Загроза безпеки даних лякає і викликає недовіру ІТ-фахівців — про це йдеться у звіті Oracle і KPMG про хмарні загрози безпеки у 2020 р за першу третину року (Oracle and KPMG Cloud Threat Report 2020). Опитування 750 фахівців з кібербезпеки та ІТ по всьому світу показало, що використання принципу «латання дірок» (patchwork approach) при розв’язанні проблем безпеки даних, неправильно налаштовані сервіси та плутанина з новими моделями хмарної безпеки породили кризу довіри. І її зможуть подолати тільки ті компанії, у яких безпека стала частиною культури ведення бізнесу.
Дослідження показало, що ІТ-фахівці більше стурбовані безпекою даних своєї компанії, ніж безпекою у себе вдома.
- ІТ-фахівців втричі більше турбує безпека фінансових даних та інтелектуальної власності компанії, ніж безпека власного житла.
- ІТ-фахівці відчувають занепокоєння щодо постачальників хмарних послуг, 80% фахівців вважають, що постачальники хмарних послуг, з якими вони ведуть бізнес, стануть їхніми конкурентами на ключових для них ринках.
- 75% ІТ-фахівців вважають, що публічна хмара захищена краще, ніж їх власні ЦОД, проте 92% ІТ-фахівців не вірять, що їх організації повністю готові до використання безпечних публічних хмарних сервісів.
- Близько 80% ІТ-фахівців стверджують, що недавні витоки даних, з якими зіткнулися інші організації, змусили їх посилити захист даних при розвитку бізнесу.
ІТ-фахівці намагаються усунути проблеми захисту даних за допомогою «латання дірок» різними рішеннями з кібербезпеки, але стикаються з практично нездійсненним завданням, через те, що ці системи рідко бувають коректно сконфігуровані.
- 78% організацій використовують понад 50 різних рішень для забезпечення кібербезпеки, 37% компаній використовують понад 100 таких рішень.
- У організацій, де виявлено неправильно налаштовані хмарні сервіси, того року відбулося 10 і більше інцидентів з втратою даних.
- 59% організацій повідомили, що вони зіткнулися з цільовою фішинговою атакою на облікові дані співробітників з привілейованими хмарними обліковими записами.
Найпоширеніші типи неправильного налаштування:
- облікові записи з надлишковими привілеями (37%);
- незахищені веб-сервери та інші типи серверних навантажень (35%);
- відсутність багатофакторної аутентифікації при доступі до основних сервісів (33%).
Перекладання відповідальності веде до плутанини та порушень безпеки
Як ніколи раніше організації переносять в хмару все більше критично важливих для бізнесу навантажень. А висхідне споживання хмарних сервісів створює нові «сліпі зони» в безпеці, оскільки ІТ-підрозділи та постачальники хмарних послуг працюють над тим, щоб зрозуміти, де їх індивідуальна відповідальність за безпеку даних. Ця плутанина призводить до того, що відділи інформаційної безпеки зазнають труднощів в спробах впоратися зі зростаючим ландшафтом загроз.
Майже 90% компаній вже використовують «ПО як послугу» (SaaS), 76% — «Інфраструктуру як послугу» (IaaS), а 50% організацій мають намір перенести всі дані в хмару протягом наступних двох років.
Моделі спільної відповідальності за безпеку створюють плутанину. Тільки 8% керівників служб інформаційної безпеки заявили, що повністю розуміють модель спільної відповідальності за безпеку.
70% ІТ-фахівців вважають, що для захисту всього середовища в публічній хмарі потрібно занадто багато спеціальних інструментів. 75% ІТ-фахівців неодноразово втрачали дані при використанні хмарного сервісу.
Модель «На першому місці — безпека» залишається актуальною
Для розв’язання проблем безпеки та подолання недовіри постачальники хмарних послуг та ІТ-підрозділи повинні працювати разом над формуванням культури «На першому місці — безпека» (Security-First). Така модель має на увазі наймання, підготовку та утримання кваліфікованих фахівців з інформаційної безпеки, а також постійне поліпшення процесів і технологій, які допомагають усувати загрози в умовах постійно розширюється цифрового світу.
- 69% організацій повідомляють, що директори по ІБ (CISO) реагують на проблеми інформаційної безпеки постфактум і беруть участь в проєктах використання публічної хмари тільки після серйозного інциденту.
- 73% організацій мають в штаті директора з інформаційної безпеки з досвідом роботи в хмарі або планують найняти такого фахівця. Більш ніж половина компаній (53%) створили нову посаду керівника з безпеки бізнес-інформації (Business Information Security Officer, BISO), який працює у співпраці з директором по ІБ (CISO) і допомагає інтегрувати культуру безпеки в організації.
- 88% ІТ-фахівців вважають, що протягом наступних трьох років в більшості хмар стане використовуватися інтелектуальне та автоматичне внесення виправлень і оновлень для підвищення безпеки.
- 87% ІТ-фахівців вважають, що обов’язковою умовою придбання нових засобів безпеки стане наявність у них можливостей штучного інтелекту (AI) і машинного навчання (MO). Вони забезпечать кращий захист від таких загроз, як шахрайство, шкідливе ПЗ і помилки конфігурації.
ЧИТАЙТЕ ТАКОЖ: