Wdrażanie technologii chmurowych w biznesie nie idzie w parze z cyberbezpieczeństwem

Jak zauważa KPMG International w raporcie „Securing the cloud – the next chapter”, pandemia COVID-19 spowodowała radykalne przyspieszenie tempa cyfryzacji przedsiębiorstw, a jednym z istotniejszych elementów tego procesu jest migracja do chmury obliczeniowej. Jak jednak zauważają autorzy opracowania, wraz z rozwojem technologii i zaawansowania rozwiązań chmurowych coraz większe są także wysiłki hakerów opracowujących nowe sposoby kradzieży danych, co może się okazać bardzo dotkliwe i kosztowne dla firm, które padną ich ofiarą.

Zdaniem autorów raportu, świadomość co do ważności skutecznego zarządzania obszarem bezpieczeństwa i ochrony kluczowych zasobów biznesowych wśród polskich firm pozostaje niewystarczająca. Według nich dowodzi tego, że aż 62 proc. spółek w Polsce ankietowanych przez KPMG nawet nie wie, w jakim modelu korzysta z chmury.

Eksperci KPMG zwracają uwagę na coraz większą skalę zjawiska tzw. shadow IT, czyli dokonywania zakupów usług chmurowych przez działy biznesowe z pominięciem działu IT, bez analizy ryzyka i bez zastosowania firmowych procedur. Zjawisko shadow IT budziło wiele obaw specjalistów ds. bezpieczeństwa informatycznego jeszcze przed pandemią COVID-19, natomiast nagłe i masowe przejście na pracę w trybie zdalnym oraz zmiany w infrastrukturze dramatycznie zwiększyły skalę problemu - wskazują autorzy opracowania. Jak podkreślają, szczególnie dotyczy on firm, w których narzędzia wspierające pracę zdalną w zespołach nie funkcjonowały wcześniej lub były zbyt wolno wdrażane przez działy IT.

W konsekwencji braku odpowiedniego tempa działań wspierających pracę zdalną, działy biznesowe i indywidualni pracownicy z pominięciem działów IT zaczęli na większą skalę stosować w codziennej pracy rozwiązania oparte na chmurze. Jak zauważają eksperci, stosowane w tym celu aplikacje często nie są odpowiednio chronione – przez wieloskładnikowe uwierzytelnienie czy restrykcyjne polityki dotyczące tworzenia haseł. Mogą również nie spełniać wymogów prawnych w zakresie lokalizacji i retencji danych. Tymczasem z globalnego badania KPMG wynika, że już w 2019 roku aż 92 proc. firm obawiało się, że ich pracownicy i poszczególne działy biznesowe w nieautoryzowany sposób korzystają z usług chmurowych.

Jak czytamy w analizie, jednym ze słabych punktów wielu firm jest poczta e-mail oparta na chmurze. Choć oferuje ona organizacjom niezbędną elastyczność w obliczu nowej rzeczywistości, to zarazem ułatwia dostęp hakerom. Fakt, że cyberprzestępcy potrzebują jedynie danych uwierzytelniających, aby naruszyć konta e-mail, stał się przyczyną zakrojonych na szeroką skalę ataków typu BEC (ang. Business E-mail Compromise). Eksperci wskazują, że wystarczy przejęcie pojedynczego, firmowego konta e-mail za pośrednictwem witryny internetowej zbierającej dane uwierzytelniające, by hakerzy byli w stanie zdobyć zaufanie współpracowników, poznać zasoby czy partnerów biznesowych i uzyskać dodatkowe dane uwierzytelniające lub żądać nieuprawnionych transakcji finansowych.

KPMG przestrzega, że czujność zespołów ds. bezpieczeństwa IT w firmach, które migrują do chmury, jest często uśpiona za sprawą standardowych narzędzi monitorowania bezpieczeństwa oferowanych przez dostawcę usługi. Zarządzanie bezpieczeństwem w chmurze jest jednak - wskazuje raport - procesem o wiele bardziej złożonym, wymagającym odpowiedniej analizy ryzyka i podjęcia konkretnych działań. Sprawnie muszą także funkcjonować procedury szybkiego reagowania na incydenty naruszenia bezpieczeństwa w chmurze. Osoby odpowiedzialne za cyberbezpieczeństwo przedsiębiorstwa powinny mieć pewność, że działają one prawidłowo w przypadku wystąpienia zagrożenia.

„W tym kontekście trudno przecenić rolę edukacji w zakresie bezpieczeństwa chmury obliczeniowej, bowiem znaczna część przedsiębiorstw jest wciąż sceptycznie nastawiona do bezpieczeństwa rozwiązań chmurowych. Jedna na pięć organizacji w Polsce nie uważa, że usługi utrzymywane w ramach wewnętrznej infrastruktury firmy są bezpieczniejsze od usług chmurowych. Jednocześnie blisko połowa uważa oba rozwiązania za tak samo bezpieczne” - wskazuje raport.