Οι επιχειρήσεις δεν προστατεύουν τα δεδομένα τους

Μια νέα μελέτη δείχνει ότι στη βιασύνη τους να χρησιμοποιήσουν τις υπηρεσίες cloud οι εταιρείες έχουν παραμελήσει τις ανησυχίες για την ασφάλεια.

του Ρόμπερτ Χάκετ

Τον Ιανουάριο, η Target αποκάλυψε ότι χάκερ έκλεψαν πληροφορίες για πιστωτικές και χρεωστικές κάρτες εκατομμυρίων πελατών της. Τον Μάρτιο, η Google ανακοίνωσε ότι θα προχωρήσει σε κρυπτογράφηση των δεδομένων μεταξύ των κέντρων δεδομένων της. Τον Απρίλιο, ένα bug που ονομάζεται Heartbleed κλόνισε τα θεμέλια του παγκόσμιου ιστού.

Είναι φυσικό να πούμε ότι η ασφάλεια στον κυβερνοχώρο έχει υψηλή προτεραιότητα.

Ωστόσο, μια νέα μελέτη αποκαλύπτει ότι οι περισσότερες επιχειρήσεις μεταφέρουν εμπιστευτικές πληροφορίες σε δημόσιες υπηρεσίες cloud, χωρίς τη διασφάλιση της κρυπτογράφησης. Τα δεδομένα που αποθηκεύονται χωρίς κρυπτογράφηση είναι «ευανάγνωστα», που σημαίνει ότι δεν κρυπτογραφούνται ούτε είναι κωδικοποιημένα. Με άλλα λόγια, είναι όσο ευανάγνωστο είναι αυτό το κείμενο.

«Θα περίμενε κανείς ότι ένα υψηλότερο ποσοστό των εταιρειών θα διαθέτει κρυπτογράφηση δεδομένων ή μια παρόμοια μορφή προστασίας, διότι όντως εμπεριέχει κίνδυνο», δήλωσε ο Λάρι Πόνεμον, επικεφαλής συγγραφέας της μελέτης και ιδρυτής του Ινστιτούτου Ponemon, το οποίο διεξήγαγε την έρευνα. «Ειδικά αν τα δεδομένα που αποστέλλονται είναι εμπιστευτικά, όπως είδαμε».

Η μελέτη, η οποία εξέτασε περισσότερες από 4.000 επιχειρήσεις σε οκτώ χώρες, δείχνει ότι ο ρυθμός με τον οποίο οι επιχειρήσεις κάνουν τη μετάβαση στο cloud έχει επιταχυνθεί τα τελευταία χρόνια. Γι ‘αυτές, το κόστος, η  ευκολία διαχείρισης, και η επεκτασιμότητα του cloud computing υπερτερούν έναντι των άλλων ανησυχιών.

«Υπάρχει ένα τεράστιο οικονομικό κίνητρο να χρησιμοποιούν το cloud, και πλέον είμαστε στο σημείο όπου οι άνθρωποι αποστέλλουν ακόμη και ευαίσθητες εφαρμογές μέσω cloud, ακόμη και αν ξέρουν ότι τους καθιστά λιγότερο ασφαλείς», δήλωσε ο Ρίτσαρντ Μάουλντς, αντιπρόεδρος στρατηγικής στην Thales e -Security, την εταιρεία που ανέλαβε τη μελέτη.

Περίπου ένα τρίτο των ερωτηθέντων πιστεύουν πως η χρήση του cloud βλάπτει τη συνολική ασφάλειά τους. Ακριβώς οι μισοί αυτών πιστεύουν ότι η μεταφορά των δεδομένων στο cloud έχει βελτιώσει την ασφάλειά τους. (Οι υπόλοιποι πιστεύουν ότι μετάβαση τους στο cloud δεν έχει καμία επίπτωση για την ασφάλεια τους.)

Ο Τζορτζ Κερτς, διευθύνων σύμβουλος και συνιδρυτής της CrowdStrike, μιας εταιρείας τεχνολογικής ασφάλειας, είναι από αυτούς που πιστεύουν ότι ένα περιβάλλον cloud μπορεί να βελτιώσει την προστασία της ασφάλειας της εταιρείας στον κυβερνοχώρο. «Αν μεταφέρεις τα δεδομένα στο cloud, σε πολλές περιπτώσεις μπορεί να έχεις μεγαλύτερη ασφάλεια από ό,τι θα είχες στο δικό σου χώρο», είπε, «επειδή έχεις μια στρατιά ανθρώπων που επικεντρώνονται στην ασφάλεια των εν λόγω δεδομένων».

Οι κατάλληλες πιστοποιήσεις και τα πρότυπα ασφαλείας μπορεί να βοηθήσουν τις επιχειρήσεις να βρουν το σωστό φορέα, είπε. Όσον αφορά την κρυπτογράφηση, οι εταιρείες θα πρέπει να «κατανοήσουν την ευαισθησία των δεδομένων και να αξιολογήσουν τα στοιχεία πριν το βάλουν σε ένα πάροχο cloud». Μια τέτοια διαλογή μπορεί να βοηθήσει τις επιχειρήσεις να καθορίσουν ποιες πληροφορίες πρέπει να κρυπτογραφούνται και ποιες όχι.

Σύμφωνα με τη μελέτη, εξακολουθεί να επικρατεί αβεβαιότητα σχετικά με το ποιος είναι ο κύριος υπεύθυνος για την προστασία των δεδομένων στο cloud: ο πάροχος υπηρεσιών που τα αποθηκεύει ή η επιχείρηση στην οποία ανήκουν; Σε περιβάλλοντα SaaS, για παράδειγμα, περισσότεροι από τους μισούς μεταξύ των ερωτηθέντων θεωρούν ότι το βάρος για να χειριστεί τις ευθύνες σχετικά με την ασφάλεια το έχει ο πάροχος cloud. Σε περιβάλλοντα IaaS / PaaS, αντιθέτως, σχεδόν οι μισοί από τους ερωτηθέντες πίστευαν ότι αποτελεί αμοιβαία υποχρέωση.

Η ασφάλεια αποτελεί κοινή ευθύνη, είπε. «Εναπόκειται πράγματι στο χρήστη των υπηρεσιών, καθώς και τον πάροχο των υπηρεσιών να ενώσουν τις δυνάμεις τους». «Δεν μπορείτε να βασίζεστε μόνο στη μία ή την άλλη πλευρά».

Η σημερινή κατάσταση της ασφάλειας και της κρυπτογράφησης στο cloud, πρόσθεσε ο Πόνεμον, δεν είναι ακόμη πλήρως ώριμη. «Οι εταιρείες αυτές θα πρέπει να σκεφτούν σοβαρά για το πώς θα μπορούσαν να προστατευθούν [τα δεδομένα] αντί να τα αφήνουν σε μορφή απλού κειμένου,» είπε. «Είναι ένας κίνδυνος που μπορεί να επιλυθεί».

Διαβάστε ακόμη:

Πώς να εκμεταλλευτείτε στο έπακρο το Cloud

Το σύννεφό σας είναι βρώμικο

Οι ελληνικές εταιρείες επενδύουν στη διασφάλιση βάσεων δεδομένων