- Individualni ljudski genomi, točnije, sekvence DNK, kriptografski ključevi internetskih prodavaonica, isplatne liste za plaće direktora jedne od najvećih IT tvrtki na području EU samo su neki od podataka koje smo pronašli u Amazonovu oblaku AWS - otkrio je Ivo Ugrina, partner u zagrebačkoj konzultantskoj tvrtki NVTEH.
Posljednjih nekoliko mjeseci Ugrina je s Nevenom Vučinićem, glavnim inženjerom R&D odjela NVTEH-a, radio na prepoznavanju pogrešaka u pristupu korištenju određenih servisa jednog od trenutačno najvećih davatelja usluga u oblaku - AWS-a.
Kako su otkrili, mnogo je korisnika koji javni profil formiraju “samo na sekundu”, kako bi prebacili podatke, te time čine ozbiljne i značajne pravne i financijske štete za svoju kompaniju.
- Tvrtka kojoj se dogodio problem s javnim dijeljenjem privatnih poslovnih podataka, primjerice, potrošila je u samo mjesec i pol više od 300.000 kuna na provjeru sigurnosti sustava i ispravljanje propusta, i to isključivo kao izravni trošak - otkrio je Ugrina.
Propust
Od svibnja 2018. godine na snagu stupa nova uredba EU o zaštiti osobnih podataka pod nazvom GDPR, gdje se za neprofesionalni pristup čuvanju podataka propisuju kazne od četiri posto godišnjeg prihoda ili 20 milijuna eura, dovoljne da tvrtke eliminiraju s tržišta.
- Zbog svega rečenog među zaposlenicima treba konstantno podizati svijest o kontroli procesa vezanih uz sigurnost podataka u poslovanju - kaže Ugrina.
Propust ovoga tipa, naglasio je Ugrina, prije svega je problem korisnika i njihova nepoznavanja naprednih opcija pri korištenju oblaka. Podaci koje su uspjeli pronaći sežu od osnovnih i većinom nevažnih dokumenata do financijskih, pravnih, medicinskih i drugih podataka čak i vrlo uglednih kompanija te raznih baza korisnika koje bi trebale ostati u zoni privatnosti.
Rješenja u “oblaku” danas koriste i velike i male tvrtke, pa je njihov uzorak sadržavao podatke tvrtki koje su tek osnovane i imaju tek nekoliko zaposlenika do podataka tvrtki s liste Fortune 100 s nekoliko tisuća zaposlenika.
Iako i hrvatske tvrtke koriste usluge AWS-a, nisu pronašli dokumente nijedne od naših tvrtki.
Nakon tih saznanja, javili su se tim kompanijama i ponudili im pomoć u rješavanju problema. Nažalost, dobar dio tvrtki nije se povratno javio, što ih je poprilično iznenadilo. Među tvrtkama koje im nisu odgovorile bila je čak i jedna s liste Fortune 500.
- Interno se danas volimo šaliti da je to vjerojatno i razlog zbog kojeg ta tvrtka nije došla do liste Fortune 100 - kaže Ugrina i dodaje kako su kod većine tvrtki do kojih su doprli problem uspjeli otkloniti unutar jednog sata od javljanja.
Uzbuna
Također, AWS desetak dana nakon njihove objave dodao je mogućnost “alarmiranja” u slučaju da se podaci ostave otvorenima za javnost. Ovo otkriće prenijeli su i svjetski mediji, poput portala The Next Web, pozivajući se rezultate ove tvrtke. Američka kompanija UpGuard istodobno je objavila da su na AWS-u bili javno dostupni povjerljivi dokumenti jedne od američkih obavještajnih agencija - Nacionalne geospecijalne agencije.
Ivo Ugrina inače je doktor matematike, koji se nakon doktorata, željan rada u industriji, zaposlio u znanstvenoj tvrtki Genos. Tu osječku tvrtku 2015. časopis The Scientist proglasio je “najboljim mjestom za rad” u svijetu. Nakon toga odlazi u London, gdje je na tamošnjem sveučilištu King’s College radio kao gostujući predavač.
Ugrina se nakon dvije godine zbog stalnih putovanja na relaciji London - Split ipak odlučio vratiti u Hrvatsku te sada radi kao docent na splitskom PMF-u. U konzultantskoj tvrtki NVTEH, koju je osnovao 2016. godine s partnerima Nevenom Vučinićem te Tomislavom Marčinkovićem, primarno se bavi isporukom rješenja za cloud te savjetovanjem u području cloud rješenja.
Danas, s velikim iskustvom rada na međunarodnim projektima te nizom uglednih privatnih i javnih društava kao klijenata na tržištima Europske unije i SAD-a, NVTEH je prije svega orijentiran na srednje i velike tvrtke koje koriste cloud servise ili to tek žele učiniti. Službeni su član mreže AWS-ovih partnera, rade ponajprije s tvrtkama na području EU te su povezani s nizom manjih partnera, kao što su Stack42 iz Londona, Hexis iz Rijeke te Flying Penguin iz Splita.
Brexit
Trenutno rade na novom istraživačkom projektu kojim ispituju opasnosti za tvrtke ako izbjegavaju najbolje prakse kod dodatnih servisa na AWS-u.
Uz to, s obzirom na neizbježnost Brexita, u skorijoj budućnosti planiraju otvaranje ureda u Londonu, a u Hrvatskoj se namjeravaju polagano širiti i nastaviti suradnju s hrvatskim partnerima.