Jsou veřejná cloudová úložiště Dropbox, OneDrive, Google Drive a iCloud dostatečně bezpečná?

Jsou veřejná cloudová úložiště Dropbox, OneDrive, Google Drive a iCloud dostatečně bezpečná?
V dnešní době advokáti zpracovávají a ukládají velké množství citlivých dokumentů, které na základě legislativních požadavků musí chránit. Lokální ukládání dat může být riskantní, protože pevné disky se můžou poškodit a mobilní zařízení nám někdo může ukrást, ztratíme ho nebo se zničí. Občas také slycháváme, že lidé přišli o svá data, když aktualizovali svůj operační systém Windows. Ukládání dat online je řešení, jak se chránit před těmito druhy rizik a ztrát. Je ale cloudové úložiště bezpečné?

Pokud jde o zálohování dat online, existuje několik klíčových cloudových úložišť, které advokáti obvykle používají. Jsou to Google Disk, Dropbox, OneDrive a iCloud. V tomto článku se podíváme na tato úložiště a zkontrolujeme, jak jsou tyto cloudové služby bezpečné.
 

google-(1).jpg

Je Google Disk bezpečný?

Google Disk je snadný a efektivní způsob zálohování dat do cloudu, a protože je k dispozici zdarma (do 5 GB úložného prostoru) s účtem Gmail, je velmi populární. Právníkům však neumožňuje si striktně definovat území Evropského hospodářského prostoru pro uložení dat dle nařízení Evropského Parlamentu a Rady (EU) 2016/679.

U lidí, kteří zálohují citlivé dokumenty, mohou existovat obavy ohledně toho, jak je Google Disk skutečně bezpečný. Koneckonců, již dříve se objevily důkazy v souvislosti se spoluprací Googlu s vládní tajnou službou (NSA) v jejím špionážním programu PRISM. Jaký druh zabezpečení tedy skutečně poskytuje Google Disk?


Přenos dat

První možné bezpečnostní riziko pro vaše data je během přenosu. Když nahrajete svá data na centrální servery Google, musí se zasílat přes internet, což znamená, že by mohla být odposlechnuta/zachycena během přenosu.

Aby tomu Google zabránil, před odesláním dat zašifruje vaše data pomocí TLS. Toto je stejný šifrovací standard, který se používá k zabezpečenému připojení prohlížečů k webům HTTPS. Rychlá kontrola pomocí nezávislého nástroje pro auditování šifrování Qualys SSL Labs odhaluje, že připojení TLS společnosti Google jsou hodnocena jako A + (což je nejvyšší možná známka).

Google také šifruje vaše data, kdykoli jsou přenášena v rámci interní sítě. To znamená, že vaše data jsou vždy šifrována při přechodu z jednoho serveru Google na druhý a během synchronizace s různými zařízeními.


Úložiště

Jakmile vaše data dorazí do Googlu, jsou zašifrována, aby byla zabezpečena v rámci cloudových serverů. Google používá 128bitové šifrování AES pro všechna uložená data. Ačkoli to není tak silné šifrování jako 256bitové, prozatím je stále považováno za velmi bezpečné.

Pro větší zabezpečení Google šifruje šifrovací klíče AES používané k šifrování dat pomocí rotující sady hlavních klíčů. Tím se k datům uloženým na serverech Google přidá další vrstva zabezpečení.

Google šifruje všechny vaše soubory „za chodu“, aby zajistil, že vaše data jsou vždy bezpečně uložena a dešifrován je pouze soubor, ke kterému chcete skutečně přistupovat. Google však drží klíče k vašim souborům, což znamená, že firma může mít kdykoli přístup k vašim souborům, pokud chce.


Zásady ochrany osobních údajů

Smluvní podmínky společnosti Google uvádějí, že „si ponecháte vlastnictví všech práv duševního vlastnictví, která v tomto obsahu vlastníte.“ Stručně řečeno, to, co patří vám, zůstává vaše. Firma však tvrdí, že má právo používat váš soukromý obsah ke zlepšení svých služeb.

To znamená, že firma může skenovat dokumenty a hledat informace a klíčová slova, aby vám mohla lépe zobrazovat reklamy (ve všech ostatních službách) nebo jinak zlepšovat své služby a vyvíjet nové. Proto Google žádá o souhlas s přístupem ke všemu, co nahrajete.

Společnost Google si také vyhrazuje právo předat vaše údaje státním orgánům, pokud jim bylo vydáno oprávnění. To znamená, že americká vláda či jakákoli jiná se může dostat ke všem vašim souborům a vy se to nikdy nedozvíte (kvůli zákonnému nařízení tzv. „gag order“). Zdaleka to není ideální stav pro právníky a ukládání citlivých údajů. Toto je také primární důvod, proč jakékoli cloudové úložiště, které neposkytuje „end-to-end“ šifrování, nemůže být nikdy považováno za skutečně bezpečné.

Systém Advokta přináší vysoce zabezpečené cloudové uložiště navržené pro potřeby advokátů.

 

onedrive.jpg

Je OneDrive bezpečný?

OneDrive je oblíbená služba cloudového úložiště poskytovaná společností Microsoft. Stejně jako Google Disk poskytuje uživatelům 5GB volného místa, jakmile si zaregistrují účet u Microsoftu.

Přenos dat

Data přenášená do cloudového úložiště OneDrive společnosti Microsoft jsou šifrována pomocí TLS za použití 2048bitových klíčů. Jedná se o robustní šifrování, které zajišťuje, že vaše data jsou během přenosu chráněna před hackery a sledováním.

S cílem zajistit bezpečnost vašich dat při jejich přenosu z jednoho serveru na druhý (společnost Microsoft ukládá vaše data na více místech, aby byla chráněna před katastrofami), společnost také šifruje vaše data při jejich interním pohybu. Společnost Microsoft uvádí, že ačkoli „data jsou přenášena pomocí soukromé sítě, jsou dále chráněna šifrováním.“

Úložiště

Zatímco společnost Microsoft poskytuje informace o šifrování uložených dat pro platící uživatele OneDrive v tarifu business (firemní uživatelé). Nalezení důkazů o šifrování uložených dat pro neplatící uživatele OneDrive je složitější.

Firemním uživatelům říká, že nástroj BitLocker šifruje všechna data, která se ukládají na serverech společnosti Microsoft. Šifrování jednotlivých souborů poskytuje nepřetržité šifrování pro každý jednotlivý soubor, který nahrajete. Podle společnosti Microsoft používá šifrování AES 256, které je dostatečně silné.

I přes nejasnosti kolem rozdílu mezi firemními a osobními účty můžeme předpokládat, že Microsoft skutečně poskytuje šifrování uložených dat pro všechny uživatele OneDrive. Vycházíme z odstavce, kde se píše:

Each file is encrypted at rest with a unique AES256 key. These unique keys are encrypted with a set of master keys that are stored in Azure Key Vault.

Z tohoto prohlášení vyplývá, že všichni uživatelé OneDrive mají svá data šifrována a že toto šifrování je nepřetržité. (Přestože by bylo hezké, kdyby společnost Microsoft zcela jasně stanovila rozdíl mezi firemními a osobními účty).

Je však třeba si uvědomit, že OneDrive je zcela proprietární služba cloudového úložiště. Jedná se o uzavřený zdroj, což znamená, že není možné ověřit a veřejně auditovat, jak jsou vaše data zabezpečná. Kromě toho, že firma šifruje data vaším jménem a na svých serverech drží šifrovací klíče, má možnost přístupu k vašim datům, pokud chce a může dokumenty tedy i skenovat.


Zásady ochrany osobních údajů

Stejně jako v případě služeb Google se na službu OneDrive společnosti Microsoft vztahuje obecná zásada ochrany osobních údajů pro všechny produkty a služby společnosti Microsoft. Tato zásada uvádí, že společnost Microsoft má právo přístupu k vašim údajům, aby mohla lépe poskytovat své služby. Umožňuje také firmě přístup k vašim údajům za účelem sledování a zobrazování reklam.

Zásady společnosti Microsoft také uživatelům připomínají, že budou dodržovat vládní příkazy a nařízení, pokud budou vyzváni a to takto:

Budeme přistupovat, zveřejňovat a uchovávat osobní údaje, včetně vašeho obsahu (jako je obsah vašich e-mailů, jiných soukromých komunikací nebo souborů v soukromých složkách), pokud v dobré víře věříme, že je to nutné a v souladu s platnými právními předpisy. Budeme reagovat na platné právní procesy, a to i od orgánů činných v trestním řízení nebo od jiných státních orgánů.

Úřady tedy mohou kdykoli přistupovat k vašim souborům. A protože USA (kvůli zákonnému nařízení tzv. „gag order“) Vás nemusí informovat, vy se to nikdy nedozvíte.

Pokud chcete, aby vaše data byla bezpečně uložena online a neměl k nim nikdo přístup, ani tajné služby, je nezbytné zvolit službu, která poskytuje šifrování end-to-end.

Systém Advokta přináší vysoce zabezpečené cloudové uložiště navržené pro potřeby advokátů.

 

icloud.jpg

Je iCloud bezpečný?

iCloud je cloudové úložiště společnosti Apple. Protože se jedná o službu Apple, která je implementována do jejich produktů, jedná se o velmi oblíbenou službu mezi uživateli Apple. Často jsou služby Apple považovány za nejbezpečnější.
Stejně jako ostatní populární cloudová úložiště v tomto článku je iCloud uzavřeným zdrojem. To znamená, že jeho zdrojový kód není k dispozici pro auditování odborníky v oblasti bezpečnosti. Musíte tedy pouze důvěřovat společnosti Apple, že dosahuje takové úrovně zabezpečení, kterou tvrdí.

Apple měl již dříve několik odhalení (Edward Snowden), že spolupracuje s NSA (National Security Agency). Můžeme tomu věřit? A je Apple iCloud opravdu bezpečnější než jeho konkurenti?


Přenos dat

V roce 2014 se na Apple snesla negativní kritika po řadě útoků na uživatele iCloud. Podle zpráv byla připojení k serverům iCloud zranitelná vůči MITM (man in the middle attack). Apple to popřel a tvrdil, že se jednalo o phishing. Přesto společnost vylepšila své zabezpečení služby iCloud.

Apple uvádí, že veškerá komunikace se servery iCloud je chráněna šifrováním TLS 1.2 pomocí „Forward Secrecy“. Zkontrolovali jsme zabezpečení TLS iCloud pomocí Qualys SSL Labs a zjistili jsme, že služba získala hodnocení A +. Zabezpečení přenosu by tedy mělo být v pořádku.

Když přistupujete ke službám iCloud pomocí nativních aplikací Apple, jako jsou Mail, Kalendář nebo Kontakty, pro větší zabezpečení se provádí ověřování pomocí zabezpečeného tokenu. Zabezpečené tokeny eliminují potřebu ukládat vaše heslo iCloud do zařízení nebo počítače. Na rozdíl od hesla (které lze použít k přihlášení z jiného zařízení) nelze tento token odcizit, protože je kryptograficky svázáno s vaším zařízením (a bez zařízení je k ničemu).

Opět jsme nebyli schopni ověřit, jaký druh ochrany Apple používá k přenášení dat v jeho síti. Dalo by se předpokládat, že firma používá šifrování k přenášení dat mezi svými cloudovými servery, ale informace o úrovni zabezpečení nejsou volně dostupné.


Úložiště

Apple uvádí, že všechna data jsou uložena na jeho serverech pomocí šifrování AES 128. Není to tak bezpečné jako šifrování AES 256 poskytované mnoha cloudovými úložišti (OneDrive, DropBox), ale prozatím je stále považováno za velmi bezpečné.

„End-to-end“ šifrování je k dispozici pro některá data, která jsou na serverech Apple (Apple používá end-to-end šifrování pro iMessages a FaceTime, a dále pro zdravotní data, iCloud Keychain, platební informace, Quicktype klávesnice, čas obrazovky, informace Siri a informace o síti Wi-Fi).

Není však k dispozici pro jednotlivé soubory přenášené do iCloud. To znamená, že společnost Apple si ve svém cloudovém úložišti zachová kontrolu nad šifrovacími klíči pro soubory, které šifruje vaším jménem. To zdaleka není ideální, protože to znamená, že klíče k vašim datům by mohli použít zaměstnanci společnosti Apple, mohou uniknout online nebo být odcizeny.


Zásady ochrany osobních údajů

Zásady ochrany osobních údajů společnosti Apple objasňují, že za určitých okolností lze přistupovat k uživatelským datům iCloud:

We also use personal information to help us create, develop, operate, deliver, and improve our products, services, content, and advertising, and for loss prevention and anti-fraud purposes. We may also use your personal information for accounting and network security purposes, including in order to protect our services for the benefit of all our users, and pre-screening or scanning uploaded content for potentially illegal content, including child sexual exploitation material.

Jak vidíte, tato zásada umožňuje společnosti Apple skenovat vaše dokumenty, aby zajistila, že nejsou nelegální. Není jasné, zda Apple využívá své schopnosti skenovat dokumenty pro jakékoli jiné účely, ale dává si také oprávnění k využívání osobních údajů pro vývoj nových služeb. Zdá se tedy pravděpodobné, že provádí určitou úroveň podnikové špionáže. Samozřejmě, protože Apple je uzavřený zdroj, není možné přesně ověřit, jaký druh „snoopingu“ může nastat.

Stejně jako v případě společností Google a Microsoft se v zásadách společnosti Apple rovněž uvádí, že bude vyhovovat zákonným požadavkům na předání údajů. To znamená, že vaše data v iCloud mohou být zpřístupněna bez vašeho vědomí:

It may be necessary - by law, legal process, litigation, and/or requests from public and governmental authorities within or outside your country of residence - for Apple to disclose your personal information. We may also disclose information about you if we determine that for purposes of national security, law enforcement, or other issues of public importance, disclosure is necessary or appropriate.

Jak často tedy Apple předává údaje a umožňuje čtení souborů? V první polovině roku 2015 Apple připustil, že od policejních úřadů po celém světě dostal 4 472 žádostí. Apple uvádí, že poskytl údaje policii pro 1 886 z těchto žádostí (z nichž bylo 1 407 poskytnuto donucovacím orgánům USA).

Je také třeba poznamenat, že poznámky uložené na iCloudu nejsou nikdy šifrovány.

Systém Advokta přináší vysoce zabezpečené cloudové uložiště navržené pro potřeby advokátů.

 

dropbox.jpg

Je Dropbox bezpečný?

Přestože je obtížné považovat Dropbox za bezpečnější než ostatní konkurenční úložiště v tomto článku, ve skutečnosti byla služba přímo kritizována Edwardem Snowdenem, který velmi hlasitě vyjádřil o nedostatku soukromí, který uživatelé na platformě dostanou.

Dropbox je částečně pod licencí GPLv2 a částečně uzavřený zdroj. To znamená, že není možné nezávisle auditovat veškerý zdrojový kód služby.


Přenos dat

Stejně jako v případě ostatních služeb uvedených v tomto článku, Dropbox používá zabezpečený přenos TLS k ochraně všech dat, která jsou přenášena na servery. Dropbox uvádí, že vytvářejí tunel, který je chráněn šifrováním AES 128.

Zkontrolovali jsme službu Dropbox pomocí Qualys SSL Labs, abychom zjistili, zda vyhovuje testům nezávislého auditora. Společnost Qualys ohodnotila připojení TLS pomocí A +, což znamená, že zabezpečení přenosu by mělo být v pořádku.
Dropbox však neposkytuje end-to-end šifrování, což znamená, že data mohou být odcizena nebo přečtena neoprávněnou osobou.


Úložiště

Dropbox ukládá všechna data na své servery se silným šifrováním AES 256. Z vlastních publikací však není možné zjistit, zda je toto šifrování poskytováno nepřetržitě pro každý soubor, ke kterému je přístup.

Stejně jako v případě ostatních cloudů v tomto článku, neposkytuje Dropbox šifrování typu „end-to-end“. Místo toho drží šifrovací klíče pro všechna data a udržuje plnou kontrolu nad šifrováním a dešifrováním dat jménem uživatele. Jedná se o riziko z hlediska bezpečnosti a soukromí, protože to znamená, že firma má přístup k uživatelským datům, kdykoli to chce.
Kromě toho je možné, že uživatelská data mohou být odcizena, dojde-li k internímu úniku nebo pokud hackeři dokážou ukrást šifrovací klíče uživatelů ze serverů společnosti.

Rovněž stojí za zmínku, že služba již dříve měla problémy s autentizačními mechanismy, díky nimž mohl kdokoli přistupovat ke všem Dropboxovým souborům každého uživatele přibližně po dobu čtyř hodin bez nutnosti hesla účtu. Kromě toho odborníci v oblasti bezpečnosti dříve objevili chybu v aplikaci Dropbox pro iOS, která ukládala přihlašovací informace uživatele jako prostý text.

Od té doby však Dropbox tyto problémy vyřešil a přidal bezpečnostní opatření, která uživatelům umožnuje chránit své účty. Patří mezi ně dvoufaktorová autentizace, stránka pro kontrolu aktivního přihlášení k účtu, automatizované systémy, které kontrolují neobvyklou aktivitu, a vynucené aktualizace hesla pro účty, u nichž existuje podezření, že došlo k úniku.

Přes všechna tato vylepšení musí kdokoli, kdo chce používat Dropbox zcela bezpečným způsobem, zašifrovat data pomocí softwaru třetích stran před odesláním souborů do Dropboxu.


Zásady ochrany osobních údajů

Zásady ochrany osobních údajů Dropbox jasně stanoví, že vaše data zůstanou vždy vaše. Zásada však dává povolení ke „skenování“ všech vašich dat z důvodu lepšího poskytování jeho služeb. Registrace do Dropboxu také znamená, že vaše data mohou být sdílena s třetími stranami. Což je velmi problematické.

Dropbox je americkou firmou, což znamená, že na základě rozhodnutí může mít americká vláda přístup k vašim datům. Úřady tedy mohou kdykoli přistupovat k vašim souborům (kvůli zákonnému nařízení tzv. „gag order“). Jelikož Vás nemusí informovat, vy se to nikdy nedozvíte

Zásady ochrany osobních údajů jasně říkají, že při používání služby není zajištěno plné soukromí. Váš obsah bude zkontrolován a mohl by být použit k trestnímu stíhání.

Systém Advokta přináší vysoce zabezpečené cloudové uložiště navržené pro potřeby advokátů.

 

Doporučené postupy pro používání cloudového úložiště


Jak je vidět z tohoto článku, existuje mnoho otázek týkajících se ochrany osobních údajů poskytovaných populárními službami cloudového úložiště. Chybějící šifrování typu end-to-end znamená, že musíte poskytovateli důvěřovat, že bude vaše data ukládat a chránit je. A vzhledem k jejich základně v USA existuje vždy možnost, že by vláda mohla infiltrovat data v těchto účtech pomocí zákonného příkazu a nařízení.

Veřejné cloudové služby Google, Apple, Microsoft nebo Dropbox jsou pro advokáty obecně nevhodné. Jmenovaní poskytovatelé cloudu v tomto článku neposkytují možnost si definovat umístění uložení dat na území Evropského hospodářského prostoru dle nařízení Evropského Parlamentu a Rady (EU) 2016/679.
Advokáti potřebují zabezpečit data svých klientů, a proto by vždy měli používat cloudová úložiště s otevřeným zdrojovým kódem pro veřejný audit kódu a šifrováním typu „end-to-end“.
Více článků