Ak týmto chybám predídete, vaša firma môže urobiť veľký krok smerom k optimálnemu využívaniu cloudových služieb bez vystavenia sa kybernetickým rizikám.
Cloud computing je základnou súčasťou dnešného digitálneho prostredia. IT infraštruktúra, platformy a softvér sa v súčasnosti poskytujú častejšie vo forme služby než v tradičnom lokálnom nasadení. Zaužívané je označenie anglickými skratkami IaaS (infraštruktúra ako služba), PaaS (platforma ako služba) a SaaS (softvér ako služba). Tieto modely cloud computingu sú atraktívne najmä pre malé a stredné firmy.
Cloud poskytuje príležitosť vyrovnať sa väčším konkurentom na trhu, keďže prináša vyššiu obchodnú agilitu a umožňuje rýchle rozširovanie bez potreby ísť nad rámec finančných možností. Aj týmto možno vysvetliť výsledok prieskumu v nedávnej správe, kde 53 % respondentov z malých a stredných firiem uviedlo, že na cloudové riešenia ročne vynakladajú viac ako 1,2 milióna dolárov, pričom za rok predtým to bolo 38 %.
S digitálnou transformáciou však prichádza aj riziko. Bezpečnosť (72 %) a súlad s predpismi (71 %) boli podľa odpovedí v prieskume druhou a treťou najčastejšie uvádzanou výzvou súvisiacou s cloudom. Prvým krokom k vyriešeniu týchto problémových oblastí je pochopenie najväčších omylov, ku ktorým dochádza v menších podnikoch využívajúcich cloudové služby.
7 najväčších chýb v otázkach cloudovej bezpečnosti
Na začiatok treba poznamenať, že nasledujúcich chýb pri využívaní cloudových služieb sa dopúšťajú nielen malé a stredné firmy. Aj tie najväčšie a najlepšie vybavené spoločnosti niekedy opomínajú základné bezpečnostné opatrenia. Odstránením uvedených nedostatkov môže vaša firma učiniť obrovský krok smerom k optimálnemu využívaniu cloudu bez toho, aby sa vystavila potenciálnemu riziku finančnej ujmy alebo poškodenia reputácie.
1. Nevyužívanie viacúrovňového overenia
Statické heslá vo svojej podstate neposkytujú dostatočné zabezpečenie a navyše nie každá firma má dobre nastavenú politiku vytvárania silných hesiel. Heslá môžu byť odcudzené rôznymi spôsobmi, napríklad technikami phishingu, metódou hrubej sily alebo jednoducho uhádnutím. Preto je potrebné k heslám pridať ďalšiu úroveň overenia. Po zavedení dvojfaktorovej autentifikácie je pre útočníkov oveľa ťažšie získať prístup do používateľských účtov cloudových aplikácií typu SaaS, IaaS alebo PaaS, čím sa znižuje riziko ransomvéru, krádeže údajov a iných negatívnych následkov. Ďalšou možnosťou je prechod na alternatívne spôsoby overovania prístupu všade tam, kde je to možné. Príkladom môže byť metóda overovania bez hesla.
2. Prílišná dôvera v poskytovateľa cloudových služieb
Medzi IT manažérmi často panuje názor, že investícia do cloudu vlastne znamená outsourcing všetkých zodpovedností na dôveryhodnú tretiu stranu. V realite to tak celkom nie je. Existuje totiž model zdieľanej zodpovednosti za zabezpečenie cloudu, podľa ktorého je spoluzodpovedný poskytovateľ cloudových služieb aj zákazník. Rozsah vašich zodpovedností závisí od typu cloudovej služby (SaaS, IaaS alebo PaaS) a od konkrétneho poskytovateľa. Aj v prípadoch, keď väčšinu zodpovednosti nesie poskytovateľ (napr. pri SaaS), stojí za zváženie investovať do dodatočných bezpečnostných prvkov od tretej strany.
3. Opomenutie zálohovania
Ako už bolo spomenuté v predošlom bode, je lepšie nespoliehať sa výlučne na poskytovateľa cloudových služieb (napr. služieb zdieľania/ukladania súborov). Vždy počítajte s najhorším možným scenárom, ktorým je s najväčšou pravdepodobnosťou zlyhanie systému alebo kybernetický útok. Vašu firemnú prevádzku v takom prípade nezasiahne len strata dát, ale aj prestoje a zníženie produktivity, ktoré by mohli nasledovať po incidente.
4. Nedodržiavanie pravidelnej inštalácie záplat
Každá nenasadená bezpečnostná záplata znamená, že svoj cloudový systém vystavujete možnému zneužitiu zraniteľnosti. To by mohlo viesť k infiltrácii malvéru, úniku údajov a ďalším problémom. Správa záplat je základným bezpečnostným postupom, ktorý je v cloude rovnako dôležitý ako v lokálnej infraštruktúre.
5. Nesprávna konfigurácia cloudu
Poskytovatelia cloudových služieb prinášajú stále niečo nové. Záplava nových funkcií a možností, ktoré sa vyvíjajú v reakcii na spätnú väzbu zákazníkov, však môže z pohľadu malých a stredných firiem vyústiť do enormne zložitého cloudového prostredia. Vo výsledku je tak oveľa ťažšie zistiť, aká konfigurácia je najbezpečnejšia. Medzi najčastejšie chyby patrí nakonfigurovanie cloudového úložiska tak, že k nemu môže pristupovať akákoľvek tretia strana, a tiež nezablokovanie otvorených portov.
6. Žiadne monitorovanie cloudovej prevádzky
Často sa hovorí, že dnes už nie je otázkou „či“, ale „kedy“ dôjde k narušeniu bezpečnosti vášho cloudového prostredia (IaaS/PaaS). Preto je veľmi dôležitá rýchla detekcia a reakcia, aby ste dokázali včas odhaliť prvé príznaky a zastaviť útok skôr, ako naplno zasiahne chod firmy. Nepretržité monitorovanie je tak naozaj kľúčové.
7. Nezašifrovanie toho najcennejšieho, čo firma má
Žiadne prostredie nie je stopercentne odolné voči útočníkom. Čo by sa teda stalo, ak by sa vaše najcitlivejšie interné informácie alebo prísne regulované osobné údaje zamestnancov/zákazníkov dostali do rúk nepovolaných osôb? Šifrovaním uložených a prenášaných údajov zabezpečíte, že ich v prípade odcudzenia nebude možné zneužiť.
Správna cesta ku cloudovej bezpečnosti
Prvým krokom k eliminovaniu bezpečnostných rizík cloudu je pochopiť, za čo nesiete zodpovednosť vy sami a ktoré oblasti pokrýva poskytovateľ cloudových služieb. Následne sa treba rozhodnúť, či sa chcete spoľahnúť výlučne na zabudované bezpečnostné prvky od poskytovateľa alebo ich chcete rozšíriť o dodatočné bezpečnostné produkty tretích strán. Zvážte tieto kroky:
- Investujte do bezpečnostných riešení tretích strán v záujme zvýšenia vašej bezpečnosti v cloude a posilnenia ochrany vašich e‑mailových aplikácií, úložísk a aplikácií na spoluprácu nad rámec bezpečnostných funkcií, ktoré sú zabudované priamo v cloudových službách popredných svetových poskytovateľov.
- Pridajte do svojej infraštruktúry nástroje na rozšírenú alebo riadenú detekciu a reakciu (XDR/MDR), ktoré poskytujú rýchle riešenie incidentov, zamedzenie šírenia hrozieb a nápravné akcie.
- Vypracujte a zaveďte vo firme program priebežného nasadzovania záplat a odstraňovania bezpečnostných rizík, ktorý je postavený na dôkladnej správe aktív. Znamená to, že by ste mali mať dobrý prehľad o všetkých svojich cloudových aktívach, aby ste mohli zabezpečiť ich pravidelnú aktualizáciu.
- Šifrujte údaje v statickej fáze (t. j. na úrovni databáz) aj pri prenose, aby ste zabezpečili ich ochranu pre prípad, že sa k nim dostanú kybernetickí zločinci. Nevyhnutné je tiež efektívne a priebežné vyhľadávanie a klasifikovanie údajov.
- Zadefinujte jasnú politiku kontroly prístupu, ktorá bude vyžadovať používanie silných hesiel, zavedenie viacúrovňového overovania, uplatňovanie princípu udeľovania čo najnižšej úrovne prístupových oprávnení a ktorá tiež nastaví obmedzenie či povolenie prístupu na základe konkrétnych IP adries.
- Zvážte prijatie bezpečnostného modelu nulovej dôvery, ktorého súčasťou budú viaceré z vyššie uvedených prvkov (2FA, XDR, šifrovanie) v kombinácii so segmentáciou siete a ďalšími kontrolnými mechanizmami.
Mnohé zo spomenutých opatrení by človek očakával aj pri nasadení v lokálnom prostredí. Vo všeobecnosti možno povedať, že pri cloude ide o rovnaké osvedčené postupy, no v detailoch sa líšia. Najdôležitejšie je pamätať na to, že za cloudovú bezpečnosť nie je zodpovedný len poskytovateľ. Ak sami prevezmete kontrolu, dospejete k lepšiemu riadeniu kybernetických rizík.
