Globalna firma doradcza KPMG International w raporcie "Securing the cloud – the next chapter", sugeruje, że pandemia spowodowała radykalne przyspieszenie tempa cyfryzacji przedsiębiorstw, a jednym z istotniejszych elementów tego procesu jest migracja do chmury obliczeniowej.
Ale jak zauważają eksperci KPMG, wraz z rozwojem technologii i zaawansowania rozwiązań chmurowych coraz większe są także wysiłki hakerów opracowujących nowe sposoby kradzieży danych, co może się okazać bardzo dotkliwe i kosztowne dla firm, które padną ich ofiarą.
Miliard dolarów na hub technologiczny w Polsce. Chmura Krajowa i Microsoft podpisały porozumienie
Polskie firmy nie doceniają zagrożeń
Zdaniem autorów raportu, świadomość co do ważności skutecznego zarządzania obszarem bezpieczeństwa i ochrony kluczowych zasobów biznesowych wśród polskich firm pozostaje niewystarczająca.
Według nich dowodzi tego, że aż 62 proc. spółek w Polsce ankietowanych przez KPMG nawet nie wie, w jakim modelu korzysta z chmury.
Jedna na pięć organizacji w Polsce nie uważa, że usługi utrzymywane w ramach wewnętrznej infrastruktury firmy są bezpieczniejsze od usług chmurowych. Jednocześnie blisko połowa uważa oba rozwiązania za tak samo bezpieczne - wskazuje raport.
Eksperci KPMG zwracają uwagę na coraz większą skalę zjawiska tzw. "shadow IT", czyli dokonywania zakupów usług chmurowych przez działy biznesowe z pominięciem działu IT, bez analizy ryzyka i bez zastosowania firmowych procedur.
Zjawisko "shadow IT" budziło wiele obaw specjalistów ds. bezpieczeństwa informatycznego jeszcze przed pandemią COVID-19, natomiast nagłe i masowe przejście na pracę w trybie zdalnym oraz zmiany w infrastrukturze dramatycznie zwiększyły skalę problemu - wskazują autorzy opracowania.
Jak podkreślają, szczególnie dotyczy on firm, w których narzędzia wspierające pracę zdalną w zespołach nie funkcjonowały wcześniej lub były zbyt wolno wdrażane przez działy IT.
Praca zdalna ułatwia działania hakerów
W konsekwencji braku odpowiedniego tempa działań wspierających pracę zdalną, działy biznesowe i indywidualni pracownicy z pominięciem działów IT zaczęli na większą skalę stosować w codziennej pracy rozwiązania oparte na chmurze obliczeniowej.
Jak zauważają eksperci, stosowane w tym celu aplikacje często nie są odpowiednio chronione – przez wieloskładnikowe uwierzytelnienie czy restrykcyjne polityki dotyczące tworzenia haseł.
Mogą również nie spełniać wymogów prawnych w zakresie lokalizacji i retencji danych. Tymczasem z globalnego badania KPMG wynika, że już w 2019 roku aż 92 proc. firm obawiało się, że ich pracownicy i poszczególne działy biznesowe w nieautoryzowany sposób korzystają z usług chmurowych.
Uwaga na poświąteczne wyprzedaże. Cyberprzestępcy nie próżnują
Najgorzej jest z ochroną poczty elektronicznej
Jak czytamy w analizie, jednym ze słabych punktów wielu firm jest poczta e-mail oparta na chmurze ( cloud computing). Choć oferuje ona organizacjom niezbędną elastyczność w obliczu nowej rzeczywistości, to zarazem ułatwia dostęp hakerom.
Fakt, że cyberprzestępcy potrzebują jedynie danych uwierzytelniających, aby naruszyć konta e-mail, stał się przyczyną zakrojonych na szeroką skalę ataków typu BEC (ang. Business E-mail Compromise).
Eksperci KPMG wskazują, że wystarczy przejęcie pojedynczego, firmowego konta e-mail za pośrednictwem witryny internetowej zbierającej dane uwierzytelniające, by hakerzy byli w stanie zdobyć zaufanie współpracowników, poznać zasoby czy partnerów biznesowych i uzyskać dodatkowe dane uwierzytelniające lub żądać nieuprawnionych transakcji finansowych.
Cloud computing wymaga więcej od IT
KPMG przestrzega, że czujność zespołów ds. bezpieczeństwa IT w firmach, które migrują do chmury, jest często uśpiona za sprawą standardowych narzędzi monitorowania bezpieczeństwa oferowanych przez dostawcę usługi.
Zarządzanie bezpieczeństwem w chmurze jest jednak - wskazuje raport - procesem o wiele bardziej złożonym, wymagającym odpowiedniej analizy ryzyka i podjęcia konkretnych działań.
Sprawnie muszą także funkcjonować procedury szybkiego reagowania na incydenty naruszenia bezpieczeństwa w chmurze. Osoby odpowiedzialne za cyberbezpieczeństwo przedsiębiorstwa powinny mieć pewność, że działają one prawidłowo w przypadku wystąpienia zagrożenia. Ale to wymaga ciągłego edukowania pracowników firm w dziedzinie cyberbepieczeństwa.
PR24/PAP/sw