2016: Исследование Gemalto и Ponemon Institute: Более 60% конфиденциальных данных компаний в облаке не защищены шифрованием
Несмотря на то, что облачные вычислительные ресурсы по-прежнему остаются весьма важными активом для многих организаций, компании не внедряют соответствующие политики и не реализуют необходимых мер по обеспечению безопасности для защиты конфиденциальных данных, хранящихся в облачной инфраструктуре. Таковы лишь некоторые из выводов "Глобального исследования обеспечения безопасности данных в облаке в 2016 году[1]" (The 2016 Global Cloud Data Security Study), выполненного институтом Ponemon Institute по заказу Gemalto, мирового лидера в области цифровой безопасности. В рамках исследования было опрошено более 3400 ИТ-специалистов-практиков, а также экспертов в области информационной безопасности по всему миру, что позволило получить более полное понимание основных тенденций в сфере управления данными и методик обеспечения безопасности облачных сервисов.
По утверждению 73% опрошенных, облачные сервисы и платформы считаются важным фактором в деятельности их организаций, при этом 81% респондентов считает, что в ближайшие два года роль облачных сервисов в работе компаний станет еще более значимой. В сущности, 36% респондентов сказали, что все ИТ-потребности их компаний, как и потребности в обработке данных сегодня полностью удовлетворяются с помощью облачных ресурсов. Более того, ожидается, что в течение ближайших двух лет эта цифра вырастет до 45%.
Хотя облачные ресурсы сегодня играют всё более важную роль в решении корпоративных ИТ-задач и в реализации бизнес-стратегий, по мнению 54% респондентов, в их компаниях отсутствует какой-либо упреждающий подход к управлению безопасностью и соблюдению требований по обеспечению конфиденциальности и защите данных, хранящихся в облачных окружениях. И всё это несмотря на то, что 65% респондентов заявили о приверженности их организаций обеспечению защиты конфиденциальной и иной критически важной информации в облаке. Более того, 56% не считают, что их организации проявляют осторожность в отношении размещения подобной информации в облачном окружении для доступа третьих лиц, например, бизнес-партнёров, подрядчиков или поставщиков.
Основные выводы
Развитие теневых ИТ создают угрозу для безопасности в облаке
Согласно результатам опроса, примерно в половине случаев (49%) облачные сервисы внедряется не корпоративными ИТ-отделами, а другими подразделениями компаний, и примерно 47% корпоративных данных, хранящихся в облачных окружениях, не управляется и не контролируется ИТ-департаментами. Тем не менее, увеличивается уверенность респондентов в том, что они располагают полной информацией об используемых в их организациях сервисах облачных вычислений. 54%респондентов уверены, что их ИТ-организации знают обо всех используемых приложениях, платформах и инфраструктурных сервисах облачных вычислений, что на девять процентов выше, чем в 2014 году.
Традиционные методики безопасности не применимы в облаке
В 2014 году 60% респондентов считали, что защита конфиденциальной или служебной информации при работе с облачными сервисами представляла собой более сложную задачу. В этом году так считает 54%. Если в 2014 году на сложности, связанные с контролированием или ограничением пользовательского доступа, сетовали 48% опрошенных, то в 2016 году о таких сложностях заявляют уже 53% респондентов. Среди других крупных проблем, делающих обеспечение безопасности более сложным, называют невозможность применения традиционных инструментов информационной безопасности в облачных окружениях (70% респондентов) и невозможность непосредственно контролировать поставщиков облачных сервисов на соблюдение требований в отношении безопасности (69% опрошенных).
В облаке хранится всё больше информации о заказчиках, и именно эти данные считаются наиболее подверженными риску
По результатам опроса, чаще всего в облаке хранятся такие виды данных как информация о заказчиках, адреса электронной почты, потребительские данные, личные дела сотрудников и платёжная информация. С 2014 года наибольший прирост был зафиксирован в отношении хранящейся в облаке информации о заказчиках: если в 2014 году о том, что их компания хранит такую информацию в облаке, утверждали 53% респондентов, то в 2016 году так утверждает 62% респондентов. Кроме того, по мнению 53% опрошенных, именно информация о заказчиках наиболее подвержена риску в облаке.
Подразделения безопасности остаются в неведении о приобретаемых облачных сервисах
Только 21% респондентов сказали, что сотрудники подразделений безопасности в их компаниях принимают участие в принятии решений относительно использования тех или иных облачных приложений или платформ. Большинство респондентов (64%) также заявили, что в их организациях отсутствуют правила или политики, требующие применения технологий безопасности, таких как шифрование, в качестве условия для использования определённых облачных приложений.
Шифрование считается важным фактором, но до сих пор не получило повсеместного распространения в облаке
72% процента респондентов утверждают, что для них важным фактором является возможность осуществлять шифрование или токенизацию конфиденциальных или служебных данных, при этом 86% считают, что в ближайшие два года такая возможность станет еще более актуальной. Для сравнения, в 2014 году так считало 79% опрошенных. Несмотря на то, что всё больше респондентов осознают важность шифрования, эта технология пока еще не столь широко используется в облаке. Например, в отношении наиболее популярного типа облачных сервисов, SaaS, только 34% респондентов говорят, что их организация осуществляет шифрование или токенизацию конфиденциальных или служебных данных непосредственно в облачных приложениях.
Многие компании по-прежнему используют пароли для защиты пользовательского доступа к облачным сервисам
По мнению шестидесяти семи процентов опрошенных, управление учётными записями пользователей в облаке является более сложной задачей по сравнению с управлением этими записями в локальной инфраструктуре. Однако организации не принимают даже самых простых в реализации мер, которые бы помогли повысить безопасность в облаке. Около половины (45%) компаний не использует технологий многофакторной аутентификации для защиты доступа своих сотрудников или третьих лиц к облачным приложения или данным, а это означает, что компании по-прежнему полагаются лишь на логины и пароли для валидации учетных записей. В результате этого, всё больше данных подвергаются риску, поскольку 58% респондентов признают, что в их организациях доступ к корпоративным данным и информации в облаке разрешён и для сторонних пользователей.
Рекомендации по обеспечению безопасности в облаке
Новые реалии облачных информационных технологий означают, что ИТ-организациям необходимо разрабатывать и внедрять комплексные политики в области управления данными и соблюдения нормативных требований, разрабатывать единые принципы и нормы в отношении приобретения и использования облачных сервисов, устанавливать правила, которые бы регламентировали, какие именно данные допустимо хранить в облаке.
ИТ-подразделения смогут выполнить свою миссию по защите корпоративных данных, и при этом содействовать развитию "теневых ИТ", если они будут реализовывать меры по обеспечению безопасности данных, например, внедрять технологии шифрования, которые бы позволили централизованно защищать данные в облаке на фоне того, как другие подразделения компании самостоятельно приобретают необходимые облачные сервисы.
Поскольку компании хранят всё больше данных в облаке и всё чаще используют облачные сервисы, ИТ-организациям необходимо уделять больше внимания укреплению механизмов контроля пользовательского доступа с применением многофакторной аутентификации. Это особенно актуально для компаний, которые предоставляют доступ к своим данным в облаке сторонним компаниям и поставщикам.
Примечания
- ↑ Исследование проводилось аналитическим центром Ponemon Institute по заказу Gemalto. В ходе исследования было опрошено 3476 практикующих специалиста в области ИТ и ИТ-безопасности из США, Бразилии, Великобритании, Германии, Франции, Российской Федерации, Индии, Японии и Австралии, которые знакомы с характером использования публичных и частных облачных ресурсов в их компаниях и связаны с использованием этих облачных инфраструктур. Среди представленных сегментов рынка – сектор финансовых услуг, розничной торговли, технологий и программного обеспечения, госсектор, отрасль здравоохранения и фармацевтики, сектор энергетики и коммунального хозяйства, сфера образования, отрасли перевозок, коммуникаций, развлечения и СМИ, а также индустрия гостеприимства.