Jak kontrolować i chronić dane w chmurze

Wstęp

Wiele organizacji korzysta z usług i aplikacji w chmurze, co umożliwia im prowadzenie sprawnego i efektywnego biznesu. Kiedyś duże firmy zlecały znaczną część obowiązków związanych z IT wyspecjalizowanym z tym zakresie partnerom zewnętrznym; dziś adopcja chmury stanowi niedrogi sposób, z którego mogą skorzystać firmy wszystkich rozmiarów, umożliwiający znaczne zwiększenie budżetu na IT, aby organizacja była dla klienta atrakcyjną propozycją.

Właściciele firm i pracownicy działów IT najchętniej korzystają z platform typu infrastruktura jako usługa (ang. Infrastructure-as-a-Service, IaaS) oraz oprogramowanie jako usługa (ang. Software-as-a-Service, SaaS). Jeśli chodzi o IaaS, niemal połowa (49%) przedsiębiorstw oraz 45% małych i średnich firm ma zamiar korzystać z zewnętrznej infrastruktury IT i procesów, a 49% przedsiębiorstw zgadza się, że głównym czynnikiem jest tutaj cięcie kosztów. W przypadku modelu SaaS ponad trzy czwarte (78%) małych i średnich firm oraz przedsiębiorstw używa już co najmniej jednego modelu usługi chmurowej, a tyle samo (75%) planuje przenieść do chmury kolejne aplikacje w przyszłości.

Usługi chmurowe dają małym i średnim firmom oraz przedsiębiorstwom elastyczność w zakresie rozwoju bez obaw o duże koszty czy obsługę infrastruktury IT, która odpowiada za ich codzienną działalność. Firmy korzystające z usług chmurowych mają przeciętnie od 4 do 5 różnych aplikacji dostarczanych albo w formie chmury prywatnej, albo jako oprogramowanie SaaS. Najczęściej jest to program pocztowy (52%), następnie oprogramowanie do współpracy (48%) i zarządzania zasobami ludzkimi (48%) oraz narzędzia finansowo-księgowe (47%).

Siłą napędową niemal każdej firmy — bez względu na to, jaki jest jej rozmiar czy w jakim działa sektorze — jest technologia. W ostatnich latach chmura obliczeniowa stała się sposobem na uwolnienie się od kwestii związanych z IT, co umożliwiło firmom skupienie się na rozwoju i skutecznym działaniu. Biorąc pod uwagę krajobraz globalny, szybko rozwijające się gospodarki w dużej mierze opierają się na usługach chmury: firmy w Chile (47%), Indiach (44%) i Turcji (43%) przechowują niemal połowę swoich danych poza własną siecią czy strefą bezpieczeństwa.

Choć firmy korzystają z pomocy przy coraz większych wymaganiach w zakresie IT, mogą także ponosić koszty za usługi w chmurze – gdy bez namysłu używają aplikacji wykorzystujących chmurę, a nie mają możliwości rozliczania się za dane przechowywane w wielu rozległych usługach. Umożliwia to wystąpienie potencjalnych problemów z bezpieczeństwem i kosztami.

Niniejszy raport analizuje podejście i problemy, jakich aktualnie doświadczają dyrektorzy ds. bezpieczeństwa informacji, działy odpowiedzialne za bezpieczeństwo oraz właściciele MŚP, występujące w scenariuszu „cloud zoo”. Czy w dążeniu do zwiększenia swojej efektywności firmy otwierają się na zagrożenia? Czy można oswoić środowisko chmury, tak aby zapewniało ono bezpieczeństwo i zwiększało możliwości, a nie zagrożenia? 

Metodologia

O ile nie wskazano inaczej, wszystkie liczby podane w niniejszym raporcie zostały przytoczone z globalnego badania pt. „Kaspersky Lab Corporate IT Security Risks Survey” przeprowadzonego w okresie marzec-kwiecień 2017 r. przez firmę B2B International na zlecenie Kaspersky Lab, obejmującego osoby decyzyjne w firmach IT.

W badaniu zapytano 5 274 pracowników o różne aspekty związane z cyberbezpieczeństwem, w tym: podejście firmy do tych zagadnień; największe wyzwania, z jakimi muszą się mierzyć; oraz jakie wykorzystują podejścia i strategie.

Ankietowani byli przedstawicielami bardzo małych firm (1-49 pracowników), małych i średnich firm (50-999 pracowników), a także dużych przedsiębiorstw zatrudniających ponad  1000 osób. Aby uzyskać całkowity obraz krajobrazu zagrożeń, wyniki zostały porównane z zeszłorocznym badaniem, a także podzielone ze względu na region, branże i rozmiary firm.

Szybkość a bezpieczeństwo

Nie jest zaskoczeniem, że bezpieczeństwo informacji w chmurze nadal należy do największych obaw osób, które chcą skorzystać z usług hostingu: 59% małych, średnich i dużych firm czuje, że outsourcing i usługi hostingu w chmurze mogą stwarzać nowe zagrożenia dla bezpieczeństwa IT w ich firmie. Zadziwiające jest jednak to, że mimo tych zastrzeżeń wiele firm nadal nie traktuje bezpieczeństwa w chmurze poważnie ani nie stosuje odpowiednich środków w celu zbadania środowiska i zapewnienia danym bezpieczeństwa — bez względu na to, gdzie się one znajdują.

Szybkie tempo adopcji chmury sprawiło, że w wielu firmach działy odpowiedzialne za cyberbezpieczeństwo nie wiedzą, gdzie znajdują się ich dane. 42% dużych firm przyznaje, że nie wie, czy określone informacje są przechowywane na serwerach firmy, czy na serwerach dostawców chmury, co znacznie zaciemnia im obraz ich integralności. Małe i średnie firmy obawiają się tego w nieco mniejszym stopniu — zdanie to podziela zaledwie 36%. Różnica ta może wynikać z faktu, że MŚP zwykle mają mniejszą i mniej skomplikowaną infrastrukturę w porównaniu do dużych firm, więc z większym prawdopodobieństwem wiedzą, gdzie są przechowywane ich dane.

Niepewność ta prowadzi do scenariusza „cloud zoo” — wiele firm tkwi w nieokiełznanej dżungli danych, nad którymi nie mają kontroli ani nie widzą swoich danych. Co ważniejsze, nie mają kontroli nad danymi swoich klientów, a to może skutkować poważnymi konsekwencjami wynikającymi  braku zgodności z ogólnym rozporządzeniem o ochronie danych (ang. General Data Protection Regulation, GDPR) i jego pochodnymi, np. do podjęcia kroków prawnych, których następstwem będą grzywny i kary.

Sytuację dodatkowo komplikuje brak planowania i badania tematu przyjęcia chmury. Konsekwencje tego mogą być dotkliwe: w wyniku incydentu bezpieczeństwa związanego z chmurą duże przedsiębiorstwa mogą doświadczyć skutków finansowych w wysokości średnio 1,2 miliona dolarów, a MŚP w wysokości 100 tys. dolarów.

Problemy związane z firmami zewnętrznymi

To, że coś jest poza zasięgiem wzroku, nie powinno być równoznaczne z tym, że można o tym zapomnieć. Oczywiście incydenty związane z infrastrukturą IT zarządzaną przez firmę zewnętrzną stanowią jedno z trzech coraz częściej pojawiających się zdarzeń, które wpływają na bezpieczeństwo – jedna na cztery (24%) firmy doświadczyła incydentu w ciągu ostatnich 12 miesięcy. Niepokojąco dużo, bo aż 47% przypadków utraty danych było wynikiem ich wycieku lub ujawnienia po włamaniu na infrastrukturę chmury należącej do firmy zewnętrznej. Powinno to skłonić firmy do omówienia tej kwestii na szczeblu zarządu.

Zaostrzenie przepisów regulujących nie tylko bezpieczeństwo danych klientów, ale także kwestie włamań na wysokim szczeblu (takie jak niedawne zhakowanie agencji Equifax, które skutkowało kradzieżą szczegółowych danych setek tysięcy klientów) także może ułatwić firmom zabezpieczenie danych – bez względu na to, gdzie są one przechowywane. Jednak wygląda na to, że wraz z rezygnacją z przechowywania danych na rzecz firm zewnętrznych wiele firm umywa ręce, jeśli chodzi o ich odpowiednie zabezpieczenie.

W efekcie 41% dużych przedsiębiorstw utraciło wrażliwe informacje klientów i pracowników poprzez wyciek danych z usługi chmury oferowanej przez firmę zewnętrzną, a 34% doświadczyło narażenia tajemnic i własności intelektualnej.

Odsetek  małych i średnich firm, które utraciły w takich okolicznościach wrażliwe informacje swoich klientów oraz pracowników, wynosi 46%, a 18% utraciło informacje finansowe dotyczące firmy. Oprócz rzeczywistej utraty danych małym firmom, które korzystają z usług chmurowych, potencjalnie zagrażają także ataki DDoS: takiego ataku mogło doświadczyć 37% z nich, w porównaniu do 22% firm, które nie korzystają z takich usług.

Sugeruje to, że firmy, które korzystają z usług zewnętrznych, są bardziej narażone na ataki DDoS, co oznacza, że MŚP, które korzystają z chmury, muszą poprawić swoją cyberodporność.

Po czyjej stronie leży odpowiedzialność?

Jednym z najważniejszych problemów i czynników składowych scenariusza „cloud zoo” jest odpowiedzialność za bezpieczeństwo danych w chmurze. Chociaż koncepcja „współdzielonej odpowiedzialności” jest często akceptowana podczas podejmowania decyzji o korzystaniu z chmury, umowy o poziomie usług zazwyczaj informują, że dostawca usługi pokrywa jedynie „dostępność usługi” i „bezpieczeństwo infrastruktury chmury” (zwykle obejmujące wirtualizację, ochronę sieci i sprzętu). Nawet jeśli najwięksi dostawcy chmury oferują w niej usługi zabezpieczające (w tym zarządzanie tożsamością, szyfrowanie danych czy VPN), nie zapewnia to całkowitego cyberbezpieczeństwa. Firmy adoptujące chmurę muszą pochylić się nad tym tematem, aby złagodzić potencjalne zagrożenia dla bezpieczeństwa danych.

Oznacza to, że za ochronę przed ransomware czy atakami DDoS, które są wymierzone w dane przechowywane w chmurze, odpowiedzialność ponosi klient. Ta subtelna, lecz istotna różnica umyka wielu firmom; zakładają one, że dostawca chmury nie tylko przechowuje ich dane, ale także je zabezpiecza.

W rezultacie 7 na 10 (70%) firm korzystających z modelu SaaS oraz dostawców usług w chmurze nie ma konkretnego planu, który mogłyby zastosować w przypadku wystąpienia incydentu bezpieczeństwa zagrażającemu ich partnerom. Co więcej, jedna czwarta (24%) firm przyznaje, że nie sprawdza, czy wybrany przez nie dostawca usługi działa zgodnie z przepisami. 42% firm nie czuje się adekwatnie chroniona przed incydentami ze strony dostawcy usługi chmury – sugeruje to wyraźną rozbieżność między oczekiwaniami a rzeczywistością oraz całkowite zaufanie w stosunku do firm zewnętrznych. Dotyczy to 43% MŚP oraz 38% dużych firm.

Obawy związane z bezpieczeństwem

Chociaż obawa o bezpieczeństwo danych jest tak wyraźna, firmy wszystkich rozmiarów i działające we wszystkich sektorach nie mają całkowitej pewności odnośnie tego, co należy do ich obowiązków. Działy odpowiedzialne za cyberbezpieczeństwo w dużych firmach chętniej sprawdzają podejście do bezpieczeństwa stosowane w firmach zewnętrznych, którym udostępniają dane (35%). W przypadku MŚP odsetek ten wynosi 31%, a ponad połowa (53%) bardziej martwi się o bezpieczeństwo IT infrastruktury firmy zewnętrznej niż własne.

Wobec tego duże firmy zaczynają się obawiać polegania na firmach zewnętrznych, jeśli chodzi o krytyczne usługi IT: 47% czuje się zbyt uzależniona, w porównaniu do 42% MŚP.

Większość firm nie ma wyraźnego planu na wypadek wystąpienia incydentu związanego z dostawcami usług chmurowych

Chmura obiecuje elastyczność i wydajność

Mimo obaw związanych z bezpieczeństwem danych i kontrolą cloud zoo korzystanie z usług IT za pośrednictwem chmury i możliwości, jakie stwarza to podejście, są coraz większe. Niemal jedna czwarta (23%) dużych przedsiębiorstw planuje rozszerzyć korzystanie z chmur publicznych, a tyle samo planuje zwiększyć użycie chmur prywatnych (22%) i hybrydowych (21%) w ciągu najbliższych 12 miesięcy. W przypadku MŚP adopcja tej technologii przebiega wolniej: według prognoz jej użycie wzrośnie w środowiskach publicznych (18%), prywatnych (17%) i hybrydowych (14%).

Różnica w poziomie adopcji może wynikać z różnych poziomów obsługi IT i wymaganej infrastruktury. Niemal jedna czwarta (23%) dużych firm używa — lub ma zamiar — oprogramowania do współpracy w chmurze; na kolejnych pozycjach plasują się programy związane z finansami i księgowością (21%); charakterystyczne dla firmy, zależne od klienta aplikacje (19%); oraz automatyzacja CRM i procesów sprzedaży (16%). Adopcja w MŚP podlega różnym wymaganiom, a do chmury przenoszone jest głównie oprogramowanie do zarządzania zasobami ludzkimi (21%) i do księgowości (20%).

Zagrożenie czy możliwości

Różnice we współczynniku adopcji oraz wykorzystywanie chmury pokazują, jak firmy postrzegają chmurę. Darzące dużym zaufaniem i intensywnie z niej korzystające, duże firmy traktują chmurę jako możliwość (43%), a nie jako zagrożenie (28%). Z kolei MŚP patrzą na nie inaczej: jedna trzecia (32%) bierze pod uwagę możliwe zagrożenia, które mogą wynikać z korzystania usług w chmurze.

Ocena wpływu na bezpieczeństwo większego korzystania z zewnętrznych i chmurowych usług

W rezultacie podejście do zabezpieczeń także różni się w zależności od wielkości firmy: małe i średnie firmy są ostrożniejsze i mniej ufne, jeśli chodzi o przeniesienie wszystkich aplikacji do chmury, a także nie są pewne, na ile naprawdę ich dane są bezpieczne.

Wniosek: jak poskromić Cloud Zoo

Obecnie usługi chmurowe są w dużym stopniu wykorzystywane przez duże i małe firmy. Jednak wraz ze zlecaniem usług firmom zewnętrznym pojawia się temat odpowiedzialności i bezpieczeństwa danych. Brak zrozumienia odnośnie tego, kto ponosi odpowiedzialność za zabezpieczenie danych w chmurze, jak również problem z określaniem ich lokalizacji sprawiają, że skala zagrożeń może przewyższyć korzyści, jeśli zagadnienie to nie zostanie odpowiednio opracowane przez firmy.

Zadaniem chmury jest pomoc firmom w zmniejszeniu całkowitego kosztu własności, uproszenie operacji i zwiększenie sprawności działania – a nie przysporzenie im zmartwień w związku z bezpieczeństwem. Kluczem jest zaadoptowanie jej w odpowiedni sposób. Chmura z założenia jest szybka i łatwa w adopcji, jednak nie powinno to wpływać na bezpieczeństwo. Jednak wydaje się, że firmy spokojnie podchodzą do kwestii bezpieczeństwa danych w chmurze: tylko 30% z nich korzysta z wyspecjalizowanych produktów zabezpieczających przeznaczonych dla aplikacji SaaS, IaaS, chmur publicznych i prywatnych.

Aby technologia chmury nie stanowiła zagrożenia, podczas jej adopcji firmy mogą zastosować się do kilku zasad, dzięki którym będą mogły korzystać z jej możliwości bez przeszkód. Po pierwsze należy sprawić, aby ekosystem chmury był widoczny —firmy muszą widzieć, gdzie są przechowywane ich dane. Każdy fragment infrastruktury chmury – czy to hybrydowej, hostowanej czy publicznej – także powinien mieć swój własny zestaw środków zabezpieczających, tak jakby dane były chronione w sieci firmowej.

Podjęcie tych kluczowych kroków i zastosowanie strategii zabezpieczenia chmury jest jedyną drogą, aby firmy okiełznały cloud zoo i miały całkowitą kontrolę nad wszystkimi elementami ekosystemu bez względu na to, ile danych jest przesyłane i ile znajduje się wewnątrz każdego załącznika.