Coraz szersze wykorzystanie technologii chmurowych wymaga od działów IT i zespołów ds. bezpieczeństwa wyjścia poza tradycyjne podejście, aby skutecznie zarządzać obszarem bezpieczeństwa i chronić kluczowe zasoby biznesowe – uważa KPMG.

Niestety świadomość w tym zakresie jest wciąż stosunkowo niska, o czym może świadczyć fakt, że aż 62 proc. firm w Polsce ankietowanych przez KPMG nawet nie wie w jakim modelu korzysta z chmury.

Zabezpieczenie chmury nie jest proste

Czujność zespołów ds. bezpieczeństwa IT w firmach, które migrują do chmury, jest często uśpiona za sprawą standardowych narzędzi monitorowania bezpieczeństwa oferowanych przez dostawcę usługi.

Zarządzanie bezpieczeństwem w chmurze jest procesem o wiele bardziej złożonym – wymaga odpowiedniej analizy ryzyka i podjęcia konkretnych działań. Sprawnie muszą także funkcjonować procedury szybkiego reagowania na incydenty naruszenia bezpieczeństwa w chmurze – przypomina KPMG. Osoby odpowiedzialne za bezpieczeństwo IT w firmach powinny mieć pewność, że działają one prawidłowo w przypadku wystąpienia zagrożenia.

Trzeba się uczyć

W tym kontekście zdaniem analityków trudno przecenić rolę edukacji w zakresie bezpieczeństwa chmury, bowiem znaczna część przedsiębiorstw jest wciąż do tego sceptycznie nastawiona.

Otóż 1 na 5 organizacji w Polsce nie uważa, że usługi utrzymywane w ramach wewnętrznej infrastruktury firmy są bezpieczniejsze od usług chmurowych. Jednocześnie blisko połowa uważa oba rozwiązania za tak samo bezpieczne.

Rosnące ryzyko shadow IT

W 2019 r. aż 92 proc. firm pytanych przez KPMG obawiało się, że ich pracownicy i poszczególne działy biznesowe w nieautoryzowany sposób korzystają z usług chmurowych. W czasie pandemii zjawisko to przybrało na sile, wobec braku odpowiedniego wsparcia pracy zdalnej przez działy IT.

„Zastosowane aplikacje często nie są odpowiednio chronione – przez wieloskładnikowe uwierzytelnienie czy restrykcyjne polityki dotyczące tworzenia haseł. Mogą również nie spełniać wymogów prawnych w zakresie lokalizacji i retencji danych”– mówi Michał Kurek, Partner w Dziale Doradztwa Biznesowego, szef zespołu ds. cyberbezpieczeństwa w KPMG w Polsce.

Jak poskromić IT cienia

Aby ograniczyć shadow IT potrzebne są przede wszystkim odpowiednie zapisy w politykach firmy i w standardach pracowniczych – twierdzi KPMG. Warto również rozważyć blokowanie nieautoryzowanych aplikacji opartych na chmurze.

Z drugiej strony, jeśli pracownicy mają problem, by realizować swoje zadania w ramach dostępnej w firmie infrastruktury IT, rozwiązaniem może być sprawne wdrożenie rozwiązań chmurowych w całym przedsiębiorstwie, przy zachowaniu procedur bezpieczeństwa.

Do ograniczenia zjawiska shadow IT może także przyczynić się skrupulatna kontrola wydatków firmowych przeznaczanych na rozwiązania oparte na chmurze – twierdzą analitycy.

Wyrafinowane ataki hakerskie typu BEC

Fakt, że w czasach pracy zdalnej cyberprzestępcy potrzebują jedynie danych uwierzytelniających, aby naruszyć konta e-mail, stał się przyczyną zakrojonych na szeroką skalę ataków typu BEC (Business E-mail Compromise). Po przejęciu pojedynczego, firmowego konta e-mail za pośrednictwem witryny internetowej zbierającej dane uwierzytelniające, hakerzy zdobywają zaufanie i znajomość współpracowników, zasobów czy partnerów biznesowych, w celu uzyskania dodatkowych danych lub żądania nieuprawnionych transakcji finansowych.

W minimalizowaniu ryzyka ataków BEC pomaga wieloskładnikowe uwierzytelnienie oraz reguły dostępu warunkowego – radzi KMPG. Firmy wdrażające tego rodzaju zabezpieczenia są znacznie rzadziej ofiarą skutecznych ataków. Ważną rolę pełni też konfiguracja, monitorowanie i bieżąca reakcja na alerty o podejrzanej aktywności użytkowników.

Informacje oparto na analizie KPMG International pt. „Securing the cloud – the next chapter”.