Сегодня облачные решения помогают компаниям создавать единое рабочее пространство для всех сотрудников. О рисках использования облачных технологий и о том, как защитить корпоративные данные, рассказывает Валерия Басова, системный аналитик нашей компании.
Ниже приводим текст оригинальной публикации.
Облачные технологии позволяют работать эффективнее, размещая данные на удаленных серверах. Бизнес может разворачивать сложные ИИ-решения, обрабатывать огромные объемы информации или собирать ее с компьютеров и сенсоров по всему земному шару. Облачные решения помогают людям из разных точек мира работать в едином пространстве, что повышает производительность и масштабируемость проектов.
Мировой рынок облачных решений стремительно растет. Во втором квартале 2023 года затраты по всему миру на облака составили около $65 млрд — на 18% больше, чем в аналогичный период предыдущего года. В России особенно вырос спрос на отечественные облачные технологии по причине ухода зарубежных вендоров и дефицита «железа».
Однако возможности облаков сопряжены с рядом рисков. Среди важных уязвимостей — проблемы безопасности и зависимости от поставщиков, если данные хранятся на стороне провайдера, а не в локальных центрах обработки данных. Это особенно критично для крупных предприятий, которые, как правило, работают с чувствительной информацией. Рассмотрим подробнее возможные проблемы и способы их преодоления.
Какие риски несут облачные решения
Проблемы с безопасностью
Так как облачные решения подразумевают хранение большого количества данных, в том числе конфиденциальных, на внешних ресурсах, они становятся привлекательной мишенью для атак злоумышленников.
Нарушение безопасности может быть связано с несколькими причинами:
● DDoS-атаки. Это форма кибератаки, цель которой — вывести систему из строя и отрезать к ней доступ пользователей. От такого вида атак поможет защититься концепция разграничения работы как страховка от рисков, а также регулярная проверка IT-структуры на уязвимости.
● Авторизация/аутентификация. Ненадежные пароли и незашифрованные данные упрощают путь злоумышленников. Если системный ландшафт недостаточно защищен, преступники могут искусственно интегрировать вредоносный код, что приведет к сбою или утечке данных.
Россияне не слишком ответственно относятся к безопасности: 65% их паролей, личных и рабочих, можно взломать за одну минуту. Как правило, самые надежные пароли — у сотрудников крупного бизнеса, и с них стоит брать пример. Нужно доносить до работников, как важно придумать достаточно сложный пароль, а лучше просто запретить создавать комбинацию без достаточного количества символов.
●
Фишинговые атаки. Это один из самых распространенных видов атак. За 2023 год число вредоносных фишинговых писем
увеличилось на 1265%. Чтобы злоумышленники не украли логин и пароль сотрудника, перешедшего по подозрительной ссылке, стоит ввести правило: всегда проверять ссылки в сообщениях в мессенджерах и письмах. Простая внимательность позволит заметить, что с адресом что-то не так. А на те ресурсы, где хранится чувствительная для компании информация, стоит заходить только напрямую или по ссылке от людей, к которым есть стопроцентное доверие. Задача для отдела IT (или сотрудников, если они работают на личном оборудовании) — регулярно обновлять браузер до последней версии.
●
Сбои в работе системы. Причинами данной угрозы могут быть совершенно различные ситуации: от отключения электричества до повреждения устройств хранения. Сбои в работе облачного решения приводят к потере и утечке данных. Недавно компания Atlassian
выявила критическую ошибку в своих облачных продуктах Confluence Data Center и Confluence Server: уязвимость позволяла злоумышленникам без авторизации и проверки получbть доступ к данным. Только благодаря оперативной работе внутренней системы безопасности удалось избежать серьезных последствий.
Более того, к утечкам данных может привести использование неактуальных версий продукта. Например, в мае 2023 года произошла утечка данных у компаний «Ашан», «Твой дом» и Gloria Jeans. Это произошло из-за уязвимости системы «1C-Битрикс». Однако, как утверждает разработчик, обновление с исправленной проблемой было выпущено год назад, но клиенты его не установили. Так что не стоит игнорировать настойчивый пуш «обновить ПО», а еще проще — включить автоматическое обновление.
●
Политика удаленной работы на личных устройствах. С этой проблемой столкнулись многие компании, которые были вынуждены перейти на удаленный формат работы в период пандемии. Работодатели разрешили сотрудникам пользоваться личными гаджетами, что позволило сократить расходы на оборудование и обслуживание техники. Тем не менее это создало серьезные угрозы для безопасности, предоставив мошенникам дополнительные способы для кражи данных. Решить проблему могут помочь технологии многофакторной аутентификации и USB-токены, а также подключение через VPN, RDP, Web, которые используют цифровые сертификаты. Механизм позволяет регулировать доступность рабочего места: специалист, который не установит специализированные сертификаты, не сможет войти в рабочую систему с личного устройства.
Зависимость от поставщика
При использовании облачных приложений бизнес, как правило, зависит от поставщика решения, поэтому становится крайне чувствительным к изменениям условий предоставления услуг и ценовой политики.
Одна из ключевых проблем, с которой пришлось столкнуться российскому бизнесу в последние годы — уход зарубежных вендоров. Процесс поиска качественной замены ПО и его внедрения может занять несколько месяцев. Сегодня крупные компании часто создают собственные решения, которые позволяют отказаться от сторонних продуктов. Например, «Сбер» разработал платформу для организации HR-процессов, а «Яндекс» реализовал аналог трекеров Jira и Trello. Так проблема понемногу решается, но происходит это не мгновенно.
Доступ к облачным решениям бывает ограничен не только из-за санкций — причина может быть в поломках на стороне поставщика. Например, в сентябре 2020 года в течение пяти часов наблюдались проблемы в работе экстренной службы 911 из-за сбоя в системах внутреннего облачного хранилища от Microsoft.
Неочевидная проблема, которая может привести к серьезным последствиям — неконтролируемые обновления облачных приложений. Поставщики решений не могут учитывать все особенности работы внутренних систем компании-клиента, поэтому любое обновление может сломать ранее настроенные процессы. А ошибки и сбои системы только упростят работу для киберпреступников. Более того, пользователи могут не заметить обновление и связанные с ним изменения, если напрямую не столкнутся с проблемой в работе, что усложняет процесс выявления и устранения уязвимостей. Это не значит, что не нужно обновлять ПО, напротив, это необходимо. Но за этим процессом должны следить IT-специалисты компании.
Одно из возможных решений проблемы с зависимостью от поставщика — диверсификация: компании могут хранить свои данные и приложения на нескольких облачных платформах. Такой подход поможет увеличить гибкость и облегчит перенос данных в случае необходимости.
Ошибки и халатность сотрудников
Примерно в 50% случаев утечка данных — результат человеческой ошибки. Неопытность или невнимательность сотрудников может привести и к другим проблемам, например, случайному удалению нужной информации.
Иногда пользователям предоставляется больше прав, чем необходимо для выполнения их обязанностей — и сотрудник может совершить нежелательное действие, даже не подозревая об этом. Чаще всего такая ситуация складывается из-за невнимательности системного администратора при создании профиля специалиста или ошибки системы в моменте выдачи прав. Хорошая практика — регулярно проводить аудит систем и проверять уровень доступов пользователей.
Техника безопасности
Несмотря на множество рисков, облачные технологии продолжают развиваться и активно внедряться. К 2026 году 82% компаний по всему миру планируют обеспечить интеграцию технологий искусственного интеллекта в облачные платформы обработки данных. Также, по данным Google Cloud и IDC, 80% организаций с большей вероятностью выберут облачную платформу с уже встроенной поддержкой для развертывания моделей машинного обучения.
Угрозы, которые несут в себе облачные решения, перекрываются их возможностями, поэтому бизнес стремится создать все условия для безопасной и прозрачной работы в облаке.
Например, во всем мире 60% компаний применяют шифрование данных. Все крупные облачные сервисы, такие как Dropbox, Amazon Drive и Microsoft OneDrive, предоставляют такую опцию.
В 2023 году российские компании стали в 1,6 раза чаще по сравнению с предыдущим годом делать резервные копии данных — это еще один способ восстановить потерянные файлы в случае взлома. Можно сохранять резервные копии на жестком диске или выгружать данные в отдельные облачные пространства.
А вот с паролями сотрудников дела обстоят иначе. В России только 5% пользователей создают достаточно сложные пароли: 12 символов, знаки валют, проценты, скобки, разный регистр. И в основном это работники крупных корпораций — этого требует их политика. Среднему и малому бизнесу стоит брать с них пример, чтобы повысить сохранность информации.
Облачные решения часто внедряют для того, чтобы пользоваться искусственным интеллектом — и именно ИИ может частично решить проблемы с безопасностью. Он умеет автоматизировать управление доступами: с помощью анализа поведения пользователей алгоритмы дают рекомендации при настройке прав. Также искусственный интеллект может фиксировать аномальное поведение и потенциальные угрозы. Синергия человеческого интеллекта с искусственным позволит оперативно реагировать на инциденты и своевременно принимать меры для предотвращения несанкционированного доступа к чувствительным данным.
