Новые исследования показали, что компании считают защиту облаков надежной. Кого интересует ложка дегтя в бочке меда?

Начав использовать хранение в облаке, вы попадаете в страну, где цветут розы, сияет солнце и обеспечивается железобетонная безопасность, причем количество занимающихся этим сотрудников сокращается, и времени на защиту данных они тратят меньше. Так все выглядит, если верить исследованиям, которые финансировались вендорами.

Например, 14 мая Microsoft опубликовала отчет, согласно которому 35% предприятий малого и среднего бизнеса повысили уровень защиты после перехода к облаку. (Что это означает? Я запросила полный текст исследования, чтобы вникнуть в детали. Но на момент публикации данной статьи ни Microsoft, ни проводившая исследование компания comScore мне не ответили.)

В этих организациях-счастливчиках время, затрачиваемое на управление безопасностью, также сократилось на 18 ч в неделю, утверждается в составленном comScore резюме отчета. Но в расчете на специалиста по информационной безопасности или на компанию? Не разъясняется.

И как это выглядит на фоне компаний, не использующих облака? Опрошенные представители СМБ сообщили comScore, что тратят в среднем 19 ч в неделю на управление ИТ-безопасностью, а те, кто обходится без облаков, — 25 ч. Таким образом, перед переходом в облако эти СМБ-компании расходовали целых 37 ч (19 ч плюс достигнутая экономия в 18 ч) на управление безопасностью по сравнению с 25 ч, которые тратят не использующие облака фирмы СМБ.

Означает ли это, что приверженцы облаков имеют привычку уделять больше времени управлению безопасностью? Означает ли это, что они чаще становятся жертвами кибер-угроз? Означает ли это, что они неумело обеспечивают безопасность?

Возможно, такие результаты исследования свидетельствуют о наличии многочисленных компаний СМБ, которые обращаются к облаку просто потому, что они не в состоянии управлять безопасностью. Это было бы неудивительно, если учесть, сколько времени отнимает у них организация защиты.

Наша гипотеза подтверждается тем фактом, что, согласно отчету, 41% опрошенных пользователей облаков считают своего провайдера облачных сервисов “целиком ответственным за информационную безопасность”.

Приводимые цифры порождают образ перегруженных заботами компаний СМБ, только и мечтающих переложить решение проблем безопасности на чужие плечи. К счастью, значительная их доля (57%) считает, что разделяет со своим облачным провайдером ответственность за обеспечение защиты. Именно так и должны подходить к вопросу о безопасности хранения в облаке руководители организаций. Вы ведь не можете просто забыть о некоторых элементах защиты в облаке. Как отмечается в отчете, обращающиеся к использованию облаков организации должны по-прежнему нести ответственность, например, за безопасность клиентов.

Разумеется, провайдер облачных сервисов заинтересован в данных, которые показывают, что беспокойство по поводу безопасности хранения в облаках идет на убыль. В нарисованную сервис-провайдерами радужную картину не вписываются, конечно, случаи, подобные тому, что произошел с MegaUpload. Миллионы пользователей, хранивших данные на этом файлообменном сайте, столкнулись с опасностью навсегда потерять свои документы, когда суд заблокировал его из-за нарушения авторских прав.

Интересно, что в апреле, когда компания Sophos опрашивала участников конференции Infosec Europe по поводу рисков хранения в облаке, 64% респондентов ответили, что это рискованно. Тем не менее 45% его используют.

Защитите себя с помощью шифрования всех хранящихся в облаке данных

В целом участники конференций по безопасности лучше других знакомы с рисками безопасности. Поэтому я отдаю предпочтение их мнению, а не тому, которое излагается в исследовании, профинансированном провайдерами облачных сервисов. Но опять же, производители средств безопасности зарабатывают на наличии рисков. Так что смешайте результаты двух исследований, добавьте к этому капельку собственного жизненного опыта и посмотрите, что всплывает на поверхность и заслуживает доверия.

Один из главных выводов из исследования Sophos заключался в том, что сотрудники компаний используют облака, несмотря на их сомнительную защищенность и даже без разрешения начальства. Просто в облаке слишком легко обмениваться файлами, совместно их использовать и хранить. Нельзя рассчитывать, что люди упустят такие возможности.

Как считает Крис Пейс, специалист по продукту компании Sophos, следует исходить из того, что люди воспользуются преимуществами облачных сервисов, и учитывать присущие данной технологии уязвимости. В противном случае неуправляемое использование облака сотрудниками приведет к потере данных. По его мнению, одним из важнейших элементов ответственности организации за безопасность хранящихся в облаке данных является их шифрование перед тем, как данные покинут компанию. Пользователь получает пароль для дешифровки, а ключи хранит компания. “В конце концов, это их данные”, — сказал он.

Независимо от того, используют ли компании облачные сервисы без официального разрешения благодаря инициативе своих сотрудников или потому, что (ошибочно) полагают, будто облако решит все их проблемы с защитой, каждая организация должна знать об имеющихся между облачными сервисами различиях.

Symform, провайдер облачных сетевых сервисов, предлагает при выборе сервис-провайдера обратить внимание на следующие вопросы безопасности.

• В некоторых облаках ваши данные шифруются на время хранения, но передаются в открытом виде.
• В других, хотя данные и шифруются перед хранением, передача данных в ЦОД по одному интернет-соединению создает единую мишень для атаки и единую точку потенциального отказа.
• Облачные провайдеры заметно различаются по способам генерации и хранения ключей шифрования и по способам управления ими.

Пейс рекомендует принять следующие простые меры предосторожности:

• разработать политики на базе веб-технологии с использованием фильтрации URL-адресов;
• применять инструменты управления приложениями, которые годятся для облачных продуктов;
• шифровать данные, обеспечивая дополнительный уровень защиты.

Я добавила бы к этому перечню еще один пункт:

• храните резервные копии загружаемых в облако данных, чтобы с вами не произошло то же, что с пользователями сайта MegaUpload.