regionálních datových center.
Autor: Alexander Lichý