COVID-19 spowodował radykalne przyspieszenie tempa cyfryzacji przedsiębiorstw. Jednym z istotniejszych elementów tego procesu jest migracja do chmury obliczeniowej, a wraz z rozwojem technologii i zaawansowania rozwiązań chmurowych, coraz większe są także wysiłki hakerów opracowujących nowe sposoby kradzieży wrażliwych danych. Zarządzanie obszarem bezpieczeństwa rozwiązań chmurowych w firmach jest dużym wyzwaniem, a wyrafinowane cyberataki mogą być dla organizacji bardzo dotkliwe i kosztowne.
Nowa rzeczywistość i dynamika zmian w zakresie wykorzystania technologii chmurowych wymaga od działów IT i zespołów ds. bezpieczeństwa wyjścia poza tradycyjne podejście, aby skutecznie zarządzać obszarem bezpieczeństwa i chronić kluczowe zasoby biznesowe. Niestety świadomość w tym zakresie jest wciąż stosunkowo niska, o czym może świadczyć fakt, że aż 62% firm w Polsce ankietowanych przez KPMG nawet nie wie w jakim modelu korzysta z chmury[1]. Tymczasem rozwiązania chmurowe będą wdrażane na coraz większą skalę. Przyczynić się do tego może także komunikat UKNF z 23 stycznia 2020 r., który otworzył kontrolowanym podmiotom z sektora finansowego drogę do rozwiązań chmurowych.
Rosnące zagrożenie shadow IT
Zjawisko shadow IT budziło wiele obaw specjalistów ds. bezpieczeństwa IT jeszcze przed pandemią COVID-19, natomiast nagłe i masowe przejście na pracę w trybie zdalnym oraz zmiany w infrastrukturze, dramatycznie zwiększyły skalę tego problemu. Zjawisko shadow IT – czyli dokonywanie zakupów usług chmurowych przez działy biznesowe z pominięciem działu IT, bez analizy ryzyka i bez zastosowania firmowych polityk dotyczy wielu firm, w których narzędzia wspierające pracę zdalną w zespołach nie funkcjonowały wcześniej lub były zbyt wolno wdrażane przez działy IT.
W konsekwencji braku odpowiedniego tempa działań wspierających pracę zdalną, działy biznesowe i indywidualnie pracownicy zaczęli na większą skalę stosować rozwiązania oparte na chmurze wspierające codzienną pracę z pominięciem działów IT. Zastosowane aplikacje często nie są odpowiednio chronione – przez wieloskładnikowe uwierzytelnienie czy restrykcyjne polityki dotyczące tworzenia haseł. Mogą również nie spełniać wymogów prawnych w zakresie lokalizacji i retencji danych. Tymczasem z globalnego badania KPMG wynika, że już w 2019 roku aż 92% firm obawiało się, że ich pracownicy i poszczególne działy biznesowe w nieautoryzowany sposób korzystają z usług chmurowych – mówi Michał Kurek, Partner w Dziale Doradztwa Biznesowego, Szef Zespołu ds. Cyberbezpieczeństwa w KPMG w Polsce.
Ograniczyć ryzyko zjawiska shadow IT może pomóc kilka działań, które przedsiębiorstwa powinny podjąć. Przede wszystkim odpowiednie zapisy powinny znaleźć się w politykach firmy i w standardach pracowniczych. Warto również rozważyć blokowanie nieautoryzowanych aplikacji opartych na chmurze. Z drugiej strony, jeśli pracownicy mają problem, by realizować swoje zadania zawodowe w ramach dostępnej w firmie infrastruktury IT, rozwiązaniem może być sprawne wdrożenie rozwiązań chmurowych na poziomie całej organizacji przy zachowaniu procedur bezpieczeństwa. Do ograniczenia zjawiska shadow IT może także przyczynić się skrupulatna kontrola wydatków firmowych przeznaczanych na rozwiązania oparte na chmurze.
Wyrafinowane ataki hakerskie typu BEC
Poczta e-mail oparta na chmurze oferuje organizacjom niezbędną elastyczność w obliczu nowej rzeczywistości. Jest dostępna dla pracowników spoza sieci firmowej, jej bezpieczeństwo jest na najwyższym poziomie i jest łatwo skalowalna. Jednak wygoda korzystania z poczty elektronicznej z każdego miejsca ma swoją cenę – dostęp do niej jest również wygodny dla hakerów. Fakt, że cyberprzestępcy potrzebują jedynie danych uwierzytelniających, aby naruszyć konta e-mail, stał się przyczyną zakrojonych na szeroką skalę ataków typu BEC (ang. Business E-mail Compromise). Po przejęciu pojedynczego, firmowego konta e-mail za pośrednictwem witryny internetowej zbierającej dane uwierzytelniające hakerzy zdobywają zaufanie i znajomość współpracowników, zasobów czy partnerów biznesowych, w celu uzyskania dodatkowych danych uwierzytelniających lub żądania nieuprawnionych transakcji finansowych.
Ataki typu BEC mogą być bardzo dotkliwe i kosztowne dla firm. W minimalizowaniu ryzyka tego typu cyberataków pomaga wieloskładnikowe uwierzytelnienie oraz reguły dostępu warunkowego. Firmy wdrażające tego rodzaju zabezpieczenia są znacznie rzadziej ofiarą skutecznych ataków. Ważną rolę pełni też konfiguracja, monitorowanie i bieżąca reakcja na alerty o podejrzanej aktywności użytkowników. Mogą to być ograniczenia w zakresie logowania się z różnych obszarów geograficznych w niemożliwych ramach czasowych czy zbyt duża liczba nieudanych logowań wskazujących na możliwość próby włamania.
Kluczowy czas reakcji w przypadku cyberincydentów
Czujność zespołów ds. bezpieczeństwa IT w firmach, które migrują do chmury, jest często uśpiona za sprawą standardowych narzędzi monitorowania bezpieczeństwa oferowanych przez dostawcę usługi. Zarządzanie bezpieczeństwa w chmurze jest jednak procesem o wiele bardziej złożonym – wymaga odpowiedniej analizy ryzyka i podjęcia konkretnych działań. Sprawnie muszą także funkcjonować procedury szybkiego reagowania na incydenty naruszenia bezpieczeństwa w chmurze. Osoby odpowiedzialne za bezpieczeństwo IT w firmach powinny mieć pewność, że działają one prawidłowo w przypadku wystąpienia zagrożenia.
W tym kontekście trudno przecenić rolę edukacji w zakresie bezpieczeństwa chmury obliczeniowej, bowiem znaczna część przedsiębiorstw jest wciąż sceptycznie nastawiona do bezpieczeństwa rozwiązań chmurowych. 1 na 5 organizacji w Polsce nie uważa, że usługi utrzymywane w ramach wewnętrznej infrastruktury firmy są bezpieczniejsze od usług chmurowych. Jednocześnie blisko połowa uważa oba rozwiązania za tak samo bezpieczne.
[1] Raport KPMG w Polsce pt. „Barometr cyberbezpieczeństwa. W kierunku rozwiązań chmurowych”, czerwiec 2020 r.
