Несмотря на то, что облачные вычислительные ресурсы по-прежнему остаются весьма важными активом для многих организаций, компании не внедряют соответствующие политики и не реализуют необходимых мер по обеспечению безопасности для защиты конфиденциальных данных, хранящихся в облачной инфраструктуре. Таковы лишь некоторые из выводов «Глобального исследования обеспечения безопасности данных в облаке в 2016 году» (The 2016 Global Cloud Data Security Study), выполненного институтом Ponemon Institute по заказу Gemalto, мирового лидера в области цифровой безопасности. В рамках исследования было опрошено более 3400 ИТ-специалистов-практиков, а также экспертов в области информационной безопасности по всему миру, что позволило получить более полное понимание основных тенденций в сфере управления данными и методик обеспечения безопасности облачных сервисов.
Основные выводы
Развитие теневых ИТ создают угрозу для безопасности в облаке
Согласно результатам опроса, примерно в половине случаев (49%) облачные сервисы внедряются не корпоративными ИТ-отделами, а другими подразделениями компаний, и примерно 47% корпоративных данных, хранящихся в облачных окружениях, не управляется и не контролируется ИТ-департаментами. Тем не менее, увеличивается уверенность респондентов в том, что они располагают полной информацией об используемых в их организациях сервисах облачных вычислений. 54%респондентов уверены, что их ИТ-организации знают обо всех используемых приложениях, платформах и инфраструктурных сервисах облачных вычислений, что на девять процентов выше, чем в 2014 году.
Традиционные методики безопасности не применимы в облаке
В 2014 году 60% респондентов считали, что защита конфиденциальной или служебной информации при работе с облачными сервисами представляла собой более сложную задачу. В этом году так считает 54%. Если в 2014 году на сложности, связанные с контролированием или ограничением пользовательского доступа, сетовали 48% опрошенных, то в 2016 году о таких сложностях заявляют уже 53% респондентов. Среди других крупных проблем, делающих обеспечение безопасности более сложным, называют невозможность применения традиционных инструментов информационной безопасности в облачных окружениях (70% респондентов) и невозможность непосредственно контролировать поставщиков облачных сервисов на соблюдение требований в отношении безопасности (69% опрошенных).
В облаке хранится всё больше информации о заказчиках, и именно эти данные считаются наиболее подверженными риску
По результатам опроса, чаще всего в облаке хранятся такие виды данных как информация о заказчиках, адреса электронной почты, потребительские данные, личные дела сотрудников и платёжная информация. С 2014 года наибольший прирост был зафиксирован в отношении хранящейся в облаке информации о заказчиках: если в 2014 году о том, что их компания хранит такую информацию в облаке, утверждали 53% респондентов, то в 2016 году так утверждает 62% респондентов. Кроме того, по мнению 53% опрошенных, именно информация о заказчиках наиболее подвержена риску в облаке.
Подразделения безопасности остаются в неведении о приобретаемых облачных сервисах
Только 21% респондентов сказали, что сотрудники подразделений безопасности в их компаниях принимают участие в принятии решений относительно использования тех или иных облачных приложений или платформ. Большинство респондентов (64%) также заявили, что в их организациях отсутствуют правила или политики, требующие применения технологий безопасности, таких как шифрование, в качестве условия для использования определённых облачных приложений.
Шифрование считается важным фактором, но до сих пор не получило повсеместного распространения в облаке
72% процента респондентов утверждают, что для них важным фактором является возможность осуществлять шифрование или токенизацию конфиденциальных или служебных данных, при этом 86% считают, что в ближайшие два года такая возможность станет еще более актуальной. Для сравнения, в 2014 году так считало 79% опрошенных. Несмотря на то, что всё больше респондентов осознают важность шифрования, эта технология пока еще не столь широко используется в облаке. Например, в отношении наиболее популярного типа облачных сервисов, SaaS, только 34% респондентов говорят, что их организация осуществляет шифрование или токенизацию конфиденциальных или служебных данных непосредственно в облачных приложениях.
Многие компании по-прежнему используют пароли для защиты пользовательского доступа к облачным сервисам
По мнению шестидесяти семи процентов опрошенных, управление учётными записями пользователей в облаке является более сложной задачей по сравнению с управлением этими записями в локальной инфраструктуре. Однако организации не принимают даже самых простых в реализации мер, которые бы помогли повысить безопасность в облаке. Около половины (45%) компаний не использует технологий многофакторной аутентификации для защиты доступа своих сотрудников или третьих лиц к облачным приложения или данным, а это означает, что компании по-прежнему полагаются лишь на логины и пароли для валидации учетных записей. В результате этого, всё больше данных подвергаются риску, поскольку 58% респондентов признают, что в их организациях доступ к корпоративным данным и информации в облаке разрешён и для сторонних пользователей.
«Обеспечение безопасности по-прежнему может вызывать определённые затруднения у компаний, особенно когда речь идёт о сложностях, связанных с соблюдением законодательства в отношении конфиденциальности и защиты данных, — говорит доктор Ларри Понемон (Larry Ponemon), директор и основатель Ponemon Institute. – Для соблюдения законодательства компаниям важно рассмотреть возможность внедрения таких технологий как шифрование, маркирование и других криптографических решений для защиты конфиденциальных данных, передаваемых и размещаемых в облаке».
«Организации уже активно работают с облачными технологиями, пользуются их гибкостью и рентабельностью, но при этом они по-прежнему противятся принятию мер для сохранения контроля над своими данными и для соблюдения законодательных требований при работе с данными в виртуальных окружениях, — говорит Джейсон Харт (Jason Hart), вице-президент и директор по технологиям в подразделении защиты данных, Gemalto. – Вполне очевидно, что нынешних мер по обеспечению безопасности недостаточно, поскольку облако предъявляет несколько иные требования к традиционным подходам защиты данных, когда эти данные просто находились в сети. Это та проблема, которую можно решить только путём внедрения похода, ориентированного на работу с данными, в рамках которого ИТ-организации смогут постоянно защищать пользовательские и корпоративные данные в десятках облачных сервисов, с которыми повседневно работают их сотрудники и внутренние подразделения».