26/06/2018

Incydenty bezpieczeństwa w chmurze: kto ponosi odpowiedzialność za utratę danych firmowych?

Biznes MŚP

Jeśli firma nie ma jeszcze rozmiarów korporacji, najprawdopodobniej wykorzystuje w codziennej pracy jakieś usługi w chmurze: Google Apps for Work, MS Office 365, Dropbox, CRM, platformę do księgowości lub jakąś inną. Mniejsze firmy raczej nie robią wszystkiego same, we własnym zakresie. 73% małych firm, które wzięły udział w naszym badaniu, przyznało, że korzysta z jednej lub więcej takich usług w celu zwiększenia swojej produktywności i skuteczności. Jednak często brakuje im gwarancji, że dane w chmurze nie zostaną wykorzystane w niewłaściwych celach albo nie wyciekną.

Pewnie większość z Was uważa, że za te aspekty bezpieczeństwa odpowiada dostawca chmury. Niestety migracja do usług chmurowych nie przerzuca konieczności ochrony danych na kogoś innego. Nawet jeśli dostawca chmury obiecuje rewelacyjne mechanizmy ochrony danych, pracownicy danej firmy mogą zniweczyć ich skuteczność poprzez swoje zaniedbanie czy w wyniku popełnienia błędu.

Podstawową przyczyną takiego stanu rzeczy jest błędne założenie odnośnie tego, kto odpowiada za ochronę usług i aplikacji w chmurze. Jak wynika z naszego badania, 59% MŚP uważa, że to dostawcy usług powinni zabezpieczać ich pliki na stronach służących do współdzielenia dokumentów w grupie; 57% twierdzi, że usługodawcy ci ponoszą odpowiedzialność za ochronę automatyzacji marketingu; a 58% wskazuje, że firmy zewnętrzne powinny zabezpieczać oprogramowanie do przeprowadzania transakcji.

Prawda jest niestety nieco inna: ochrona danych przechowywanych w chmurze to odpowiedzialność rozproszona. Nie ma wątpliwości co do tego, że dostawcy usług w chmurze muszą utrzymywać odpowiedni poziom ochrony. Jednak to nie powinno sprawiać, że ich klienci mogą się czuć bezpiecznie, bo to właśnie oni są odpowiedzialni za zasady dostępu do swoich danych, ustawienie silnych haseł dostępowych do tych usług i ich konfigurację.

Nawet jeśli dostawca twierdzi, że o wszystko zadba i pokryje wszelkie straty w przypadku wycieku (co jest wysoce nieprawdopodobne, jednak wyobraźmy sobie, że ktoś naprawdę tak zapewnia) — co powiesz swoim klientom, gdy dojdzie do wycieku ich danych? Będziesz obwiniać usługodawcę zewnętrznego? Twoi klienci zawierzają swoje informacje Tobie i to Ty utracisz ich zaufanie.

Gdy słyszymy o incydentach związanych z wyciekiem danych, zwykle dotyczą one dużych firm, a nie tych z sektora MŚP. Niech ta sytuacja nie da Wam złudnego poczucia bezpieczeństwa: warto pamiętać, że informacja o takim wycieku staje się popularna ze względu na rozmiar incydentu — im większa firma, tym więcej danych może wyciec. Jednak małe firmy są nie mniej podatne na takie wydarzenia. Według wspomnianego wyżej badania, 42% MŚP doświadczyło incydentu bezpieczeństwa związanego z usługami chmurowymi.

Więcej wniosków z przeprowadzonego przez nas badania znajduje się w raporcie w j. angielskim, który można pobrać stąd (PDF).