U modernom digitalnom svijetu u kojem zaposlenici pristupaju podacima s bilo kojeg mjesta, tvrtke širom svijeta ubrzano prelaze na oblak.
To potiče povećanje usvajanja multiclouda kako bi se omogućio učinkovit rad na daljinu. Paralelno s ovom promjenom, povećali su se i promijenili i sigurnosni izazovi koji predstavljaju prioritet za IT timove i stručnjake za sigurnost.
Kako se sve više podataka pohranjuje kod nekoliko različitih pružatelja usluga u oblaku, krađe podataka u oblaku i neuspjele revizije otvaraju cijeli niz pitanja i problema. Napadi usmjereni na resurse u oblaku također su u porastu, a tvrtkama je potrebna pomoć da razumiju koje bi ih prijetnje trebale zabrinjavati te kako se od njih zaštititi. Pojavile su se nove vrste sigurnosnih platformi i izvornih sigurnosnih usluga u oblaku, a tvrtkama je potrebna pomoć da razumiju o kojima bi trebale razmisliti, s obzirom na različite slučajeve korištenja sigurnosti u oblaku, posebno kada se primjenjuju na osjetljive podatke i radna opterećenja.
Neke od odgovora možemo pronaći u Thalesovoj studiji o sigurnosti u oblaku iz 2022., koja se temelji na globalnom istraživanju gotovo 2800 ispitanika iz 17 zemalja i širokog spektra industrija. Svrha ove studije je pomoći IT i sigurnosnim timovima u tvrtkama da shvate sigurnosne izazove u oblaku s kojima se suočavaju njihovi kolege kako bi pomogli u upravljanju sigurnosnom strategijom i proračunima.
Izvješće Thales Cloud Security za 2022., koje je proveo 451 Research, član S&P Global Market Intelligence, navodi da je 45% tvrtki doživjelo krađu podataka u oblaku ili neuspjelu reviziju u posljednjih 12 mjeseci, što je 5% više u odnosu na prethodnu godinu te izaziva još veću zabrinutost za zaštitu osjetljivih podataka od kibernetičkih kriminalaca.
Globalno gledano, usvajanje oblaka, a posebice usvajanje multiclouda, i dalje je u porastu. 2021. godine organizacije diljem svijeta koristile su prosječno 110 aplikacija softvera kao usluge (SaaS), u usporedbi sa samo osam u 2015. godini, što je zapanjujuće brz porast. Došlo je do primjetne ekspanzije u korištenju više IaaS pružatelja usluga, s gotovo tri četvrtine (72%) tvrtki koje koriste više IaaS pružatelja usluga, u usporedbi s 57% godinu prije. Korištenje višestrukih pružatelja usluga gotovo se udvostručilo u prošloj godini, pri čemu je svaki peti (20%) ispitanik izjavio da koristi tri ili više pružatelja usluga.
Usprkos njihovoj sve većoj rasprostranjenosti i upotrebi, tvrtke dijele zajedničku zabrinutost zbog sve veće složenosti usluga u oblaku s većinom (51%) IT stručnjaka - slažu se da je složenije upravljati privatnošću i zaštitom podataka u oblaku. Osim toga, putovanje prema oblaku također postaje složenije. Postotak ispitanika koji su izjavili da se pripremaju na „lift and shift“, najjednostavniju taktiku migracije, pao je s 55% u 2021. godini na trenutačnih 24%.
Sigurnosni izazovi kompleksnosti multiclouda
Uz povećanje kompleksnosti dolazi i još veća potreba za robusnom kibernetičkom sigurnošću. Na pitanje koliki je postotak njihovih osjetljivih podataka pohranjen u oblaku, većina (66%) odgovorila je - između 21 i 60%. Međutim, samo četvrtina (25%) rekla je da može u potpunosti klasificirati sve podatke. Uz to, gotovo trećina (32%) ispitanika priznala je da je morala poslati obavijest o krađi podataka vladinoj agenciji, kupcu, partneru ili zaposlenicima. To bi trebao biti razlog za zabrinutost među tvrtkama koje upravljaju osjetljivim podacima, osobito u visoko reguliranim industrijama.
Kibernetički napadi također predstavljaju stalni rizik za aplikacije i podatke u oblaku. Ispitanici su izvijestili o sve većoj učestalosti napada, pri čemu je četvrtina (26%) navela porast zlonamjernog softvera, 25% ransomwarea, a jedna petina (19%) izjavila je da je primijetila povećan broj prevarantskih napada (phishing), te napada usmjerenih na rukovoditelje (whaling).
Zaštita osjetljivih podataka
Kada je riječ o zaštiti podataka u multicloud okruženjima, IT stručnjaci smatraju da je enkripcija ključna sigurnosna kontrola. Većina ispitanika navela je enkripciju (59%) i upravljanje ključevima (52%) kao sigurnosne tehnologije koje trenutno koriste za zaštitu osjetljivih podataka u oblaku. Međutim, na pitanje koliki je postotak njihovih podataka u oblaku enkriptiran, tek svaki deseti ispitanik (11%) odgovorio je da je enkriptirano između 81 i 100% podataka. Osim toga, raširenost platformi za upravljanje ključevima može biti problem za tvrtke. Samo 10% ispitanika koristi jednu do dvije platforme, 90% koristi tri ili više, a gotovo svaki peti (17%) koristi osam ili više platformi.
Enkripcija bi trebala biti prioritetno područje na koje bi se tvrtke trebale usredotočiti kada je riječ o osiguranju podataka u oblaku. Čak 40% ispitanika je uspjelo izbjeći postupak izvještavanja o krađi podataka jer su podaci koji su procurili ili ukradeni bili enkriptirani i tokenizirani, što dokazuje opipljivu vrijednost platformi za enkripciju.
Uz to, ohrabrujuće je vidjeti da tvrtke prihvaćaju zero trust. Gotovo trećina ispitanika (29%) već provodi zero trust strategiju, četvrtina (27%) ju procjenjuje i planira, a 23% ju razmatra. Ovo je u svakom slučaju pozitivan rezultat, no ima prostora za daljnji rast.
O Thalesovoj globalnoj studiji o sigurnosti u oblaku iz 2022. godine
I dok su organizacije napravile korak naprijed u posljednje dvije godine, i dalje se bore s osiguravanjem složenijih okruženja u kojima sada djeluju. Globalno izdanje Thales Cloud Security Study iz 2022. razmatralo je različite aspekte tih utjecaja u opsežnom istraživanju stručnjaka za sigurnost i izvršnog rukovodstva. Dotaknulo se raznih pitanja, primjerice ubrzane digitalne transformacije, migracije u oblak i složenosti upravljanja sigurnošću u multicloud svijetu.