Kaasaegsed andmekeskused on meie digilembese ühiskonna alustalad. Kõik internetis asuv peab füüsiliselt kusagil eksisteerima ning andmekeskused kui kriitilise infrastruktuuri osad pakuvad turvalist ja kontrollitud keskkonda info hoidmiseks ja haldamiseks. Kuigi andmekeskused infrastruktuuriteenuse pakkujatena ei kaitse otseselt klientide andmeid kõigi küberohtude eest (sest ei kontrolli klientide andmesidet), on neil kahtlemata kohustus kaitsta iseennast. Andmekeskuste taristu, IT-süsteemid ja töötajad on sageli küberrünnakute sihtmärgid.
Kõik algab füüsilisest turvalisusest
Esiteks peavad andmekeskused rõhku panema füüsilisele turvalisusele, et kaitsta IT-seadmeid volitamata juurdepääsu ja füüsiliste ohtude eest. Kogu maailma küberturvalisus ei aita, kui kurikael võib jalutada IT-seadmeteni ja saada otse juurdepääsu süsteemidele. 3-meetrised turvaaiad, automaatsed teetõkked, liikumis- ja soojussensoritega pöördkaamerad, biomeetriline autentimine ning videopildi automaatne analüüsimine on vaid mõned näited rakendatavatest turvameetmetest. Täpsemalt saate füüsilisest turvalisusest lugeda ühest varasemast blogiartiklist.
Aga kuidas on lood küberturvalisusega?
Seoses üha suureneva sõltuvusega omavahel ühendatud süsteemidest peavad andmekeskused erilise hoolega oma sisevõrku kaitsma, ütleb Baltikumi suurima andmekeskuse infoturbejuht Hannes Aavaste. “Üks näide sellistest meetmetest on taristu kriitiliste komponentide, nagu elektri- ja jahutussüsteemid, eraldamine avalikust internetist. Isoleerides need süsteemid, vähendavad andmekeskused oluliselt riske suure mõjuga küberrünnakutele,” selgitab ta.
Kuigi need kriitilised infrastruktuuri komponendid ei pruugi otseselt kliendi andmeid salvestada ega töödelda, on need andmekeskuse rajatise nõuetekohaseks toimimiseks hädavajalikud. “Näiteks jahutussüsteemi välja lülitamine võib põhjustada serverite ülekuumenemise, mis omakorda võib põhjustada nende serverite pakutavate teenuste katkestusi. See omakorda võib takistada tarbija ligipääsu tema lemmikrakendusele või näiteks pangaülekande tegemisele,” lisab Aavaste.
Lisaks neile meetmetele rakendavad andmekeskused oma infrastruktuuri kaitsmiseks järgnevat:
- tulemüürid (võrgu turvaseade, mis jälgib sissetulevat ja väljaminevat võrguliiklust ning otsustab, kas teatud liiklus lubada või blokeerida);
- andmedioodid (ühesuunaline võrgusideseade, mis võimaldab võrkude vahel turvaliselt, ühesuunaliselt andmeid edastada);
- sissetungi tuvastamise süsteemid (jälgivad võrguliiklust kahtlase tegevuse suhtes ja annavad märku ohust);
- andmete kogumise ja analüüsi süsteemid (turbeteabe ja probleemidega tegelemise tehnoloogia, mis toetab pideva info kogumise ja analüüsimisega ohtude tuvastamist ja neile reageerimist);
- virtuaalsed privaatvõrgud (teenus, mis loob turvalise ja privaatse ühenduse).
Võrgu haavatavuste tuvastamiseks viiakse läbi ka regulaarseid turbeanalüüse, et võimalikke riske ennetada või kiiresti käsitleda ja kõrvaldada.
Kaitse läbi krüpteerimise
Tundlike andmete pealtkuulamise või volitamata avaldamise eest kaitsevad kaasaegseid andmekeskuseid krüpteerimistehnikad. Andmete staatilises olekus (data-at-rest) krüptimine tagab, et füüsilistele salvestusseadmetele (nt kõvakettad ja varukoopialindid) jäädvustatud andmed jäävad kaitstuks ka siis, kui satuvad võõrastesse kätesse. Näiteks kui soovimatu isik murrab sisse andmekeskuse kontorisse ja varastab tundlikku infot sisaldava kõvaketta, tagab krüpteerimine, et varastatud andmed jäävad ilma õige dekrüpteerimisvõtmeta loetamatuks.
Sedalaadi krüpteerimine ei kaitse mitte ainult füüsilise varguse või volitamata juurdepääsu eest, vaid päästab ka muudest ohtudest, nagu andekandja kaotamine või ebaõnnestunud kustutamine. Krüpteerimine lisab andmekeskuse taristule täiendava turvakihi, tagades salvestatud tundlike andmete konfidentsiaalsuse ja terviklikkuse.
Edastatavate andmete (data-in-transit) krüpteerimine kaitseb infot, kui see liigub üle võrkude, vältides pealtkuulamist ja sekkumist. Näiteks tuleb kodukontori võimaldamiseks luua turvaline ühendus töötaja elukoha ning andmekeskuse vahel. Ilma VPN-ita toimuks infovahetus üle avaliku interneti, kus on jälgimine oluliselt lihtsam.
Anomaaliate tuvastamine
Kujutame ette, et ühel päeval tuvastab võrguliikluse analüüsi tööriist andmekeskuse IT-seadmetes ebatavaliselt suure mahu väljuvas andmesides. See kummaline tegevus käivitab hoiatuse ja juhtumit asutakse viivitamatult uurima. Edasisel analüüsil avastatakse, et server sattus pahavararünnaku ohvriks. Pahavara tungis läbi esmaste kaitsemeetmete ning sai ligipääsu serverile ja tundlikele andmetele.
Järgnevalt analüüsitakse rünnakut, et teha kindlaks selle ulatus ja võimalik mõju. Nii tuvastatakse pahavara ja selle sisenemispunkt. Paralleelselt isoleeritakse ohustatud server, katkestatakse selle side teiste süsteemidega ja takistatakse edasist andmete väljaviimist. See aitab minimeerida võimalikku kahju ja takistab pahavara levikut andmekeskuse taristu teistesse osadesse.
Andmekeskuse infrastruktuuri pidev jälgimine on selliste (ja muude) intsidentide tuvastamiseks ja kiireks reageerimiseks ülioluline. “Rünnaku tuvastamise, turbeteabe ja sündmuste haldamise ning võrguliikluse analüüsi süsteemid muudavad sissemurdmised reaalajas nähtavaks. Vastava koolituse saanud inimesed jälgivad hoiatusi, uurivad alarmide tagamaid ning reageerivad vastavalt vajadusele,” täpsustab Aavaste. Loomulikult on andmekeskustel erinevatele juhtumitele ka oma reageerimisplaanid.
Inimlikud vead kujutavad endast suurimat ohtu
Inimlikud vead on andmekeskustes (nagu ka kõigis teistes organisatsioonides) endiselt suurimaks turvaprobleemiks. Maailma majandusfoorumi andmetel tuleneb 95% küberjulgeoleku juhtumitest inimlikest eksimustest. “Kujutagem ette töötajat, kes langeb sihitud rünnaku ohvriks. Rünnatav saab justkui IT-osakonnalt tulnud e-kirja, milles palutakse töötajal turvakaalutlustel oma konto paroole uuendada. Paha aimamata klõpsab töötaja e-kirjas oleval lingil ja annab ründajale tahtmatult oma sisselogimise info. Nüüd on ründajal juurdepääs sisesüsteemidele,” toob infoturbejuht näite.
“Töötajad peavad läbima korrapäraselt küberturbe koolitusi, et mõista infoturbe tähtsust, tunda ära sotsiaalse manipuleerimise rünnakuid ja järgida parimaid tavasid. Selged poliitikad ja protseduurid, sealhulgas juurdepääsukontroll, paroolide haldamine ja intsidentidest teavitamine, peavad olema kõigile ühtviisi teada,” pakub Aavaste lahenduse. Regulaarsed auditid aitavad hinnata turvateadlikkuse tõstmise programmide tõhusust ja tuvastada vajakajäämisi.
Sertifikaadid näitavad pühendumist
Andmekeskustele kehtivad mitmesugused vastavusnõuded ja eeskirjad, nagu andmekaitse üldmäärus (GDPR), võrgu- ja infoturbe 2 direktiiv (NIS2) ja tööstusharuspetsiifilised standardid, nagu EN 50600, ISO 27001 jne. Andmekeskused peaksid ühtviisi püüdlema nii vastavuse kui ka sertifitseerimise poole. Vastavus tagab üldise standardnõuetest kinnipidamise, sertifitseerimine aga lisab usaldusväärsust ja kindlustunnet, et võetud kohustusi päriselt ka täidetakse.
Määruste ja standarditega kursis olemine ning sertifikaatide taotlemine näitab pühendumust turvalisusele. Näiteks osadel ulatuslikult reguleeritud turgudel, nagu Saksamaa, ongi tunnustatud audiitorite sertifikaat (nagu EN 50600) ainukeseks viisiks saamaks õigust mõnda konkreetset valdkonda teenindada (pangandus, avalik sektor jne).
Kokkuvõtteks on aus tunnistada, et andmekeskused seisavad tänapäeva digitaalsel ja läbipõimunud maastikul pidevalt silmitsi turvaohtudega. Andmete konfidentsiaalsuse, terviklikkuse ja kättesaadavuse kaitsmine nõuab integreeritud lähenemisviisi, mis hõlmab füüsilist turvalisust, võrguturvet, krüptimist, jälgimist, intsidentidele reageerimist, töötajate teadlikkust ning vastavust rahvusvahelistele standarditele.
Ulatuslik küberkaitse andmekeskustes maandab riske, tagab klientide seadmete turvalisuse ja töökindluse ning kasvatab klientide ja sidusrühmade usaldust.