ضرورت بیمه رایانش ابری
طی ۳دهه گذشته ذخیره سازی اطلاعات از دیسک های فلاپی که ۱.۴۴ مگابایت اطلاعات را نگهداری می کردند به حافظه های داخلی ارتقا یافت که قابلیت ذخیره میلیون ها مگابایت( یا به عبارت دیگر تترابایت) اطلاعات را دارند.
طی چند سال گذشته دراختیار داشتن فضای ذخیره کافی دیگر مشکل محسوب نمی شود و تمرکز حوزه به قابلیت دسترسی اطلاعات منتقل شده است. جدیدترین ابزار برای ذخیره اطلاعات، رایانش ابری است که فضای ذخیره بسیار وسیعی به کاربران ارائه می کند و داده های موجود را در هر زمان ومکان و در هر دستگاهی قابل دسترسی می کند. با وجود اینکه دسترسی بدون محدودیت زمانی و مکانی و از طریق اینترنت تعداد دفعات انجام فعالیت تجاری را تغییر داده اما رایانش ابری موج جدیدی از جرایم سایبری و خطرات هک کردن را ایجاد کرده که بانکها، کسب وکارهای مالی و کارمندانشان باید خود را در برابر آن ایمن کنند.
مفهوم رایانش ابری به دهه 1950 میلادی باز می گردد، در آن زمان روشی به وجود آمد که به چندکاربر کامپیوترهای عظیم و پرهزینه مین فریم اجازه می داد دسترسی فیزیکی به کامپیوتر را از طریق پایانه هایی چندگانه و سی پی یو فراهم کنند. این امر بازه های زمانی عدم فعالیت مین فرم را از بین می برد واز سوی دیگر عایدی سرمایه را بیشتر می کرد. امروزه کسب وکارها می توانند گزینه مورد نظر خود را انتخاب کنند:
ابر خصوصی که به تهیه کننده خدمت یا کسب وکار تعلق دارد
ابرعمومی که به تهیه کننده خدمت تعلق دارد
ابرجامعه که میان سازمان های مختلف مشترک است
ابرهیبریدی که 3 گزینه بالا را به شیوه ای با یکدیگر ترکیب می کند
بدون در نظر گرفتن فایل پیکربندی، افزایش تولید یکی از حساس ترین مزایای رایانش ابری محسوب می شود. در تحقیق فوربس اینسایت( می 2013) که میان 500 مدیرارشد برگزار شد،64 درصد پاسخگویان اعلام کردند ابزارهای همکاری مبتنی بر ابر به معنای کاهش زمان عرضه محصول به بازار ، تسریع چرخه ارتقای محصول و عکس العمل سریع تر به چالش های رقابتی بازار هستند. همچنین شرکتها دسترسی قابل حمل به فایل ها، کاهش هزینه ها و قیاس پذیری بیشتر را به عنوان مزایای استفاده از خدمات ابر ذکر کردند.
چگونه ابر کسب وکاری را برهم می زند
اما با توجه به مزایای گفته شده چرا برخی کسب وکارها هنوز هم دربرابر یکپارچگی ابر مقاومت می کنند؟ بزرگترین نگرانی، تاثیر رایانش ابری در بخش امنیت شرکت است. با قابلیت دسترسی در هر زمان و مکانی، داده های کسب وکار دربرابر حملات ضعیف تر هستند. مجرمان سایبری برای دسترسی به داده ، تلاش بسیار می کنند . این داده ها قبلا در شبکه ای وجودداشت که فقط از طریق دفاتر شرکت یا بانک قابل دسترسی بود اما اکنون به صورت آنلاین وجود دارند. تمام این فرایندها یادآور یک افسانه درباره ویلی استاتون ،دزد مشهور بانک در قرن بیستم است. او گفته بود از بانک سرقت می کند زیرا پولها آنجا هستند. تهیه کننده رایانش ابری داده های بسیاری از شرکتها و مشتریان را ذخیره می کنند و به این ترتیب به هدفی بهتر و بزرگتر برای سارقان تبدیل شده اند.
تهدید خارج کردن داده های شرکتی و بانکی به وسیله کارمندان ناراضی بسیار نگران کننده است.ابزارهای آزاد ذخیره ابر به کارمندان اجازه می دهد هرگونه داده ای را از شبکه های امن شرکتی یا بانکی که به آن دسترسی دارند ، پاک کنند و آن را برای مقاصد شخصی به کار گیرند.
3 نفر از هر 4 پاسخگو در یک تحقیق کاربرخدمات رایانش ابری(IDC IT Cloud Services User Survey) ، امنیت را عامل نگرانی برای به کارگیری خدمت ابر ذکر کردند. هرچند عواقب نفوذ به شبکه یا داده های آنلاین ممکن است مدیران ارشد اجرایی را نگران کند اما احتمال نفوذ با توجه به اطلاعات ذخیره شده توسط تهیه کننده ابر عامل نگرانی بزرگتری است.
نگرانی های امنیتی در رایانش ابری مشهودتر هستند و شامل دسترسی بدون اجازه به داده های حساس، احتمال از دست رفتن کد ها و افزایش احتمال از بین رفتن داده ها می شوند. اما آنچه که کابران ذخایر ابر کمتر به آن توجه می کنند، حریم داده هاست. قراردادها، انواع داده یا قوانین ممکن است استفاده طرف سوم از مخزن رایانش ابری را محدود می کنند. قوانین متعدد با توجه به اینکه داده از کجا به وجود داده آمده اند روی نحوه ذخیره آن تاثیر میگذارند و مکان و نحوه ذخیره داده را مشخص میکنند.
بدون در نظر گرفتن مدل ارائه خدمت به کار گرفته شده توسط تهیه کننده خدمت، تقسیم مسئولیت امنیتی میان تهیه کننده خدمت و مشتری متفاوت است.
بهترین روشهای حفظ امنیت داده ها
شرکت ها وبانک ها به طرز روزافزونی اطلاعات خود را به سیستم های مبتنی بر رایانش ابری منتقل می کنند که توسط تهیه کنندگان خدمات طرف سوم ارائه می شود. آنها به تازگی دریافته اند که نمی توان مسئولیت دزدی اطلاعات را همراه آن به شرکت انتقال داد.
درهر حال ممکن است تهیه کننده خواهان حفاظت از اطلاعات حساس باشد که دراین حالت شرکتی که اطلاعات را جمع آوری میکند مسئول امنیت آنها خواهد بود..
خوشبختانه روشهای مناسبی ایحاد شده اند که به مدیران خطر کمک میکند از فاش شدن داده های خود محافظت کنند. این موارد شامل ملاحظات قراردادی است که برخی از هزینه های مربوط به دزدی اطلاعات را به تهیه کننده منتقل می کند، روشهای نوین برای ارزیابی اقدامات امنیتی فروشنده و بیمه هستند که تاثیر مالی دزدی اطلاعات را کاهش می دهند.
با توجه به طیف وسیع داده هایی که اکنون در ابر ذخیره شده اند پرداختن صحیح به این موضوع حیاتی است.
آلن بریل مدیرارشد امنیت سایبری در شرکت امنیتی کرول در نیویورک می گوید: با افزایش محبوبیت و گسترش دامنه فعالیتهای رایانش ابری، موارد دزدی اطلاعات به طور حتم افزایش خواهند یافت.
تاکنون نمونه های دزدی اطلاعات از فروشندگان خدمات ابر ناچیز بوده است البته همه موارد به طورعمومی فاش نشده اند. با این وجود بریل معتقد است شرکتها آمادگی لازم جهت مقابله با دزدی اطلاعات را ندارند.
او در ادامه می گوید: دربسیاری از موارد سازمان ها بدون مدیریت خطر ی توجه به بخش قانونی ودرخواست نظر کارشناسان،تصمیم می گیرند از خدمات ابر استفاده کنند. دراین میان سوالات مهم بی پاسخ باقی میمانند، مانند اینکه چه کسی به اطلاعات ما دسترسی دارد؟ آیا از امنیت اطلاعات اطمینان داریم؟ به همین دلیل شرکت تهیه کننده هیچ مسئولیت قراردادی پس از دزدیده شدن اطلاعات برعهده ندارد.
البته علاوه بربریل کارشناسان دیگر نیز دراین باره نگرانند. جی هیزر نایب رییس تحقیق در شرکت مشاوره فناوری گارتنر می گوید: این سوال به اعتماد مربوط است. درخصوص تهیه کنندگان تجاری خدمات ابر، مشتریان باید از ایمنی اطلاعاتشان مطمئن باشند. اما اعتماد روشی بسیار سطحی برای مدیریت خطر است.
مدیریت خطر ابر با ارزیابی گونه ها و طیف مختلف فناوری اطلاعاتی آغاز می شود( زیربنای کلی فناوری اطلاعات یا فقط خدمات خاص) که شرکت قصد دارد آن را به ابر منتقل کند.
رابرت پاریسی نایب رییس ارشد شرکت نیویورکی FINPRO دراین باره می گوید: 2 بخش متمایز دراین حوزه وجود دارد یکی از آنها خدمات و دیگری زیربنا به عنوان خدمت است. هرکدام از آنها خطرات خاص خود را دارند. اگر در محیط SaaS به برنامه ای حیاتی نفوذ شود، این امر روند فعالیت شرکت را کند می کند اما آن را فلج نمی کند. اگر این امر در محیط IaaS اتفاق بیفتد، احتمال ایجاد ضرر بسیار بیشتر است.
بیمه ای برای رایانش ابری
درهمین راستا چندی پیش با شراکت MSPAllianceبا Lockton Affinity، بزرگترین بیمه گر خصوصی دنیا بیمه جدیدی برای خدمات رایانش ابری به وجود آمد. بیمه سایبری تهیه کنندگان خدمتی را هدف گرفته که خواهان حمایتهای بیشتر هستند.
بیمه ابر را می توان روشی برای مدیریت خطربه حساب آورد که طبق آن در صورت شکست امنیتی به تهیه کننده خدمت ابر، غرامتی پرداخت خواهد شد. این بیمه احتمالا به عنوان بخشی ازموافقنامه SLA با تهیه کننده خدمت است یا می توان آنها را به صورت جداگانه از طریق شرکت بیمه ( طرف سوم) فراهم کرد.
برنامه MSPAlliance گزینه هایی از یک تا 10 میلیون دلار را به ازای هر ادعای خسارت در بر می گیرد.
بیل کلاین مدیر خدمات بیمه این شرکت می گوید: چنین پوششهای بیمه ای به طور یگانه برای خدمت ابر و تهیه کنندگان آن تهیه شده اند. آنها به طرز قابل توجهی ازمیزان خطر برای تهیه کننده و مشتریان می کاهند.
البته MSPAlliance نخستین شرکتی نیست که بیمه ابر را ارائه می کند. cloudinsure که برای پرداختن به مسئولیت های خلق شده در محیط ابر فراهم شده است.
گزارش 2011 GigaOM برخی از مزایای بیمه مبتنی برابر را چنین معرفی میکند: تهیه کنندگان ابر می توانند از مزایای سیستم بیمه بهره ببرند. وجود آنها نه تنها نگرانی های مشتریان احتمالی درباره انتقال به ابر را می کاهد بلکه پوشش های بیمه برای تهیه کنندگان از هزینه های فاش شدن اطلاعات نیز جلوگیری می کند. اغلب کسب وکارهای مختلف معتقدند داده یا اطلاعات یکی از مهمترین دارایی هایشان است. هنگامیکه اطلاعات در فضای ابر ذخیره شوند به طور حتم فضا از تجهیزات فیزیکی ذخیره اطلاعات ارزشمندتر خواهد بود. با این وجود بسیاری از صاحبان کسب و کار متوجه نشده اند در صورت ازبین رفتن یا دزدیده شدن اطلاعات،یک پوشش بیمه معمول و استاندارد پاسخگوی ضرر وزیان آنها نخواهد بود. بیمه سایبری می تواند پوشش گسترده ای برای ذخیره سازی و بازیافت اطلاعات ( در صورت از بین رفتن اطلاعات) فراهم کند.
سوال اصلی این است که آیا تهیه کنندگان بزرگ خدمات ابر مانند آمازون وب سرویس، گوگل، سلز فورس، مایکروسافت یا حتی فیس بوکSLAارتقایافته را ارائه می کنند که در حقیقت تاوان برای مشتریانی است که از فاش شدن اطلاعات صدمه دیده اند؟ و اینکه بانکداران و دست اندرکاران صنعت مالی دراینباره چه تصوری دارند؟