IT i kriminal: Posao se skriva u „cloudu“

Piše: Goran Marasović

S isključenim diktafonom, glavni menadžer jednog od ureda korporacije priznaje kako "cloud" može biti ne samo jeftina i učinkovita usluga, već i alternativna pohrana podataka iz "mask-showa". Pod utjecajem trendova "mobilnosti" i "sigurnosti", obrada i pohrana osobnih i komercijalnih informacija danas se sve više prenosi u "cloud".

Tržište "tehnologija u oblaku" je relativno novo, ali tvrtke žure zauzeti mjesta u prvim redovima. Uvjereni su kako je virtualizacija budućnost.

U borbu za mjesto "pod oblacima" ušli su kako svjetski divovi – Google, Microsoft, Apple, Amazon – tako i manje tvrtke koje svoje usluge nude pojedincima i korporacijama. Tržište ima prostora za rast, jer 90% tvrtki još ne koristi ovu tehnologiju.

Što može "cloud"

"Cloud" tehnologije omogućuju vam da ne kupujete skupe providere, software i održavate osoblje IT stručnjaka, već jednostavno kupujete procesorsko vrijeme, prostor na disku i propusnost mreže i fokusirate resurse na temeljne poslovne procese.

Tvrtka ne treba dodatnu opremu i software za prenošenje vršnih opterećenja. Može ih dobiti od pružatelja usluga na "cloudu" u sklopu svoje tarife ili prekovremeno – ovisno o kupljenom paketu usluga.

Mnoge tvrtke klijentima nude pakete licenciranih programa za rad na "cloudu". Jeftinije je i sigurnije, pogotovo u slučaju ako tvrtku želi policija provjeriti zbog piratskog softwarea. Upravljanje dokumentima također se može prenijeti na "cloud", ali ne pružaju svi pružatelji usluga, na primjer, mogućnost rada s 1C.

Također, korisnik dobiva pristup svojim podacima neovisno o zemljopisnom položaju i uređaju koji koristi. Prikladni su prijenosno računalo, tablet, pametni telefon i, naravno, stolno računalo.

Pojavljuju se i fantastični proizvodi: videonadzor i obrada snimke "na oblaku". Ova je opcija najprikladnija za trgovačke lance i državne agencije. Osim toga, mnoge tvrtke nude kupcima odabir optimalnog modela. Javni „cloudi“ pružaju usluge raznim tvrtkama kao usluga. Privatni "oblaci" su zatvoreni "oblaci" koje su izgradile velike tvrtke kako bi isključile vanjski pristup. Hibridni “oblaci” kombinacija su fizičkih servera tvrtke i “cloud” kapaciteta.

Velika većina tvrtki koje koriste "cloud" tehnologije su velike korporacije. Mala i srednja poduzeća tek počinju obraćati pažnju na njih. No, u budućnosti, potencijal rasta ovog tržišta je iza njih, jer nema potrebe za velikim ulaganjem u IT infrastrukturu i informacijsku sigurnost.

"Cloud" tehnologije mogu koristiti i privatne osobe, primjerice za pohranu fotografija, videa, glazbe i dokumenata. Ali hrvatske vlasti su lišene takve prilike, jer je zakonom zabranjeno odnošenje državnih informacija u strane podatkovne centre. Državna poduzeća to mogu učiniti. Do sada mnogi potencijalni korisnici nisu spremni dati svoje podatke organizacijama trećih strana na pohranu.

S jedne strane, tehnologija je relativno nova i još se nije pokazala potpuno sigurnom. S druge strane, tvrtke nisu uvijek spremne samostalno zaštititi svoje podatke od kibernetičkih prijetnji i fizičkih napada od strane konkurenata, službenika za provođenje zakona ili prirodnih katastrofa. No, moguće je curenje informacija i iz podatkovnih centara u kojima se nalaze "cloudi", iako je najranjivije mjesto podatkovna ruta na putu od tvrtke do podatkovnog centra.

"Ako tvrtka pruža mogućnost rada s mobilnih uređaja, to predstavlja izazov za cijeli IT sigurnosni sustav. Ti uređaji postaju dodatni kanal za curenje informacija. Postoji hitna potreba da se na njima postave dodatni servisi koji pružaju kriptozaštitu, dodatnu autentifikaciju, daljinsko upravljanje uređajima i strogu reviziju pristupa informacijama.

Hoće li korporacije štititi?

U RH, osim povjerljivosti podataka, tvrtke koje pružaju usluge u "cloudu" obećavaju svojim klijentima zaštitu od agencija za provođenje zakona.

Uz isključen diktafon, top menadžer predstavništva jedne od korporacija koja pruža takve usluge priznaje kako "cloud" može biti ne samo jeftina i učinkovita usluga, već i alternativna pohrana podataka iz "mask show".

"Klijent ne može biti anoniman, jer mora platiti uslugu", komentiraju iz Microsoft Hrvatska uvjete korištenja jedne od svojih usluga. Ovdje kažu kako je tvrtka samo pružatelj usluga i kako nema prava na podatke o korisnicima koji se pohranjuju i obrađuju korištenjem ovih usluga.

"Jedna od naših usluga pruža se u ime Microsoft Ireland Operations Limited – MIOL, s kojim se sklapaju ugovori, tako svi zahtjevi moraju ići MIOL-u. U slučaju preporuke, MIOL će poslati zahtjev korisniku i on je spreman kupcu da odluči kako dalje." - objasnili su iz Microsofta Hrvatska.

Povjerljivost podataka jamči Google, koji također pruža slične usluge. Konkretno, u komentaru tvrtka naglašava kako ne otkrivaju osobne podatke korisnika tvrtkama, organizacijama i pojedincima koji nisu povezani s Googleom bez osobnog pristanka korisnika. Centri za obradu podataka nalaze se izvan RH, te stoga ne potpada pod hrvatsku jurisdikciju.

Upitali smo Google i Microsoft Hrvatska pod kojim uvjetima Ured državnog odvjetništva, Sigurnosna služba ili Ministarstvo unutarnjih poslova mogu dobiti informacije pohranjene na serverima ili na cloudu.

Google je odgovorio kako je nakon primitka službenih zahtjeva agencija za provođenje zakona, Google Inc. daje tražene podatke sukladno Ugovoru o međusobnoj pravnoj pomoći. Tvrtka na svojoj web stranici objavljuje podatke o broju zahtjeva agencija za provođenje zakona iz različitih zemalja za pružanje informacija o korisnicima Googleovih usluga.

Ako je Microsoft dužan odgovoriti na zakonski zahtjev – na primjer, postoji sudska odluka o davanju informacija koje pripadaju klijentu – ovlaštenom tijelu, potrebno je podnijeti međunarodni zahtjev. U tom slučaju Microsoft će ograničiti pružanje informacija samo onim podacima koji su potrebni. Uvjeravaju kako tvrtka obavještava klijenta o svim svojim radnjama prije nego što su počinjene.

Tužiteljstvo će saznati iz inozemstva

Sa sličnim pitanjima obratili smo se Uredu državnog odvjetništva i MUP-u. Što se tiče ovlasti za dobivanje informacija, Državno tužiteljstvo je izvijestilo sljedeće.

"U skladu s važećim međunarodnim ugovorima RH o međusobnoj pravnoj pomoći, Ured državnog odvjetništva ima pravo zahtijevati i u praksi zahtijevati te primati informacije o korisniku i druge povezane informacije od nadležnih institucija stranih država, a ne od tvrtki koje pružati usluge pohrane informacija."

Odnosno, nadležna tijela drugih država, nakon zahtjeva UDO-a, obraćaju se tvrtki sa zahtjevom za dostavu podataka o određenim korisnicima. UDO dodaje kako takve podatke istražno tijelo može zatražiti putem Ureda državnog odvjetnika samo u sklopu istrage kaznenog predmeta. Međutim, protiv bilo koga u RH nije problem pokrenuti kazneni postupak.

Državno odvjetništvo ističe kako ima iskustva u upućivanju zahtjeva za informacijama i pribavljanju relevantnih podataka nadležnim tijelima stranih država.

MUP pomaže Interpolu

Iz MUP-a su izvijestili kako nemaju informacije o upućivanju njegovih jedinica za žalbe u svrhu dobivanja podataka o korisniku repozitorija informacija koji se nalaze na poslužiteljima na području drugih zemalja.

Agencija je naglasila kako može podnijeti zahtjev nadležnom tijelu druge države putem Ureda državnog odvjetnika u okviru kaznenog predmeta ako postoji sudska sankcija. Također, MUP može provjeriti sve radnje definirane kao zločini, koristeći kanale i mogućnosti hrvatskog predstavništva Interpola.

Možemo zaključiti kako dobivanje određenih informacija o korisnicima usluga u "cloudu" za hrvatske službenike za provođenje zakona nije tako jednostavno kao provaliti u ured tvrtke i zaplijeniti njezine servere, ali je moguće.

Korisnici trebaju pažljivo pročitati uvjete licenciranog korištenja proizvoda IT tvrtki prije nego što instaliraju određeni program na svoje računalo ili postanu klijent virtualne usluge. Ne zaboravite jednostavnu, ali učinkovitu preporuku investicijskih stručnjaka: držite svoja jaja u različitim košarama.