Bezpieczeństwo danych w chmurze – czy odpowiednio o nie dbasz?

Ochrona danych to w dzisiejszych czasach jedno z najważniejszych zadań każdej organizacji. Ich ewentualny wyciek ciągnie za sobą kary prawno-finansowe, brak wiarygodności czy złą prasę.

Dlatego coraz więcej przedsiębiorstw zaczyna korzystać z bezpiecznych usług w chmurze – czy to ze względu na skutki pandemii koronawirusa czy korzyści płynące z wyboru tego rozwiązania – co pociągnęło za sobą globalny wzrost wydatków na rozwiązania chmurowe. 

Jak podaje Canalys – wiodąca firma analityczna – w trzecim kwartale 2021 roku koszt usług chmurowych wzrósł do rekordowego poziomu 49,4 mld dolarów, czyli o 12,9 mld więcej niż rok temu.

Ilość przetwarzanych w biznesie danych rośnie z każdym rokiem, a wymyślne sposoby, na jakie są one wykorzystywane na naszą niekorzyść stają się coraz bardziej niebezpieczne. Niestety, nie wszyscy zdają sobie sprawę jak istotne w globalnej atmosferze zagrożenia staje się zastosowanie odpowiednich zabezpieczeń. Bezpieczeństwo danych w chmurze staje się priorytetem o olbrzymim znaczeniu. Czy Twoja organizacja odpowiednio o nie dba?

Rośnie liczba wycieków danych

Identity Theft Resource Center (ITRC) podaje, że do końca września 2021 liczba wycieków danych osiągnęła poziom wyższy niż w całym roku 2020. Zgłoszonych zostało aż 1291 naruszeń danych. Większość z nich jest powiązana z phishingiem (370) oraz oprogramowaniami ransomware (244).

Ofiarami cyberprzestępców stają się dzisiaj wszyscy – od przysłowiowego Kowalskiego, przez globalnych liderów jak Facebook czy Linkedin, aż po instytucje państwowe (Rządowe Centrum Bezpieczeństwa, Główny Urząd Statystyczny) czy finansowe. Czy to oznacza, że nikt nie jest bezpieczny?

Zagrożenia dla bezpieczeństwa informacji w firmie

Źródło: Raport “Bezpieczeństwo danych w biznesie”, Focus Telecom, 2021

Raport można pobrać wypełniając formularz znajdujący się na dole strony.

Powyższe dane przedstawiają zagrożenia dla bezpieczeństwa danych w organizacji. Powinny nam one dać do myślenia jeśli chodzi o sposoby ochrony danych (także danych wrażliwych). Co wyjątkowo niepokoi, niemalże 33% naruszeń jest spowodowanych błędem ludzkim. Rośnie liczba naruszeń dokonanych przy użyciu tzw. phishingu – metody polegającej na wyłudzaniu prywatnych informacji poprzez podszywanie się pod inną osobę lub instytucję. Coraz większym problemem stają się także błędy w konfiguracji systemów zabezpieczających. Niemal co czwarte naruszenie spowodowane jest niezabezpieczonym transferem. Niewiele mniej, bo aż 16.3% incydentów bezpieczeństwa danych dokonywanych jest z powodu niskiego poziomu autoryzacji, a także awarii systemów (16.3%).

Prawne aspekty bezpieczeństwa danych w przedsiębiorstwie

Wraz ze wzrostem liczby zagrożeń rośnie także liczba sposobów na walkę z owymi zagrożeniami. Powstają nowe przepisy prawne, do których niezastosowanie się ciągnie za sobą drakońskie kary finansowe i inne konsekwencje. Jest to sposób na uświadomienie przedsiębiorcom jak duże jest obecnie ryzyko utraty ochrony danych osobowych, a także konsekwencji ich wycieku dla klientów i użytkowników. Jakie przepisy prawne regulują bezpieczeństwo danych w chmurze?

Rozporządzenie RODO

Rozporządzenie Parlamentu Europejskiego i Rady (UE)  w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (RODO)

W tymże akcie prawnym możemy zapoznać się ze szczegółowymi wytycznymi ochrony danych osobowych, a także jakie obowiązki w tym zakresie mają przedsiębiorstwa oraz inne instytucje przetwarzające i administrujące danymi osobowymi.

Jak wynika z badań VMware Carbon Black rosną zagrożenia dotyczące cyberbezpieczeństwa instytucji należących do sektora finansowego – i to na skalę, jakiej nie widzieliśmy nigdy wcześniej. Aż 79% ekspertów ds. bezpieczeństwa informacji pracujących dla globalnych liderów branży przyznało, że w ostatnim czasie biegłość cyberprzestępców zmusiła ich do wzmożenia wysiłków zmierzających do większego poziomu bezpieczeństwa systemów informatycznych.

Komunikat UKNF 2020

Komunikat Urzędu Komisji Nadzoru Finansowego dotyczący przetwarzania przez podmioty nadzorowane informacji w chmurze obliczeniowej publicznej lub hybrydowej

Komunikat reguluje kwestie bezpieczeństwa danych przetwarzanych nie tylko przez banki, ale także przez firmy inwestycyjne czy towarzystwa ubezpieczeniowe.

Jak zadbać o bezpieczeństwo danych w firmie?

Zadbaj o budowanie świadomości i odpowiedzialności

Z badań wynika, że najczęstszą przyczyną naruszeń bezpieczeństwa danych jest nieświadome działanie użytkowników. Aż 99% ataków rozpoczyna się właśnie od jednego kliknięcia – czytamy na łamach portalu aleBank.pl, serwisu specjalizującego się w dostarczaniu informacji na temat gospodarki i sektora finansowego.

Przykładem może być wyciek danych osób biorących udział w spisie powszechnym przez internet prowadzonym przez GUS. Jedna z pracownic urzędu popełnionym przez siebie błędem spowodowała ujawnienie adresów e-mail kilkuset osób. Jak czytamy na stronie www portalu Niebezpiecznik.pl – polskiego serwisu zajmującego się promowaniem bezpiecznego korzystania z internetu:

„Zapewne brak odpowiednich szkoleń spowodował, że nie wiedziała, że ta funkcja powoduje ponowny wyciek danych, bo wysyła do wszystkich kolejną wiadomość, którą klienci poczty spoza domeny nadawcy (czyli gusowskiej) po prostu ignorują”.

Cykliczne uświadamianie pracownikom ryzyk, na które narażają organizację nieprawidłowo korzystając z udostępnionych im systemów czy danych jest jednym z kluczowych sposobów na ochronę danych wrażliwych w chmurze.

Bezpieczeństwo chmury, a kontrola dostępu

Kolejnym ze sposobów ograniczania błędów ludzkich jest opracowanie właściwych procedur dotyczących kontroli dostępu do danych przetwarzanych w chmurze. Jak wynika z raportu RedLock Cloud Security Intelligence w 51% organizacji co najmniej raz doszło do niezamierzonego udostępnienia danych. Właściwe zarządzanie uprawnieniami dostępu do konkretnych usług czy folderów może znacząco obniżyć ryzyko wystąpienia takich sytuacji.

O tym, jak bezpieczne jest przechowywanie danych w chmurze pisaliśmy tutaj.

Bezpieczeństwo danych w chmurze – kto jest za nie odpowiedzialny?

Badania przeprowadzone przez firmę Gartner jednoznacznie wskazują, że do roku 2022 aż 95% incydentów związanych z bezpieczeństwem systemów chmurowych będzie spowodowane błędami użytkowników. Niestety, są oni często przekonani, że to dostawca usług jest w całości odpowiedzialny za poziom bezpieczeństwa danych. Czy tak jest w istocie?

Otóż niekoniecznie. W zależności od tego z jakiego rodzaju usług korzysta firma – Software as a Service czy Infrastructure as a Service – odpowiedzialność za zabezpieczenie poszczególnych elementów leży po stronie odpowiednio, dostawcy usług i samego klienta. Sprawę dodatkowo komplikuje fakt, że organizacje funkcjonujące w dzisiejszym środowisku biznesowym często korzystają z systemów multi-cloud – rozwiązań łączących usługi chmurowe od różnych dostawców. Tak złożony system staje się jeszcze większym wyzwaniem jeśli chodzi o zapewnienie bezpieczeństwa, a według badań przeprowadzonych przez McAfee korzystanie z takich rozwiązań deklaruje aż 76% użytkowników biznesowych.

W pierwszym roku działania platformy AWS Amazon udostępnił dla niej 28 różnych funkcji i narzędzi. W tym roku wprowadzono ich już ponad 1800. Stanowi to ogromne wyzwanie dla pracowników odpowiedzialnych za bezpieczeństwo, którzy muszą nadążać z zabezpieczaniem wszystkich wdrażanych przez ich organizacje nowości. Tak naprawdę w złożonym środowisku multi-cloud powinno się mieć po jednym ekspercie ds. bezpieczeństwa na każdą używaną platformę i usługę – tylko takie podejście zagwarantuje odpowiednio wysoki poziom bezpieczeństwa” – komentuje John Yeoh, wiceprezes ds. badań organizacji Cloud Security Alliance.

Szyfrowanie danych w chmurze

Obecnie ochrona danych wymaga znacznie więcej niż wdrożenia podstawowych technologii bezpieczeństwa. Nowoczesne strategie obejmują:

• szyfrowanie danych przychodzących i wychodzących (at-transit)

Rodzaj szyfrowania danych w trakcie ich przesyłania do/z chmury obliczeniowej.

• szyfrowanie danych przechowywanych (at-rest)

Rodzaj szyfrowania danych, w którym chronione pliki przechowywane są na dysku w postaci zaszyfrowanej, a dostęp do nich mają wyłącznie zaufani użytkownicy.

• odseparowanie danych na poziomie systemu operacyjnego

Użycie tzw. Full Disk Encryption – pełnego szyfrowania dysków systemów operacyjnych świadczących usługi. Zamiast szyfrowania poszczególnych plików osobno szyfruje się cały wolumen dyskowy, wliczając w to jego kopię zapasową.

• protokoły bezpiecznych połączeń i wymiana kluczy szyfrowania VPN

Internet Protocol Security (IPsec) – zbiór protokołów służących implementacji bezpiecznych połączeń oraz wymiany kluczy szyfrowania pomiędzy komputerami czyli tzw. VPN. Zestawienie tunelu IPsec tworzy bezpieczne medium wymiany danych pomiędzy dwiema sieciami – usługodawcy i klienta.

• MPLS – transmisja danych za pomocą współdzielonej infrastruktury

MPLS – port w switchu 10Gbps, umożliwiający bezpieczną realizację sieci dostępowej do usług. Wykorzystywany najczęściej w korporacjach do transmisji danych za pomocą współdzielonej infrastruktury, daje gwarancję określonych parametrów transmisji.

Chcesz dowiedzieć się więcej o sposobach na wyższy poziom bezpieczeństwa danych w rozwiązaniach chmurowych? Pobierz przygotowany przez nas poradnik wypełniając poniższy formularz.

Odpowiednie hasła chronią dane wrażliwe

Bezpieczeństwo danych w przedsiębiorstwie może być zagrożone przez, wydawałoby się, kwestię fundamentalną. Mowa o silnych, odpowiednio zarządzanych hasłach. Wciąż wielu użytkowników nie dba o właściwe parametry haseł, ich bezpieczne przechowywanie czy regularną zmianę. Kwestia jest na tyle istotna, że została uregulowana najpierw w rozporządzeniu MSWiA, a potem w rozporządzeniu RODO. Przepisy zawarte w tym drugim kładą duży nacisk na poważne podejście do tworzenia i przestrzegania w organizacji, która przetwarza dane osobowe, polityki haseł.

Kopie zapasowe to ochrona przed skutkami ataków

Jednym z atrybutów bezpieczeństwa informacji jest ich dostępność (określa je Norma PN-EN ISO 27001). Sposobem na wypełnienie spoczywającego na nas obowiązku jej zachowania jest między innymi tworzenie kopii zapasowych, a co za tym idzie dbałość o dokonanie i ochronę tych kopii to kolejny sposób na zadbanie o bezpieczeństwo danych organizacji. Utrata niezabezpieczonych w taki sposób danych stoi w sprzeczności z przepisami. Wybierając rozwiązania chmurowe warto zadbać o to, by zdecydować się na dostawcę, który oferuje usługi związane z tworzeniem i ochroną tzw. backupu danych.

Obejrzyj wideo by poznać konsekwencje wycieku danych osobowych w firmie:

Wideo to fragment webinaru o bezpieczeństwie danych osobowych w firmie. Jeśli chcesz obejrzeć całość kliknij tutaj.

Źródła:

• https://redlock.io/news/redlock-cloud-security-trends-report-highlights-lack-of-compliance-with-industry-standards
• Bezpieczeństwo danych w biznesie, Focus Telecom, 2021
• Komunikat Urzędu Komisji Nadzoru Finansowego dotyczący przetwarzania przez podmioty nadzorowane informacji w chmurze obliczeniowej publicznej lub hybrydowej
• Rozporządzenie Parlamentu Europejskiego i Rady (UE)  w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych