Studie Understanding Security of the Cloud: from Adoption Benefits to Threats and Concerns (Jak porozumět zabezpečení cloudu: Od přijetí výhod cloudu k hrozbám a obavám) a každoroční přehled Global Corporate IT Security Risks Survey ukazují, že ačkoliv se podniky obávají spíše slabin na straně poskytovatele veřejného cloudu, za 90 % úniků dat z cloudu jsou odpovědní jejich vlastní zaměstnanci. Nejčastější je situace, kdy lidé ohrozí firemní data neúmyslně. Dají se např. oklamat phishingem či jinými technikami sociálního inženýrství, útočník se dokáže zmocnit přihlašovacích údajů při útoku man-in-the middle apod. V důsledku toho se útočníci dokáží dostat k citlivým datům, mohou je i zašifrovat prostřednictvím ransomwaru a vlastníka dat následně vydírat.
Poskytovatel cloudu zde není na vině. Podobná rizika pochopitelně nastávají i při uchovávání firemních dat na vlastních serverech. Určitý rozdíl zde však přesto existuje. Především malé a střední firmy někdy volí cloud s nadějí, že veškeré zabezpečení pak zařídí jeho poskytovatel. Chyby na straně provozovatele cloudu jsou přitom odpovědné za relativně malý podíl bezpečnostní incidentů (dle příslušného průzkumu 11 %). Chování uživatelů ale představuje problém, který na infrastruktuře IT prakticky nezávisí. Pro srovnání, i v tak „profesionálním“ prostředí, jako jsou průmyslové řídicí systémy, odpovídají za většinu bezpečnostních incidentů samotní zaměstnanci.
Řešením je tedy investovat do školení zaměstnanců i do specializovaného bezpečnostního softwaru, a to bez ohledu na to, jak konkrétně podniky své IT provozují. Při migraci do cloudu je třeba se vyhnout dvěma chybným předpokladům:
- Stávající zabezpečení je nedostatečné, poskytovatel cloudu ale problém vyřeší za firmu. To ale může v omezené míře platit maximálně pro malé firmy, které dosud bezpečnosti nevěnovaly žádnou pozornost a nemají potřebné specialisty, takže prakticky jakákoliv změna bude zřejmě k lepšímu.
- Stávající zabezpečení je dostatečné a bude dále fungovat při přechodu do cloudu. To ale nemusí platit, on-premise řešení nemusejí být pro cloud vhodná, nepokrývají ho úplně (nezajistí viditelnost přes celé prostředí) nebo zde nepracují efektivně. Tento problém se týká především firem z kategorie SMB, ale v menší míře i velkých podniků.
Vhodná řešení pro zabezpečení cloudu jsou přitom již k dispozici. Existují různé verze bezpečnostních produktů podle toho, zda jsou určena pro fyzickou, virtualizovanou nebo cloudovou infrastrukturu.
Raději si nechat poradit
Řada studií vede k závěru, že s přechodem na cloud se bezpečnost podnikových dat spíše zvyšuje. Cloud již používá a dále plánuje tímto směrem postupovat 37 % malých a středních firem a polovina těch velkých. Přechod na cloud umožňuje obvykle snížit náklady na IT a přispívá k pružnějšímu fungování firmy. Při migraci do cloudu nebo rozšířeném nasazení cloudových služeb je ale třeba vše důkladně zvážit, rozhodnout mezi jednotlivými možnosti a předem ověřit různé scénáře. DataGuard dokáže nabídnout testovací prostředí, které podnikům při rozhodování o přesunu do cloud pomohou, umožní demonstrovat dané technologie a bezpečnostní řešení. DataGuard současně dokáže zajistit externí bezpečnostní audit a pomoci firmám, jak řízení rizik spojených s IT vylepšit a standardizovat. Součástí nabídky jsou i bezpečnostní školení správců a specialistů na zabezpečení, a to podle konkrétních potřeb příslušného zákazníka.
Aleš Pikora, ředitel divize, DataGuard, PCS
PŘEDPLATNÉ
ČLÁNKY DO MAILU