Papp Tamás, Budapesti Corvinus Egyetem

Közel két év telt el azóta, hogy Edward Snowden fényt derített az Amerikai Nemzetbiztonsági Hivatal (NSA) lehallgatási programjaira. A megfigyelési gyakorlat kiterjedtsége és mélysége kétségeket ébresztett aziránt, létezik-e egyáltalán online biztonság. A felhőalapú számítástechnika iránt megerősödő viszolygás arra késztette a piac szereplőit, hogy átgondolják a helyzetüket.

snowden_montageA biztonságosság kérdése már Snowden színrelépése előtt is fontos szerepet játszott a felhőalapú számítástechnikában (cloud computing), hiszen a felhasználók – elveszítve az adataik feletti fizikai kontrollt – rendkívül fontosnak érezték, hogy kihelyezett adataik hasonló vagy még magasabb szintű védelemben részesüljenek, mint saját eszközeiken voltak. A szivárogtatás után pedig különösen fontos üzleti kérdéssé vált, hogy a lehallgatási botrány hullámai mennyiben érintik a szektort, és hogyan érdemes reagálniuk a piaci szereplőknek.

Az NSA megfigyelési programjairól szóló dokumentumok kiszivárogtatását követően a világ nagy figyelemmel fordult a biztonságosság felé. Ennek hatására az elmúlt két esztendőben felmérések, jelentések és médiaelemzések garmadája készült arról, milyen általános felhasználói vélekedés alakult ki a biztonságról. A fejlettebb piacgazdaságokban – erre mutat az amerikai Pew Research Center és a CIO.hu magyar kutatása is – nagyjából ugyanaz a folyamat ment végbe: a megfigyelési programok részleteinek megismerése és a felhasználói aggodalom kéz a kézben növekedett.

Az amerikai jelentés fontos megállapítása, hogy a válaszadók többsége többet szeretne tenni magánjellegű adatai megvédésre, még akkor is, ha az általános vélekedés szerint az online anonimitás gyakorlatilag elérhetetlen. A személyes adatok kezelése a felmérésben résztvevők számára érzékeny pont volt, és a nagy többség kifejezett szándékot mutatott kiegészítő lépésekre privát adatai biztonságának érdekében.
cloud1A kutatásokból kiderül, hogy bár növekszik az igény a felhőalapú szolgáltatásokra, egyéni és emiatt vállalati szinten is egyre nagyobbak az aggodalmak a technológia biztonságosságát illetően. A felhőszolgáltatásokra való áttérés eldöntésekor az adatvédelmi megfontolások, az egyéb biztonsági kockázatok, valamint a jogi környezet játszották az elsődleges szerepet, ehhez képest az esetleges magas költségek miatt jóval kevesebben aggódtak (lévén a cloud szolgáltatás költsége jóval alacsonyabb, mint egy saját szerverpark üzemeltetése, így a befektetés belátható időn belül megtérülhet).

A felhasználók biztonságtudatossága tehát mind egyéni, mind vállalati szinten jelentősen nőtt. Különösen a tárolt adatok biztonságát illetően mutattak a kutatások egyfajta keresletváltozást. Az informatika dinamikus változása láthatóan lehetővé teszi a piaci előnyszerzést, ha a felhőszolgáltatók helyesen reagálnak.

Jelenlegi szolgáltatói megoldások a biztonságosság érdekében

A felhőalapú tárhelyszolgáltatók döntő többsége matematikai formulákon alapuló titkosítási algoritmusokat alkalmaz. A titkosítási eljárások széles palettája áll a szolgáltatók rendelkezésre, az elterjedt megoldások száma azonban már korántsem ilyen nagy. Csak néhány olyan szabványosított megoldás létezik ugyanis, amelyet magas szintű tesztelésnek vetettek már alá, és ezzel segítették az adaptációját (például az RSA, az AES és az ECC kódolás).
Ha a kriptográfiai módszerek ilyen szélesen elterjedtek a felhőszolgáltatók körében, akkor mi különbözteti meg őket egymástól a biztonság tekintetében? A választ nemcsak a titkosítási algoritmusokban, hanem azok alkalmazásbeli eltéréseiben kell keresni. A titkosítás minőségét gyakorta éppen ez határozza meg.
Az alkalmazásbeli – például a kliensoldali titkosítás során előálló – különbségek kihasználásával elérhető magasabb biztonsági szintet jelenleg csak néhány szolgáltató kínálja a piacon (például a Tresorit vagy Wuala), talán a megvalósítás nehézségei miatt. Csakhogy a Snowden-ügy miatt növekvő felhasználói biztonságtudatosság hatására a magasabb biztonsági szintet kínáló szolgáltatók szerepe felértékelődött a piacon.

Érték-e a biztonság?

A feltételezés helyességének ellenőrzéséhez – azaz, hogy a magasabb biztonsági szintet eredményező titkosítási eljárások jelentős mértékben hozzájárulnak a piaci részesedés növekedéséhez a cloud szolgáltatók közötcloud2t – érdemes statisztikai számításokat is elvégezni (a modell innen letölthető: Érték-e a biztonság?
Ezek azt mutatják, hogy a biztonság mértéke 42 százalékban magyarázza a felhőszolgáltatók alkalmazásainak letöltésszám-változását az elemzés időszakában. Ez közepesen erős összefüggést jelent, ami önmagában is arra utal, hogy a biztonság fokát érdemes jól megválasztaniuk a szolgáltatóknak. Végső soron a legjelentősebb mértékben a magas biztonsági szintet elérő szolgáltatók profitálhatnak leginkább.
A 2. ábra szemlélteti az erősebb biztonsági szintet teljesítő szolgáltatók népszerűségnövekedését. Bár a számítások becsült adatokon alapulnak, a szignifikáns eltérés az egyes biztonsági szintek értéke között még magas hibahatár feltételezése mellett is meggyőző.

Összefoglalásként elmondható, hogy a statisztikai elemzés alapján a felhőtárhely-szolgáltatóknak a jövőben valószínűleg megéri majd magasabb biztonsági szintet kínálni, mert ezzel növelhetik népszerűségüket és magasabb piaci részesedést érhetnek el. A biztonság ugyanis érték lett, aminek elismerése a nagyobb profitrealizálásában is megjelenhet. Az elemzés további részletei innen letölthetők: Érték-e a biztonság?