Подавляющее большинство утечек корпоративных данных из облаков (около 90%) происходит из-за человеческих ошибок, спровоцированных с помощью социальной инженерии, а не из-за проблем, возникающих на стороне облачных провайдеров.
Таковы данные исследования «Лаборатории Касперского»*.
Использование облачной IT-инфраструктуры позволяет компаниям сделать бизнес-процессы более гибкими, сократить капитальные затраты и повысить скорость предоставления IT-услуг, но у организаций возникают опасения насчёт того, насколько безопасно хранить данные в облаках. 26% компаний в России (и 33% в мире) выказывают беспокойство по поводу возможных киберинцидентов в IT-инфраструктуре, управляемой сторонним поставщиком: в случае утечки преимущества облачных сред померкнут на фоне коммерческого и репутационного ущерба для бизнеса.
Тем не менее, несмотря на то что компании обеспокоены целостностью и надёжностью внешних облачных платформ, киберинциденты в этих средах, как раз наоборот, чаще происходят из-за внутренних причин. Так, лишь каждая десятая (11%) утечка данных из облака стала возможной из-за тех или иных действий провайдера, в то время как треть всех киберинцидентов в облаке (31% в России и 33% в мире) произошла из-за доверчивости сотрудников компании, попавшихся на приемы социальной инженерии.
Но, конечно, это не отменяет того факта, что бизнесу нужно обращать особое внимание на меры информационной безопасности при работе со сторонними организациями. Так, только 54% компаний в России (а в мире и того меньше — всего 47%) внедрили специализированные решения для защиты облачной инфраструктуры. Возможно, руководители считают, что ответственность за защиту облачных сервисов лежит на поставщике, либо пребывают в ложном убеждении, что защитные решения для конечных устройств способны оградить от угроз также и облачные среды.
«Важным шагом в принятии решения о переносе данных в публичное облако является понимание того, кто будет отвечать за безопасность хранящихся в нём корпоративных данных. Облачные провайдеры обычно принимают меры кибербезопасности, чтобы защитить платформы и клиентов, но они не могут нести ответственность за угрозы, возникающие на стороне клиента. Наш опрос показал, что компаниям нужно обратить пристальное внимание на вопросы повышения цифровой грамотности среди сотрудников и принять меры, которые позволят защитить облачную среду от их ошибок», — говорит Матвей Войтов, руководитель направления развития бизнеса защиты виртуальных и облачных сред «Лаборатории Касперского».
Для обеспечения безопасности данных, хранящихся в облаке, «Лаборатория Касперского» рекомендует компаниям:
- обучать сотрудников основам информационной безопасности, например, с помощью онлайн-платформы Kaspersky Automated Security Awareness Platform (ASAP);
- определить процедуры покупки и использования облачной инфраструктуры для каждого департамента, чтобы минимизировать риск несанкционированного применения облачных платформ;
- после перехода на облако установить специализированное защитное решение для облачной инфраструктуры с унифицированным управлением безопасностью из единой консоли, например решение Kaspersky Security для виртуальных и облачных сред, которое позволяет без ущерба для производительности оградить рабочие нагрузки от самых сложных известных и неизвестных угроз и защищает всю облачную инфраструктуру — от платформ виртуализации до публичных облаков.
*Исследование «Информационная безопасность бизнеса» проведено специально для «Лаборатории Касперского» в 2018 году. Данные собраны на основании опроса 6614 IT-специалистов из 29 стран по всему миру, в том числе 772 человек из России.