Pastaraisiais metais debesijos sprendimai tapo neatsiejama daugelio įmonių IT strategijos dalimi. Vienos organizacijos jau perkėlė sistemas ir duomenis į debesiją ir tai laiko natūralia veiklos dalimi, kitos dar tik svarsto šį žingsnį, o dalis vis dar renkasi tradicinį kelią – pasikliauja savo serveriais.
Vis dėlto kryptis akivaizdi – verslai vis aktyviau ieško lankstesnių ir efektyvesnių sprendimų. Todėl vis dažniau keliamas klausimas: kuo debesija iš tiesų pranašesnė ir kokią realią vertę ji kuria šiandienos organizacijoms?
Patogu, bet ne visada saugu
Iš pirmo žvilgsnio gali pasirodyti, kad pasirinkus dideles debesijos platformas saugumo klausimai tampa mažiau svarbūs – dalį atsakomybės perima debesijos sprendimas. Vis dėlto realybė yra kur kas sudėtingesnė.
„Dažnai manoma, kad jei duomenys laikomi debesyje, jie automatiškai yra saugūs. Tačiau saugumas priklauso ne tik nuo pačios platformos, bet ir nuo to, kaip ji naudojama“, – sako „NOD Baltic“ vyresnysis kibernetinio saugumo inžinierius ir ESET ekspertas Ramūnas Liubertas.
Pasak jo, dauguma incidentų prasideda nuo paprastų, bet kritinių klaidų. Netinkamai nustatytos prieigos gali atverti jautrią informaciją pašaliniams, o nutekėję prisijungimo duomenys leidžia įsilaužėliams prisijungti prie sistemų kaip teisėtiems vartotojams.
Tokios situacijos nėra pavienės – dažniausiai jos prasideda nuo iš pirmo žvilgsnio smulkių sprendimų, kurių pasekmės išryškėja tik vėliau.
Atsakomybė išlieka įmonės pusėje
Nors debesijos paslaugas teikia išorinės įmonės, atsakomybė už duomenų saugumą lieka organizacijos pusėje. Įvykus pažeidimui, pasekmes pirmiausia patiria būtent ta įmonė, kuri tuos duomenis tvarko.
„Klientams nėra svarbu, kur buvo laikomi jų duomenys. Jei jie nuteka, atsakomybė tenka įmonei, kuriai jie buvo patikėti“, – pabrėžia R. Liubertas.
Šiandien ši atsakomybė dar aiškiau įtvirtinta ir teisės aktuose – organizacijos privalo užtikrinti ne tik savo sistemų, bet ir partnerių saugumą.
„Tai reiškia, kad nebeužtenka pasirūpinti tik debesijos sprendimu – svarbu įvertinti jo patikimumą ir tai, kokias rizikas jis gali sukelti“, – teigia ESET ekspertas.
Viena klaida – didžiulė grėsmė
Debesija sujungia skirtingas sistemas į vieną bendrą aplinką, todėl net ir nedidelė klaida gali turėti kur kas didesnį poveikį, nei tikimasi.
Pakanka vieno nutekėjimo, pavyzdžiui, jei darbuotojas naudoja tą patį slaptažodį keliose sistemose, įsilaužėlis, gavęs prisijungimo duomenis, gali bandyti pasiekti ir kitas sistemas. Jei apsauga nėra pakankama, tokia prieiga gali likti nepastebėta, o problema išplisti gerokai plačiau.
„Tokie scenarijai nėra teoriniai – jie vyksta nuolat. Problema ta, kad viskas gali prasidėti nuo labai mažos klaidos, o pasekmės būna didelės“, – sako R. Liubertas.
Ko nematote – kelia didžiausią riziką
Vienas didžiausių iššūkių – matomumo trūkumas. Kai dalis sistemų veikia įmonės viduje, o dalis – debesijoje, tampa sunku aiškiai suprasti, kas vyksta visoje IT aplinkoje.
Tokiose situacijose atsiranda vietų, kurias sunkiau stebėti, todėl didėja tikimybė nepastebėti galimų grėsmių ar įtartinos veiklos.
„Jei nematai viso vaizdo, negali tinkamai įvertinti rizikos. Tuomet saugumas tampa labiau reakcija į problemas, o ne jų prevencija“, – teigia ekspertas.
Saugumas turi apimti visą IT aplinką
Debesija sparčiai auga ir artimiausiais metais tik plėsis, todėl svarbiausia ne vengti šių sprendimų, o išmokti juos valdyti saugiai.
Saugumas turi tapti kiekvienos įmonės prioritetu ir apimti visą IT aplinką – nuo darbuotojų naudojamų įrenginių iki debesyje veikiančių sistemų. Jei apsauga taikoma tik daliai infrastruktūros, silpnos vietos niekur nedingsta – jos lieka nepastebėtos ir anksčiau ar vėliau tampa problema.
„Dažniausiai problemos atsiranda ne ten, kur jų tikimasi, o ten, kur saugumui tiesiog nebuvo skirta pakankamai dėmesio“, – sako R. Liubertas.
Ne mažiau svarbu, kad visa tai būtų valdoma aiškiai ir paprastai. Kuo sudėtingesni sprendimai, tuo didesnė tikimybė, kad dalis jų liks neprižiūrėta.
Todėl kibernetinis saugumas šiandien neturėtų būti tik formalumas ar vienkartinis sprendimas – jis turi būti nuosekli ir realiai veikianti kasdienės veiklos dalis.