Můžete svou bezpečnost plně svěřit svému cloudovému poskytovateli?

21. 4. 2022

Sdílet

 Autor: depositphotos.com
Více než polovina organizací už migrovala data a aplikace do cloudu a zároveň se na špičku technologických priorit firem přesunulo zabezpečení, ukázala nedávná studie společnosti IDC. Důraz na bezpečnost přitom není nijak náhodný – téměř polovina respondentů totiž má pocit, že se pouze na bezpečnostní schopnosti svého poskytovatele cloudových služeb nemůže spolehnout.

Studie, kterou IDC vloni udělalo v ČR a na Slovensku pro firmu Thales a Askon International, navíc ukazuje, že firmy už se svou expertízou na problematiku ochrany dat samy nestačí – devět z deseti dotázaných pro svou bezpečnostní strategii využívá externí specialisty.

Zvýšenému zájmu o bezpečnost přitom přispělo více faktorů – například kvůli nedávné pandemii se firmy zaměřily na digitalizaci a podporu vzdálené práce, čehož logicky začali využívat zločinci. Zároveň se zvýšily i požadavky dané regulatorními opatřeními a stoupl i obecný zájem o problematiku ochrany dat.

Podle studie IDC Annual European Security and Privacy Survey se vloni staly zabezpečení dat a cloudová bezpečnost hlavními technologickými prioritami evropských podniků a organizací. Podobná situace přitom vyplývá i ze studie zahrnující Českou republiku a Slovensko.

Na otázku: „Pokud vaše organizace má nebo plánuje mít data v cloudu, je to důvod ke zlepšení zabezpečení dat?“ odpovědělo více než 80 % oslovených subjektů „rozhodně ano“ nebo „spíše ano“. Respondenti se však neshodují v názoru na to, zda svěřit odpovědnost za zabezpečení těchto dat výhradně svému poskytovateli cloudových služeb (55 %) či nikoli (45 %).

Graf 1: Zavádění cloudu a bezpečnost dat

Otázka: Pokud vaše organizace má nebo plánuje mít data v cloudu, je to důvod ke zlepšení zabezpečení dat

Zdroj: IDC Custom Survey (Thales), 2021

O průzkumu

Studii, která se zaměřila na bezpečnostní technologie a jejich využití, provedla v roce 2021 společnost IDC na objednávku společností Thales a Askon. Zúčastnila se jej stovka organizací z České republiky a Slovenska. Celou studii si můžete prohlédnout na adrese https://www6.thalesgroup.com/cz-idc-report.

Regulace a legislativa

Zhruba polovina respondentů tvrdí, že musí dodržovat právní nebo regulatorní předpisy týkající se ochrany dat. Další téměř třetina se prý předpisy naopak řídit nemusí. Nejčastěji se přitom zmiňují Zákon o kybernetické bezpečnosti (73,1 %) a nařízení EU o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce (69,2 %).

O něco nižší mírou pak vstupují do hry soubor mezinárodních bezpečnostních norem v oboru platebních karet PCI DSS, specifické předpisy týkající se zdravotních záznamů, standard TISAX v automobilovém průmyslu, požadavky na dodavatelské ekosystémy nebo rámce typu ISO/IEC 27001.

Plnění zmíněných požadavků ale není jednoduché – necelá třetina organizací uvedla, že je pro ně vážným nebo zásadním problémem nedostatek financí, dále potíže se zajištěním odborného personálu či patřičné expertízy (čtvrtina podniků).

A tristní situaci dokládá i to, že více než pětina organizací se dodržováním předpisů začne vážněji zabývat až poté, co se přihodí nějaký incident nebo vznikne požadavek na audit, viz následující graf.  

Graf 2: Výzvy v oblasti compliance

Otázka: Jak vážné jsou pro vaši organizaci uvedené problémy související s plněním legislativních nebo regulatorních požadavků ohledně zabezpečení elektronického obsahu?

Zdroj: IDC Custom Survey (Thales), 2021

Existující problémy

Respondenti ale zmínili i řadu nedostatků v zabezpečení a procesech. Příkladem mohou být třeba digitální podpisy, které mohou hrát zásadní roli při identifikaci, zda je e-mail je pravého kolegy, což je důležité vzhledem k vysokému podílu kybernetických útoků na bázi phishingu. Pouze čtvrtina respondentů však uvádí, že jejich podnik nebo organizace digitální podpisy interně užívá.

Další komplikace se týkají autentizace bez pomocí hesla. I když někteří dodavatelé už toto řešení nabízejí, stále jde o velmi čerstvou technologii – a více než 90 % dotázaných ji nevyužívá ani ji neplánuje v budoucnu využívat.

V dlouhodobém horizontu se přitom IDC domnívá, že právě tento typ řešení bude postupně získávat na oblibě, neboť podniky a organizace se budou snažit snižovat riziko bezpečnostních incidentů souvisejících s identitou a zároveň zlepšovat uživatelskou zkušenost pro své zaměstnance.

A konečně také oddělení rolí a oddělení klíčů stále představuje nevyřešené riziko.  Oddělení správců od obsahu a také oddělení šifrovacích klíčů od obsahu jsou podle IDC dva způsoby, jak lze zlepšit zabezpečení dat.

Zatímco zamezení v přístupu k citlivým datům jejich administrátorům je obecně uznávaným konceptem (dobře obeznámených jsou s ním dvě třetiny organizací), s metodou oddělení klíčů je to pouze třetina respondentů (a další polovina se o ní pouze zaslechlo).

bitcoin_skoleni

Podle IDC existuje značný prostor pro rozsáhlejší zavádění robustnějších řešení pro správu identit a řízení přístupu. Průzkum však ukázal, že v některých případech dotázaným subjektům chybí odborné znalosti v oblasti bezpečnosti nebo pracovní síla.

Na českém a slovenském trhu působí široké spektrum dodavatelů zabezpečení a poskytovatelů  služeb. Společnosti by neměly váhat hledat pomoc mimo své organizace, aby dosáhly svých bezpečnostních cílů.

Autor článku