Статті

Более 60% конфиденциальных данных компаний в облаке не защищены шифрованием

02 августа, 2016. 02:08 По материалам Gemalto
Половина всех облачных сервисов и корпоративных данных, хранящихся в облачном окружении, неподконтрольны ИТ-подразделениям. Только треть конфиденциальных данных, хранящихся в облачных приложениях, защищена шифрованием. Более чем у половины компаний отсутствует какой-либо упреждающий подход, который бы способствовал соблюдению требований по обеспечению конфиденциальности и безопасности в отношении данных, хранящихся в облачных окружениях.

"Несмотря на то, что облачные вычислительные ресурсы по-прежнему остаются весьма важными активом для многих организаций, компании не внедряют соответствующие политики и не реализуют необходимых мер по обеспечению безопасности для защиты конфиденциальных данных, хранящихся в облачной инфраструктуре". Таковы лишь некоторые из выводов "Глобального исследования обеспечения безопасности данных в облаке в 2016 году" (The 2016 Global Cloud Data Security Study), выполненного институтом Ponemon Institute по заказу Gemalto, мирового лидера в области цифровой безопасности. В рамках исследования было опрошено более 3400 ИТ-специалистов-практиков, а также экспертов в области информационной безопасности по всему миру, что позволило получить более полное понимание основных тенденций в сфере управления данными и методик обеспечения безопасности облачных сервисов.  

По утверждению 73% опрошенных, облачные сервисы и платформы считаются важным фактором в деятельности их организаций, при этом 81% респондентов считает, что в ближайшие два года роль облачных сервисов в работе компаний станет еще более значимой. В сущности, 36% респондентов сказали, что все ИТ-потребности их компаний, как и потребности в обработке данных сегодня полностью удовлетворяются с помощью облачных ресурсов. Более того, ожидается, что в течение ближайших двух лет эта цифра вырастет до 45%.

Хотя облачные ресурсы сегодня играют всё более важную роль в решении корпоративных ИТ-задач и в реализации бизнес-стратегий, по мнению 54% респондентов, в их компаниях отсутствует какой-либо упреждающий подход к управлению безопасностью и соблюдению требований по обеспечению конфиденциальности и защите данных, хранящихся в облачных окружениях. И всё это несмотря на то, что 65% респондентов заявили о приверженности их организаций обеспечению защиты конфиденциальной и иной критически важной информации в облаке. Более того, 56% не считают, что их организации проявляют осторожность в отношении размещения подобной информации в облачном окружении для доступа третьих лиц, например, бизнес-партнёров, подрядчиков или поставщиков.

"Обеспечение безопасности по-прежнему может вызывать определённые затруднения у компаний, особенно когда речь идёт о сложностях, связанных с соблюдением законодательства в отношении конфиденциальности и защиты данных, - говорит доктор Ларри Понемон (Larry Ponemon), директор и основатель Ponemon Institute. – Для соблюдения законодательства компаниям важно рассмотреть возможность внедрения таких технологий как шифрование, маркирование и других криптографических решений для защиты конфиденциальных данных, передаваемых и размещаемых в облаке".

"Организации уже активно работают с облачными технологиями, пользуются их гибкостью и рентабельностью, но при этом они по-прежнему противятся принятию мер для сохранения контроля над своими данными и для соблюдения законодательных требований при работе с данными в виртуальных окружениях, - говорит Джейсон Харт (Jason Hart), вице-президент и директор по технологиям в подразделении защиты данных, Gemalto. – Вполне очевидно, что нынешних мер по обеспечению безопасности недостаточно, поскольку облако предъявляет несколько иные требования к традиционным подходам защиты данных, когда эти данные просто находились в сети. Это та проблема, которую можно решить только путём внедрения похода, ориентированного на работу с данными, в рамках которого ИТ-организации смогут постоянно защищать пользовательские и корпоративные данные в десятках облачных сервисов, с которыми повседневно работают их сотрудники и внутренние подразделения".

Основные выводы

Развитие теневых ИТ создают угрозу для безопасности в облаке

Согласно результатам опроса, примерно в половине случаев (49%) облачные сервисы внедряются не корпоративными ИТ-отделами, а другими подразделениями компаний, и примерно 47% корпоративных данных, хранящихся в облачных окружениях, не управляется и не контролируется ИТ-департаментами. Тем не менее, увеличивается уверенность респондентов в том, что они располагают полной информацией об используемых в их организациях сервисах облачных вычислений. 54%респондентов уверены, что их ИТ-организации знают обо всех используемых приложениях, платформах и инфраструктурных сервисах облачных вычислений, что на девять процентов выше, чем в 2014 году.

Традиционные методики безопасности не применимы в облаке

В 2014 году 60% респондентов считали, что защита конфиденциальной или служебной информации при работе с облачными сервисами представляла собой более сложную задачу. В этом году так считает 54%. Если в 2014 году на сложности, связанные с контролированием или ограничением пользовательского доступа, сетовали 48% опрошенных, то в 2016 году о таких сложностях заявляют уже 53% респондентов. Среди других крупных проблем, делающих обеспечение безопасности более сложным, называют невозможность применения традиционных инструментов информационной безопасности в облачных окружениях (70% респондентов) и невозможность непосредственно контролировать поставщиков облачных сервисов на соблюдение требований в отношении безопасности (69% опрошенных).

В облаке хранится всё больше информации о заказчиках, и именно эти данные считаются наиболее подверженными риску

По результатам опроса, чаще всего в облаке хранятся такие виды данных как информация о заказчиках, адреса электронной почты, потребительские данные, личные дела сотрудников и платёжная информация. С 2014 года наибольший прирост был зафиксирован в отношении хранящейся в облаке информации о заказчиках: если в 2014 году о том, что их компания хранит такую информацию в облаке, утверждали 53% респондентов, то в 2016 году так утверждает 62% респондентов. Кроме того, по мнению 53% опрошенных, именно информация о заказчиках наиболее подвержена риску в облаке.

 

Подразделения безопасности остаются в неведении о приобретаемых облачных сервисах

Только 21% респондентов сказали, что сотрудники подразделений безопасности в их компаниях принимают участие в принятии решений относительно использования тех или иных облачных приложений или платформ. Большинство респондентов (64%) также заявили, что в их организациях отсутствуют правила или политики, требующие применения технологий безопасности, таких как шифрование, в качестве условия для использования определённых облачных приложений.

Шифрование считается важным фактором, но до сих пор не получило повсеместного распространения в облаке

72% процента респондентов утверждают, что для них важным фактором является возможность осуществлять шифрование или токенизацию конфиденциальных или служебных данных, при этом 86% считают, что в ближайшие два года такая возможность станет еще более актуальной. Для сравнения, в 2014 году так считало 79% опрошенных. Несмотря на то, что всё больше респондентов осознают важность шифрования, эта технология пока еще не столь широко используется в облаке. Например, в отношении наиболее популярного типа облачных сервисов, SaaS, только 34% респондентов говорят, что их организация осуществляет шифрование или токенизацию конфиденциальных или служебных данных непосредственно в облачных приложениях.

Многие компании по-прежнему используют пароли для защиты пользовательского доступа к облачным сервисам

По мнению шестидесяти семи процентов опрошенных, управление учётными записями пользователей в облаке является более сложной задачей по сравнению с управлением этими записями в локальной инфраструктуре. Однако организации не принимают даже самых простых в реализации мер, которые бы помогли повысить безопасность в облаке. Около половины (45%) компаний не использует технологий многофакторной аутентификации для защиты доступа своих сотрудников или третьих лиц к облачным приложения или данным, а это означает, что компании по-прежнему полагаются лишь на логины и пароли для валидации учетных записей. В результате этого, всё больше данных подвергаются риску, поскольку 58% респондентов признают, что в их организациях доступ к корпоративным данным и информации в облаке разрешён и для сторонних пользователей.

Рекомендации по обеспечению безопасности в облаке

Новые реалии облачных информационных технологий означают, что ИТ-организациям необходимо разрабатывать и внедрять комплексные политики в области управления данными и соблюдения нормативных требований, разрабатывать единые принципы и нормы в отношении приобретения и использования облачных сервисов, устанавливать правила, которые бы регламентировали, какие именно данные допустимо хранить в облаке.

ИТ-подразделения смогут выполнить свою миссию по защите корпоративных данных, и при этом содействовать развитию "теневых ИТ", если они будут реализовывать меры по обеспечению безопасности данных, например, внедрять технологии шифрования, которые бы позволили централизованно защищать данные в облаке на фоне того, как другие подразделения компании самостоятельно приобретают необходимые облачные сервисы.

Поскольку компании хранят всё больше данных в облаке и всё чаще используют облачные сервисы, ИТ-организациям необходимо уделять больше внимания укреплению механизмов контроля пользовательского доступа с применением многофакторной аутентификации. Это особенно актуально для компаний, которые предоставляют доступ к своим данным в облаке сторонним компаниям и поставщикам.

Информация об исследовании

Исследование проводилось аналитическим центром Ponemon Institute по заказу Gemalto. В ходе исследования было опрошено 3476 практикующих специалиста в области ИТ и ИТ-безопасности из США, Бразилии, Великобритании, Германии, Франции, Российской Федерации, Индии, Японии и Австралии, которые знакомы с характером использования публичных и частных облачных ресурсов в их компаниях и связаны с использованием этих облачных инфраструктур. Среди представленных сегментов рынка – сектор финансовых услуг, розничной торговли, технологий и программного обеспечения, госсектор, отрасль здравоохранения и фармацевтики, сектор энергетики и коммунального хозяйства, сфера образования,  отрасли перевозок, коммуникаций, развлечения и СМИ, а также индустрия гостеприимства.

Вспомогательные материалы

Комментарии: