Подавляющее большинство утечек корпоративных данных из облаков (в 9 из 10 случаев) происходит из-за человеческих ошибок, спровоцированных с помощью социальной инженерии, а не из-за проблем, возникающих на стороне облачных провайдеров. Такой результат получила «Лаборатория Касперского» после проведения соответствующего опроса среди 6614 IT-специалистов из 29 стран по всему миру.
Использование облачной IT-инфраструктуры позволяет компаниям сделать бизнес-процессы более гибкими, сократить капитальные затраты и повысить скорость предоставления IT-услуг, но у организаций возникают опасения насчёт того, насколько безопасно хранить данные в облаках. Почти 33% из опрошенных глобально компаний выказывают беспокойство по поводу возможных киберинцидентов в IT-инфраструктуре, управляемой сторонним поставщиком: в случае утечки преимущества облачных сред померкнут на фоне коммерческого и репутационного ущерба для бизнеса.
Тем не менее, несмотря на то что компании обеспокоены целостностью и надёжностью внешних облачных платформ, киберинциденты в этих средах, как раз наоборот, чаще происходят из-за внутренних причин. Так, лишь каждая десятая (11%) утечка данных из облака стала возможной из-за тех или иных действий провайдера, в то время как треть всех киберинцидентов в облаке произошла из-за доверчивости сотрудников компании, попавшихся на приемы социальной инженерии.
Лишь около 47% респондентов внедрили специализированные решения для защиты облачной инфраструктуры. Возможно, руководители считают, что ответственность за защиту облачных сервисов лежит на поставщике, либо пребывают в ложном убеждении, что защитные решения для конечных устройств способны оградить от угроз также и облачные среды.
Важным шагом в принятии решения о переносе данных в публичное облако является понимание того, кто будет отвечать за безопасность хранящихся в нём корпоративных данных. Облачные провайдеры обычно принимают меры кибербезопасности, чтобы защитить платформы и клиентов, но они не могут нести ответственность за угрозы, возникающие на стороне клиента. Проведенный опрос показал, что компаниям нужно обратить пристальное внимание на вопросы повышения цифровой грамотности среди сотрудников и принять меры, которые позволят защитить облачную среду от возможных ошибок.
Минимальные требования для обеспечения безопасности данных, хранящихся в облаке из тех, что необходимы компаниям в первую очередь:
- обучать сотрудников основам информационной безопасности, например;
- определить процедуры покупки и использования облачной инфраструктуры для каждого департамента, чтобы минимизировать риск несанкционированного применения облачных платформ;
- после перехода на облако установить специализированное защитное решение для облачной инфраструктуры с унифицированным управлением безопасностью из единой консоли, которое позволяет без ущерба для производительности оградить рабочие нагрузки от самых сложных известных и неизвестных угроз и защищает всю облачную инфраструктуру — от платформ виртуализации до публичных облаков.