После хаотических событий 2020 года и внезапного перехода к удаленной работе любой, кто еще не работает на рынке облачных данных, пересматривает свою позицию.

Компании выяснили, почему сохранение операционной гибкости при одновременном повышении киберустойчивости имеет решающее значение для успеха современного бизнеса. Но теперь, с ускорением внедрения облачных технологий и ростом масштабов облачных сред, группы инженеров и специалистов по безопасности говорят, что повышаются специализированные риски и затраты на устранение потенциальной утечки данных, особенно в трех важнейших областях.

 

Проблемы не исчезают в облаке

В недавно опубликованном опросе «Состояние облачной безопасности в 2021 году», проведенном Fugue и Sonatype, исследователи поговорили с 300 специалистами по облачным технологиям, включая инженеров по облачным технологиям, инженеров по безопасности, специалистов DevOps и архитекторов безопасности, чтобы оценить уровень риска, связанного с размещением облачных данных, а также выявить основные проблемы, которые мешали им улучшить безопасность облака. Безусловно, самым важным выводом является тот факт, что 36% опрошенных организаций за последние 12 месяцев пострадали от серьезных инцидентов, связанных с безопасностью, таких как утечка облачных данных.

Все более опасный ландшафт киберпреступности вызывает серьезную озабоченность у всех, кто использует облачные технологии данных. Причины, на которые ИТ-специалисты указывают как на виновников многих из этих нарушений, также вызывают беспокойство, потому что в них нет ничего экстраординарного. Подавляющее большинство из них вообще не было вызвано криминальным взломом или киберпреступниками. Вместо этого эти компании пострадали от утечки данных в своей облачной среде из-за обширного списка неверных настроек, которых можно было избежать, и проблем с персоналом, которые в конечном итоге привели к катастрофе.

 

Основные причины утечки облачных данных

У опрошенных ИТ-специалистов было множество целей, на которые можно было бы указать как на факторы, влияющие на возможную утечку данных в облаке, и ни один из них не является киберпреступником-хакером.

  • 32% говорят, что слишком много API и интерфейсов для управления.
  • 31% ссылаются на отсутствие надлежащего контроля и надзора за базой данных.
  • 27% указывают на недостаточную осведомленность о политике безопасности данных.
  • 23% обвиняют старомодную халатность.
  • 21% заявили, что не проверяют инфраструктуру как код (IaC) перед развертыванием.
  • 20% признали, что виноват надзор их ИТ-команды.

 

3 главных препятствия на пути снижения риска безопасности облачных данных

Это не просто разовый подарок 2020 года. Безопасность облачных данных в 2021 году будет столь же рискованной, и этот риск растет. Фактически, исследователи обнаружили, что восемь из десяти обеспокоены тем, что они уязвимы для серьезного инцидента, связанного с безопасностью облачных данных. Между предприятиями и улучшенной безопасностью стоят три основных препятствия, но все они могут быть устранены.

 

Человеческая ошибка

Неудивительно, что человеческая ошибка возглавляет список подводных камней безопасности облачных данных. В конце концов, это первое место в списке грубых ошибок кибербезопасности вообще. Почти 40% опрошенных ИТ-специалистов назвали человеческий фактор виновником утечки данных в своей организации. Проблемы с обучением являются здесь важным фактором, даже когда речь идет об обучении ИТ-специалистов, управляющих базами облачной среды данных — 35% опрошенных профессионалов указали на серьезные проблемы, связанные с достаточным обучением своих облачных команд по вопросам безопасности.

Это соответствует данным, предоставленным Verizon и Ponemon Institute в отчете о стоимости утечки данных за 2021 год. Невыполненные ошибки были причиной многих дорогостоящих катастроф, связанных с утечкой облачных данных. Человеческий фактор был причиной 85% утечек. Если углубиться, то основной причиной большинства утечек облачных данных является неправильная конфигурация, которая почти неизбежно является результатом предотвратимых обстоятельств, таких как нехватка персонала, перегрузка, недостаток обучения и плохая гигиена кибербезопасности.

 

Нехватка ресурсов

Спрос на экспертов по облачной безопасности высок и продолжает расти, поскольку он продолжает опережать предложение. Компании определенно находятся на рынке для персонала службы безопасности низкого и среднего уровня с опытом в области облачной безопасности, но этот рынок чрезвычайно конкурентен, что приводит к нехватке персонала. Потребность в опытном инженерном, управленческом и архитектурном персонале особенно велика и столь же проблематична. По оценкам экспертов, мы испытываем нехватку квалифицированных специалистов по информационной безопасности в 3,12 миллиона человек, и ожидается, что это число будет расти.

Это хроническая проблема, которая не дает покоя ИТ-лидерам: в недавнем опросе по безопасности 36% из них указали на текущие проблемы с наймом и удержанием квалифицированного, опытного персонала по облачной безопасности, который им необходим для обеспечения эффективной и безопасной работы облачных сред. Это открывает каждую из их организаций для каскада рисков, поскольку в сочетании с другими факторами, такими как заоблачный риск для третьих сторон и цепочки поставок, приводит к катастрофе. И ситуация не улучшается — 95% опрошенных руководителей заявили, что вместо того, чтобы улучшаться даже постепенно, нехватка навыков (и последующие проблемы с наймом, которые она создает) за последние несколько лет осталась прежней или ухудшилась.

 

Перегруженные команды

Перегрузка — это также хроническая проблема ИТ, которая часто особенно обременительна для команд по кибербезопасности. В исследовании проблем ИТ-команды переутомление, выгорание и проблемы с удержанием персонала в подавляющем большинстве назывались самой большой проблемой для корпоративных ИТ-руководителей. Многие ИТ-руководители также недовольны тем, как их компании решают эту проблему. Хотя они считают, что постоянно бьют тревогу, почти 60% респондентов заявили, что не верят, что их организации относятся к этому серьезно или делают достаточно, чтобы облегчить нагрузку на перегруженные ИТ-команды, что приводит к большему количеству человеческих ошибок или инцидентам безопасности, связанных с обучением.

Это неудивительно, особенно после американских горок 2020 года. По оценкам, 85% директоров по информационной безопасности признают, что пожертвовали кибербезопасностью, чтобы быстро позволить сотрудникам работать удаленно. Результатом такой жертвы часто становились чрезмерно напряженные ИТ-службы компаний, дорогостоящие инциденты с безопасностью и связанные с фишингом бедствия, такие как приходящие к вам программы-вымогатели. Постоянные проблемы, возникающие из-за такой перегрузки, напрямую увеличивают риск утечки облачных данных для компании. Два главных виновника, которых назвали ИТ-руководители, — это усталость от тревог (21%) и ложные срабатывания (27%).

 

Оригинал материала

14 августа, 2021