Istota zabezpieczenia chmury: korzyści, zagrożenia i obawy związane z jej użytkowaniem

Popularność chmury szybko rośnie zarówno wśród korporacji, jak i małych i średnich firm. Jak mogą one zadbać o jej cyberbezpieczeństwo?

Szybki wzrost adopcji chmury

Z uwagi na to, że wiele organizacji w coraz większym stopniu digitalizuje różne obszary swojej działalności, popularność chmury szybko rośnie zarówno wśród korporacji, jak i małych i średnich firm (MŚP). Według szacunków firmy Gartner przychody rynku chmur publicznych mają wzrosnąć w 2019 roku o kolejne 17%.

Przeprowadzone niedawno przez Kaspersky Lab badanie sugeruje, że taki współczynnik adopcji jest prawdopodobny. Ponad jedna trzecia (37%) MŚP oraz połowa (50%) korporacji używa już lub planuje zwiększyć zakres korzystania z usługi chmury publicznej.

Nic więc dziwnego, że technologia ta się rozwija. Dzięki chmurze firmy mogą poprawić działanie swojej infrastruktury IT oraz niezawodność usług, jak również przyspieszyć dostarczanie nowych produktów i usług.

Ponadto nie można zapomnieć o oszczędnościach, jakie wiążą się z korzystaniem z chmury. W przypadku dwóch na pięć organizacji koszt przechowywania danych na przestarzałym sprzęcie IT przekracza 100 tys. dol. rocznie. Co ciekawe, zmiana podejścia jest najbardziej widoczna w branżach objętych surowymi przepisami. Na chwilę obecną chmurę najczęściej adoptują dostawcy narzędzi, w nieco mniejszym stopniu decydują się na to firmy informatyczne i telekomunikacyjne, a także usługi finansowe.

Rys 1.  Firmy (wg branży), które używają chmury i mają zamiar zwiększyć wykorzystanie chmury publicznej

Bez względu na to, czy firma spełnia potrzeby klienta w zakresie łączności, finansów czy energetyki, chmura oferuje jej wiele możliwości zarządzania informacjami, procesami, aplikacjami, a także zapewnia jej łączność. Jednak podobnie jak w przypadku każdej innej nowej technologii, która szybko się rozwija, chmura niesie ze sobą nowe zagrożenia i problemy dla firm. Niniejszy raport analizuje zagrożenia, które według firm mogłyby zaszkodzić ich infrastrukturze chmurowej, opisuje te, na które muszą się przygotować, oraz podpowiada, na co muszą zwrócić największą uwagę. Ponadto raport zawiera wskazówki, w jaki sposób organizacje powinny traktować kwestie cyberbezpieczeństwa infrastruktury chmury, aby zapewnić ochronę sobie i swoim klientom.

Metodologia

Raport firmy Kaspersky Lab pt. „Global Corporate IT Security Risks Survey” to coroczne badanie stanu bezpieczeństwa IT w organizacjach na całym świecie. To jego ósma edycja, w której wykorzystaliśmy wnioski z poprzednich lat.

W badaniu wzięło udział 7186 firm w 24 krajach: od bardzo małych firm zatrudniających 1-50 osób, przez małe i średnie przedsiębiorstwa zatrudniające 51-999 pracowników po korporacje zatrudniające ponad 1000 osób. Badanie zostało przeprowadzone w okresie marzec-kwiecień 2018 r.

Świadomość odpowiedzialności za ochronę wrażliwych danych

Jak ujawniło nasze badanie, mimo tego, że firmy darzą zaufaniem platformy chmurowe, obawiają się o bezpieczeństwo swojej pracy i przechowywanych w chmurze danych. MŚP oraz korporacje przechowują w chmurze coraz więcej wrażliwych informacji osobistych, co w przypadku wystąpienia wycieku może pociągnąć za sobą utratę zaufania ze strony klienta. W rzeczywistości jedna na pięć (21%) firm już wykorzystuje chmurę do przechowywania wrażliwych informacji osobistych, które umożliwiają identyfikację klienta. Można przypuszczać, że odpowiedzialność za zabezpieczenie tego, co jest przechowywane w chmurze, powinna leżeć po stronie dostawcy platformy chmurowej. Tymczasem za zmniejszanie zagrożenia wycieku danych odpowiadają obie strony. W końcu prawdopodobieństwo, że w organizacji pojawi się wyciek wynikający z banalnych i możliwych do wyeliminowania błędów pracowników, jest bardzo wysokie.

Wiele firm nadal informuje o zagrożeniach ze strony dobrze znanego i tradycyjnego cyberataku – socjotechniki. Firma Kaspersky Lab odkryła, że jedna trzecia (33%) incydentów obejmujących infrastrukturę zarządzaną przez firmę zewnętrzną wynikała z ataku phishingowego lub innej metody socjotechniki. Za włamanie do sieci firmowej stanie się odpowiedzialny użytkownik, który otworzy fałszywą wiadomość e-mail, pobierze szkodliwy program czy kliknie złośliwe łącze internetowe, a nie dostawca infrastruktury. Analizując źródło ataków, można zauważyć, że z winy dostawcy chmury wynika zaledwie 11% incydentów. To wyraźnie pokazuje, że odpowiedzialność za ochronę chmury nie powinna spoczywać na barkach dostawcy chmury domyślnie, lecz musi dbać o nią każda ze stron.

Jeśli chodzi o czynnik ludzki, najbardziej narażone są wrażliwe dane. Około dziewięć na dziesięć (88%) MŚP i korporacji (91%), które doświadczyły wycieku danych z wykorzystywanej przez nich infrastruktury chmury publicznej, przyznało, że atak opierał się w jakimś stopniu na socjotechnice. Do trzech najczęściej kradzionych rodzajów danych należą: informacje potwierdzające tożsamość klienta, informacje związane z płatnością klienta oraz dane autoryzujące użytkowników. Konsekwencje wycieku takich informacji mogą być bolesne. Taki wyciek przeciętnie kosztuje MŚP 206 000 dol., a korporacje znacznie więcej (2 016 000 dol.).

Co więcej, firmy nie powinny ignorować zagrożeń przygotowanych również z myślą o zaszkodzeniu ich kluczowej infrastrukturze. W prawie takim samym stopniu (26%) dotyczy to ataków ukierunkowanych.

Rys. 2. Wektory, które przyczyniły się do incydentów w infrastrukturze IT utrzymywanej przez firmę zewnętrzną

Czy firmy odpowiednio się chronią?

Przestój w pracy, straty finansowe, utrata reputacji firmy i ciężko zdobyta lokalność klientów mogą nieść katastrofalne skutki, dlatego firmy mają coraz większą presję na zabezpieczenie swoich sieci. Niemal dwie piąte korporacji (39%) i ponad jedna trzecia (35%) MŚP przyznała, że obawia się incydentów, które mogą wydarzyć się w infrastrukturze IT utrzymywanej przez zewnętrznego dostawcę.

Wiedząc, że wyciek częściej wynika z socjotechniki niż winy dostawcy usługi, firmy muszą wdrożyć środki ochrony zapewniające widoczność środowisk chmurowych, jak również odpowiednie zarządzanie ochroną i bezpieczeństwo przechowywanych w nich danych. Chociaż rozwiązania umożliwiające spełnienie tych wymogów są już dostępne, nasze badanie pokazało, że większość firm dopiero zamierza je wdrożyć.

Na przykład ponad jedna czwarta (28%) MŚP i co piąta (22%) korporacja przyznaje, że nie dysponuje lub dysponuje w niewielkim stopniu rozwiązaniami do ochrony chmury, infrastruktury i platformy dostarczanych w postaci usługi. Co więcej, mniej niż dwie piąte (39%) MŚP oraz połowa (47%) korporacji zaadoptowały specjalnie dopasowaną ochronę przed wyciekami danych w infrastrukturze chmury. A zatem, mimo obaw związanych z platformami chmurowymi niektóre firmy nie robią nic na rzecz całkowitego zabezpieczenia swoich sieci. Ponadto należy zastosować niezawodne metody ochrony procesów oraz wdrożyć szkolenia pomagające uniknąć takich zagrożeń jak czynnik ludzki.

W jaki sposób firmy mogą zabezpieczyć chmurę?

Nasze badanie pokazuje, że firmy muszą pokonać jeszcze długą drogę, aby odpowiednio zabezpieczyć się przed zagrożeniami związanymi z platformami chmurowymi oferowanymi przez dostawców zewnętrznych. Niestety zwlekanie z zapewnieniem bezpieczeństwa stwarza zagrożenie dla płynności działania firmy, jej sieci i procesów — w postaci powszechnie stosowanej socjotechniki, tradycyjnych szkodliwych programów czy ataków ukierunkowanych. Warto zrozumieć już dziś, że odpowiedzialność za zapewnienie ochrony przed różnymi zagrożeniami ponoszą firmy, dlatego muszą zacząć korzystać z odpowiednich rozwiązań chroniących infrastrukturę oferowaną przez firmy zewnętrzne. Nie można zrzucać tej odpowiedzialności na dostawcę takich usług. Kaspersky Lab zaleca firmom podjęcie następujących działań:

  • Zwiększaj świadomość pracowników na temat cyberzagrożeń, zanim padną ich ofiarą. Poinformuj ich, że nie wolno klikać odnośników ani otwierać załączników w komunikacji z nieznanymi użytkownikami, a także pobierać plików i programów z niezaufanych stron. Firma Kaspersky Lab oferuje specjalne szkolenia w postaci grywalizacji, które wspaniale nadają się do celów edukacyjnych. Poznaj nasz program Kaspersky Security Awareness.
  • Czasami różne działy używają platform chmurowych w celu ominięcia działów IT i bezpieczeństwa IT. Aby zmniejszyć zagrożenie związane z bezprawnym użyciem platform chmurowych, edukuj pracowników, jakie ryzyko wiąże się z nadużyciami w obszarze IT, oraz ustal procedury zakupu i użytkowania infrastruktury chmurowej dla każdego działu.
  • Korzystaj z rozwiązania do ochrony punktów końcowych, które potrafi rozpoznawać ataki z użyciem socjotechniki. Powinno ono zabezpieczać serwery pocztowe, klienty pocztowe i przeglądarki.
  • Nie zwlekaj z implementacją ochrony dla infrastruktury chmurowej. Przygotuj plan migracji do chmury oraz ustal zakres odpowiedzialności za każdą platformę chmurową.
  • Infrastruktura chmurowa często jest obiektem dynamicznym, któremu brakuje transparentności. Optymalnym podejściem jest wykorzystywanie specjalnego rozwiązania cyberbezpieczeństwa, które posiada ujednoliconą konsolę zarządzającą ochroną na wszystkich platformach chmurowych, obsługuje automatyczne wykrywanie hostów w chmurze, jak również automatycznie skaluje poziom ochrony na każdym z nich.
  • Rozwiązanie Kaspersky Hybrid Cloud Security oferuje firmom wielowarstwową ochronę dla środowisk wielu chmur, ujednolicone cyberbezpieczeństwo oraz bezproblemowe zarządzanie. Rozwiązanie to wykrywa powszechne i skomplikowane zagrożenia oraz chroni całą infrastrukturę chmury, od lokalnych środowisk zwirtualizowanych po publiczne platformy chmurowe, takie jak AWS czy Microsoft Azure.

Więcej informacji na temat Kaspersky Hybrid Cloud Security można znaleźć na naszej oficjalnej stronie.

Porady