В 2023 году 34% компаний, использующих облачные решения, сообщили о 6-10 случаях утечки данных в течение года, по опросу 300 респондентов компанией KPMG*, крупнейшей аудиторской компанией из «большой четверки».
Преимущества облачных хранилищ высоко оценены как частными пользователями, так и бизнесом. Но несмотря на удобство, текущие настройки безопасности облачных сервисов всё еще не обеспечивают полноценную защиту конфиденциальной информации.
Анатолий ВолковЭксперт в области информационных технологий и информационной безопасности, 22+ лет опыта
____________________
Вы храните данные компании в облачных хранилищах?
Облачные сервисы – это технологии, которые позволяют хранить и обрабатывать данные на удалённых серверах, доступных через Интернет. Это очень удобно, потому что не нужно покупать и поддерживать собственное оборудование.
Например, если вы сохраняете данные своей компании в облачном хранилище, таком как Google Drive или Яндекс Диск, вы можете получить к ним доступ с любого устройства и из любой точки мира, где есть Интернет. Но важный нюанс состоит в том, что все это размещено в публичном пространстве. Под публичным пространством мы понимаем все те облачные ресурсы, доступ к которым специально не ограничен, и ими может воспользоваться любой желающий.
Перечислим наиболее известные из них:
- Международные сервисы: Google Drive, Dropbox, iCloud
- Российские платформы: Яндекс.Диск, Облако Mail.ru
- Хранилища социальных сетей и провайдеров связи
- Облачные версии корпоративного ПО (например, бухгалтерские программы)
- Сервисы облачного майнинга
- Облачные платформы для научных и проектных вычислений
_____________________
Бизнес в группе риска
Многие начинающие предприниматели предпочитают облачные решения для хранения и обработки своих данных, что позволяет быстро начать работу без необходимости капитальных вложений в собственную инфраструктуру или затрат на аренду. Однако по мере роста компании важные информационные ресурсы так и остаются в облаке и не переносятся на внутренние системы хранения и обработки данных.
Облачное решение, на первый взгляд удобное, но может привести к серьезным проблемам в будущем
Вследствие неправильного подхода в хранении информации, утрата данных прежде всего грозит тем предпринимателям, которые размещают свою информацию в облачных CRM-системах и бухгалтерских решениях: базы данных, архивы финансово-бухгалтерской отчетности, сведения об активах, номерах счетов, сделках и т.д. И не осуществляют резервного копирования этих критически важных для бизнеса данных.
Собственные информационные системы, как правило лишены недостатков, поскольку как правило проектируются и создаются с учетом требований бизнеса по надежности. Миграция данных из облака во внутренние системы хранения может показаться на первый взгляд сложной и требующей дополнительных больших затрат на сопровождение. Но это не так.
Правильным подходом будет с самого начала строить ИТ-систему компании с использованием гибридного подхода к хранению данных: когда используется и облако и хранение на собственных серверах. Это позволит избежать многих проблем и обеспечит стабильность и надежность работы в долгосрочной перспективе.
На 2024 год абсолютное большинство компаний (55%) управляет ИТ-инфраструктурой по гибридной модели, совмещая облако провайдера и собственные серверы, такие данные приводит Selectel.
_____________________
Статистика утечек и инцидентов в облаках
По статистике, в 2023 году 20% компаний из 16 стран были оштрафованы за утечку данных на сумму более 250 тыс. долларов.
В 2023 году было зафиксировано значительное количество утечек данных, включая информацию о сотрудниках (40%), интеллектуальной собственности (34%) и другие корпоративные данные. Особенно часто такие инциденты происходили в публичных облачных хранилищах: Гугл Драйв, Яндекс Диск, хостинги и т.д.. По словам опрошенных клиентов, частные облака считаются более безопасными, чем облачные решения.
Фишинговые атаки также оказались серьезной проблемой, приводящей к 16% всех случаев утечек данных.
Дело в том, что обычно осведомленность сотрудников по вопросам безопасности в компании оставляет желать лучшего. Поэтому основная причина утечек — человеческий фактор и банальное незнание основ цифровой гигиены.
Низкие штрафы в нашей стране могут быть одной из причин, по которым компании неохотно инвестируют в безопасность данных. Но есть одно “но”. Всего лишь 51% компаний, столкнувшихся с утечкой данных, готовы увеличить инвестиции в безопасность по опросу KMPG, что подчеркивает необходимость более серьезного подхода к защите информации.
___________________________________________________________________________
Есть противоположное мнение в исследовании Seleсtel: в 2023 году ключевым фокусом для российских компаний стало обеспечение безопасности хранения и обработки данных, об этом сообщили 48% респондентов.
По результатам аналогичного опроса за 2022 год, эта задача занимала только третью позицию, в то время как в 2023 году вышла в лидеры.
___________________________________________________________________________
Виды угроз: в большинстве компаний отсутствуют процессы управления IT-услугами
Как правило выделяют две основные угрозы, связанные с потерей информации в облачных хранилищах: потерю данных и утечку информации из облачных сервисов.
Первая категория угроз связана с техническими и операционными проблемами, которые, в основном, затрагивают небольшие проекты. Однако крупные поставщики услуг обеспечивают множественное резервное копирование данных и хранение информации на серверах, расположенных на разных континентах. Это существенно снижает риск потери данных. Однако утечка информации из облачных хранилищ, используемых крупными компаниями, может быть более вероятной.
Несколько распространенных причин потери данных:
- Взлом аккаунтов и прямая кража данных.
- Уязвимости интерфейсов и API в системах провайдеров.
- Массированные и целенаправленные DDoS-атаки
- Действия инсайдеров в компаниях-поставщиках услуг или провайдерах, имеющих служебный доступ к данным.
- Уязвимость каналов передачи информации, включая мобильный трафик.
- Халатность или неосторожность провайдера, не имеющего законных обязательств перед пользователем и несущего ответственности по закону.
Если говорим про малый бизнес, то тут ситуация следующая: в большинстве компаний отсутствуют процессы управления IT-услугами, не говоря уже про процессы классификации данных, определения их критичности и эффективного управления доступом. В результате клиенты испытывают сложности в обеспечении безопасности данных и хотят внедрить соответствующие механизмы, однако уровень эффективности процессов безопасности в компаниях остается на низком уровне.
______________________
Чек-лист: как грамотно выбрать облачного провайдера
2 важнейших параметра, по которым вы можете оценить защищенность и надежность облака, в котором вы разворачиваете инфраструктуру:
ЗАЩИЩЕННОСТЬ
- Наличие аттестованных периметров облака: ГИС, К-1, УЗ-1
- Наличие сертификатов 152-ФЗ, PCI DSS, ISO в области информационной безопасности и непрерывности деятельности (ISO 27001, 22301 и др.), ГИС
- Защищенность облака подтверждена независимыми аудиторами
- Провайдер готов фиксировать ответственность в договоре
- Облако оснащено встроенными и дополнительными опциями ИБ: защита от DDoS-атак и вирусов, сканирование на уязвимости, межсетевой экран, MFA, ГОСТ-VPN
НАДЕЖНОСТЬ
- Уровень надежности ЦОДов не менее Tier III, а их uptime составляет 99,98%. Плюсом будет, если ЦОДы находятся в собственности провайдера
- Облако развернуто на базе двух или более ЦОДов, территориально распределены
- Провайдер гарантирует SLA облака не менее 99,98%
- Провайдер предлагает набор решений для защиты от сбоев и потери данных: от резервного копирования до аварийного восстановления (DR и DRaaS)
Такая проверка позволит вам избежать многих проблем, но так или иначе…
_____________________
Вывод
Как-то клиент попросил меня ответить на вопрос “за” я или “против” облачных решений с точки зрения безопасности. Здесь я могу сказать, что я за гибридный подход, ведь многое зависит от ваших потребностей, от размера компании и важности информации: менее ценная и более объемная информация размещается в «облаке», а коммерческие тайны или ноу-хау – на внутренних, более защищенных серверах.
46% компаний, по данным опроса, продолжат в 2024 году расширять ИТ-инфраструктуру. При этом 41% респондентов в ответ на вызовы, связанные с обеспечением безопасности данных, планирует усилить это направление деятельности. Поэтому для бизнеса в 2024 году важно создать единую ИТ-систему и поддерживать ее функциональность.
Моя рекомендация — выбирать того, кто решит проблему системно. Идеальным вариантом будет системный интегратор полного цикла
Если вы хотите понять насколько ваши данные надежно хранятся и обрабатываются, вы можете обратиться к нам и заказать предварительный аудит, в результате которого станет ясно, какими данными вы рискуете.
Мой телеграм-канал: t.me/volkovproit
__________________
Soltecs — IT-компания, системный интегратор полного цикла. Мы помогаем собственникам компаний сосредоточиться на бизнесе, обеспечивая полное решение всех вопросов с ИТ-инфраструктурой.
_________________
**Selectel: https://ict.moscow/research/it-infrastruktura-i-oblaka-vzgliad-v-2024-god/
Источник: vc.ru
