Co společnosti nejvíce znepokojuje v souvislosti s cloudem

5. 2. 2018 v sekci Článek

V roce 2015 Gartner prorokoval, že za 95 % bezpečnostních incidentů, které se budou týkat cloudu, bude mít zodpovědnost klient. Tuto vyhlídku potvrzuje i aktuální zpráva 2018 Netwrix Cloud Security, která zkoumala pohled na bezpečnost u 853 firem. Firmy mají strach nejen z neoprávněného přístupu ke svým datům nebo z malwarové infekce, ale také z vlastních zaměstnanců.

Strach z insiderů není žádná novinka. Přestože narůstají bezpečnostní hrozby a vnější útoky jsou intenzivnější, zodpovědnost za 58 % úniků dat, které proběhly v loňském roce, nesou podle zaměstnavatelů právě zaměstnanci. Ve skutečnosti bylo 78 % útoků tohoto typu vedeno zvenčí. Na druhé straně – každý útok či únik dat vyžaduje jisté podmínky: odhalené zranitelnosti, znalost slabých míst nebo nicnetušícího insidera. Ostatně, kde by byl ransomware natažený přes dobře vedený phishingový útok, kdyby nebylo ochotných a zvědavých zaměstnanců.

V cloudu má 88 % dotazovaných uložená zákaznická data, údaje o zaměstnancích, financích, ale i další citlivá data a duševní vlastnictví. Při srovnání výhod a nevýhod cloudových řešení se pak většina shoduje, že přínos cloudu převyšuje možné nevýhody a nedostatky. Největší nevýhodou jsou dle zprávy obavy z bezpečnostního incidentu. Téměř 90 % dotazovaných je přesvědčeno, že by měl případný únik dat, která mají v cloudu, dopad na jejich podnikání. Dotazované pak nejvíce znepokojuje neautorizovaný přístup (69 %) a možnost malwarové infekce (50 %). Třetí příčka v pomyslném žebříčku hrozeb patří obavám z vlastních zaměstnanců a nemožnosti jejich činnost v cloudu řádně monitorovat (39 %). Překvapivě to zaměstnavatele znepokojuje více než třeba DDoS útoky.

Průzkum ukázal, že téměř polovina společností (45 %), bez ohledu na to, zda někdy utrpěly bezpečnostní incident či útok, stále vnímá jako největší bezpečnostní hrozbu své zaměstnance. Nejvíce je přitom znepokojují vlastní ajťáci. Většina firem (68 %) nemá přehled o tom, čím se jejich vlastní IT oddělení zabývá. Stále více firem pak není schopno monitorovat v cloudu aktivity uživatelů. Smutnějším faktem je, že se o to ani většinou nezajímají.

Přesto tři čtvrtiny dotázaných tvrdí, že jsou bezpečnostní nástroje cloudových providerů srovnatelné nebo lepší než v případe on-premise řešení. Zhruba polovina firem se spoléhá nejen na providera, ale využívá také další nástroje pro předcházení, detekci, zkoumání a vyřešení incidentů. Celkem 5 % společností pak nástroje pro některou ze čtyř fází vypořádání se s incidentem neřeší a 2 % společností nevyužívají vůbec žádné nástroje. To je zajímavé zjištění, vzhledem k tomu, že 12 % dotázaných do cloudu neukládá žádná citlivá data. Tato praxe by mohla být prvním krokem k širší adopci cloudu v budoucnosti a známkou správné IT hygieny.

Zda měla migrace do cloudu pozitivní či negativní vliv na IT prostředí, se firmy nemohou shodnout. Zatímco 32 % (v roce 2016 šlo o 42 % firem) zastává názor, že je díky přechodu do cloudu jejich IT infrastruktura lépe chráněná, 27 % firem (v roce 2016 šlo o 11 % dotázaných) si stěžuje, že se s cloudem celková bezpečnost snížila. Je důležité brát v potaz, že cloud vyžaduje naprosto odlišný přístup k celkové bezpečnosti. Ne všechno, co fungovalo na on-premise lze přenést do cloudové praxe.

Zdroj: Netwrix