KKK(sic!)KKK

2014. March 2. 4 Comments

Már néhány hónappal ezelőtt is beleszaladtam egyszer egy különös véleménybe, aztán a minap egyik kollégám is, ami elgondolkodtatott és végül arra késztetett, hogy billentyűzetet ragadjak. Olyan egyszerűnek tűnik, eddig meg sem fordult a fejemben, hogy itt valami nagyon tisztázásra szorul. Következik a KKK(sic!)KKK*.

Amikor ügyfelekkel találkozom, a nyilvános felhőről legtöbbször úgy nem kezdjük el a beszélgetést, hogy a kolléga (ügyfél) gyorsan és egyértelműen közli, hogy

  • Ez náluk nem jöhet szóba
  • Adatvédelmi szabályok tiltják
  • Törvények tiltják
  • A  főnökeik/felsővezetőik/tulajdonosaik elzárkóznak a nyilvános felhőtől
  • Olyan adatokat kezelnek, amelyek miatt tilos a nyilvános felhő.
  • IT Biztonság nem engedélyezi
  • stb. stb. stb.

A fentiek természetesen nem egyszerre, egy ügyfélnél jönnek elő. Így, felsorolva, nagyon kifogás-szagúnak tűnnek, főleg, mivel tudjuk, hogy

  • Az ügyféllel az értekezletet a gmail-es fiókján keresztül szerveztük meg.
  • Az ügyfél felsővezetőinek küldtünk már szerződést a yahoo-s postafiókra.
  • Az ügyfél munkatársai szépen összeverődtek a Facebookon.
  • Az ügyfél egy "z" osztálya már Amazon backup megoldást használ.
  • Az ügyfél egy "y" osztálya beköltözött a Salesforce.com-ba.
  • Az ügyfél egy "w" osztálya réges-rég Google App-en dolgozik.

A fentiek természetesen nem egyszerre, nem egy ügyfélnél jöttek elő. Szóval itt valami ellentmondás van. És aztán nagy nehezen leesik. Aha: nyilvános felhő szolgáltatás és nyilvános felhő szolgáltatás között – hmmm, hogy is mondjam – ég és föld a különbség. Vannak olyan nyilvános felhő szolgáltatások, mint a Facebook, az Outlook.com, a OneDrive, a Dropbox, a Gmail, a Yahoo mail, a Skype stb., amelyek célközönsége az otthoni fogyasztó, a lakosság. Angolul: public cloud for consumers. Aztán vannak olyan nyilvános felhő szolgáltatások, amelyeket gyakran szintén a fenti consumer cloud szolgáltatók biztosítanak, de a célközönségük az üzleti felhasználók: kis- és nagyvállalatok, állami intézmények és hivatalok. Angolul public cloud for commercial customers. Hiába azonosak a szolgáltatók, hiába hasonló a szolgáltatás jellege, hiába hasonló a technológia, amin a szolgáltatás megvalósul, a kétféle nyilvános felhő nagyon-nagyon eltérő dolog.

A fogyasztóknak szánt szolgáltatás jellemzően a szolgáltató és egy egyéni felhasználó (természetes személy) között jön létre. A szolgáltatás testre szabására semmilyen mód nincs. A szolgáltatás többnyire ingyenes, némi fizetős többletszolgáltatással. Az alacsony árak miatt a szerződés létrejöttekor a szolgáltatás igénybe vevője beleegyezik, hogy az adatait felhasználhatják pl. hirdetések létrehozására, további ajánlatok elküldésére, promóciók kialakítására stb. stb. A szolgáltatáshoz szinte soha nem társul SLA és nincs a szerződésben semmilyen visszatérítési kötelezettség sem. A vitás esetekkel a fogyasztóvédelem foglalkozik. Végezetül – törvényileg előírt helyzetben – állami szervek kérhetik a szolgáltatótól az fogyasztó adatainak kiadását. A leírtak illusztris példája a Microsoft szolgáltatói szerződés ajánlata a fogyasztók felé.

A kereskedelmi célú nyilvános felhők ettől alapvetően eltérnek. A szerződés többnyire a szolgáltató és egy jogi személy között jön létre. A szolgáltatás egyáltalán nem nyilvános abban az értelemben, hogy az adatok és szolgáltatások hozzáférést a jogi személy – a szerződött ügyfél szabályozza. A szolgáltatás korlátozottan testre szabható. A szolgáltatásnak költsége van, többnyire fogyasztás arányosan. Az adatok tulajdonosa a jogi személy, a szolgáltató mindig csak adatfeldolgozó. A szolgáltató – legalábbis a Microsoft mindenképp – az adatokat nem használja fel más üzleti céljaira: nem küld hirdetéseket, nem aggregál, nem reklámoz stb. A szolgáltatáshoz szolgáltatási szint – SLA – társul és adott esetben – megint csak: a Microsoftnál biztosan – a szolgáltató visszatérítési kötelezettséget is vállal. Az adatok biztonságának, bizalmasságának és sértetlenségének különösen nagy a jelentősége, ezért a szolgáltatók számos jogszabályi és iparági auditálási szabványt teljesítenek. A különböző jogi szabályozások miatt gyakran államközi, vagy globális szerződések határozzák meg, hogy a szolgáltatónak hogyan kell az ügyfeleik adatait kezelni. A vitás esetek kezelésével a kereskedelmi jogszabályok foglalkoznak. Végezetül az állami szervek adatkéréseit a szolgáltató – legalábbis a Microsoft – nem teljesíti, illetve a kérést az adattulajdonoshoz, vagyis a jogi személyhez továbbítja, a törvényi felhatalmazás nélküli állami adatszerzéssel szemben pedig fellép. (Lásd az ezzel kapcsolatos hivatalos állásfoglalást.) Az üzleti célú nyilvános felhő szolgáltatások szerződés tervezete még csak nem is hasonlít a fogyasztói felhő változatra.

Vagyis van egy fogalmunk – nyilvános felhő – amely legalább két másikat takar: a lakossági felhő szolgáltatást, amelyet bárki igénybe vehet, és a vállalatok, intézmények által igénybe vehető szolgáltatást, amely egyáltalán nem nyilvános, hiszen a szerződés keretében a szolgáltató azt biztosítja, hogy azok, és csak azok férhessenek hozzá egy vállalat információihoz, akik arra ténylegesen jogosultak.

 

Lakossági felhő

Vállalati / intézményi felhő

Szerződő ügyfél

Természetes személy

Jogi személy

Szolgáltatás egyedisége

Nem megengedett

Korlátozottan megengedett

Az adatok tulajdonosa

A természetes személy

A jogi személy, nem az alkalmazottai

Költség

Alacsony, vagy nincs közvetlen

Van

Adatfelhasználás

Többnyire engedélyezett

További üzleti célra nem engedélyezett

Audit

Nincs

Többféle törvényi és iparági megfelelés

Szolgáltatási szint

Nincs

Van

Visszatérítés szolgáltatás kiesés esetén

Nincs kötelezettség

Többnyire van kötelezettség

Vitás kérdések kezelésének első foka

Fogyasztóvédelem

Bíróság a kereskedelmi adatvédelmi törvények szerint

Adatok kiadása felhatalmazott állami szerveknek

Lehetséges

Nem lehetséges

Lehet ezt a kettő összetéveszteni? Lehet, mert sok szolgáltató teljesen azonos felületet biztosít (technológiai hasonlóság), részlegesen vállal adatbiztonságot és bizalmasságot, és nem mindig vállalnak visszatérítési kötelezettséget. Mégis: a két dolog minőségileg eltér egymástól.

Amíg a szakmában nincs világos kép arról, hogy az üzleti nyilvános felhő alapvetően más, mint amit fogyasztóként esetleg megszoktunk, addig nem várható, hogy a nyilvános felhő szolgáltatások általánosan elterjednek. Remélem ezzel az apró bejegyzéssel kicsit oszlattam a homályt.

————————————————————

*A Konzumer és Kommerciális Kloud(sic!) Közötti Különbségek Kifejtése

Filed under Computers and Internet Tagged with ,

4 Responses to KKK(sic!)KKK

  1. Pet says:
    2014. March 2. at 16:19

    Ez mind nagyon szép leírva, de van egy komoly probléma:
    PRISM

    Reply
    • lepenyet says:
      2014. March 2. at 20:16

      Ezer sebből vérzik a “PRISM” érv. Egyrészt ahogy a bejegyzésből is kitűnik, az informatika aggodalma mit sem ér, amikor a felhasználók már réges régen használják a felhő szolgáltatásokat. Sőt, az IT vak felkészületlensége még rosszabb helyzetet szül, mert a felhasználók a lakossági szolgáltatásokhoz férnek hozzá, nem a jóval szigorúbban szabályozott üzleti szolgáltatásokhoz.
      Ezen felül, ha valaki PRISM-et kiált, akkor egyúttal APT-t is mond. Megnézem én azt a magyarországi önkormányzatot, vagy vállalatot, amely komolyan képes ellenállni az APT-knek. Ezzel szemben a felhő szolgáltatók ilyenek.
      Harmadsorban a PRISM is rögtön két dolgot takar: a jog adta lehetőséget bizonyos tevékenységek megfigyelésére, és a jogon túlnyújtózkodó, szabadságjogokba ütköző adatgyűjtésre. Az első nemzetközi szabályok által rögzített keretek között zajlik, nincs mitől tartani tőle. Az illegális kormányzati megfigyelésekkel szemben pedig – legalábbis a Microsoft – további védelmi intézkedéseket foganatosított:
      1. APT-nek minősítette az amerikai kormányzat bizonyos intézményeit.
      2. Kiterjesztette / kiterjeszti a titkosítást újabb adatforgalmakra és adattárakra.
      3. Jogi úton megtámadja az adatkikérési kérelmeket
      4. Fokozta a “Shared Source Code” programot, amelynek segítségével megosztja a forráskódját a nem amerikai kormányzati szervekkel, hogy azok meggyőződhessenek arról, nincs a kódban hátsó ajtó.
      Bővebben mindezekről (bár a cikkben is ott van a hivatkozás): http://blogs.technet.com/b/microsoft_blog/archive/2013/12/04/protecting-customer-data-from-government-snooping.aspx

      Reply
  2. soder says:
    2014. March 3. at 13:16

    Ezt az APT-t kifejtenéd, mert még a rövidítés feloldását sem találtam meg google-on, nemhogy a mibenlétének a magyarázatát?

    Reply
  3. lepenyet says:
    2014. March 3. at 13:28

    APT annyit tesz: Advanced Persistent Threat – http://en.wikipedia.org/wiki/Advanced_Persistent_Threat

    Több is van belőlük. Az APT1 pl. egy kínai katonai szervezet – “is believed to be the 2nd Bureau of the People’s Liberation Army (PLA) General Staff Department’s (GSD) 3rd Department, which is most commonly known by its Military Unit Cover Designator (MUCD) as Unit 61398”

    Az APT1-ről egy nagyon részletes leírás – http://intelreport.mandiant.com . Na, ilyen minősítést kapott az NSA tevékenysége is. A fenti blogból idézve:

    “If true, these efforts threaten to seriously undermine confidence in the security and privacy of online communications. Indeed, government snooping potentially now constitutes an “advanced persistent threat,” alongside sophisticated malware and cyber attacks.”

    Fel is kapta rá a fejét néhány szakújságíró: http://www.zdnet.com/microsoft-us-government-is-an-advanced-persistent-threat-7000024019/

    Reply

Leave a comment