Cégvilág

Oracle-KPMG_nyito.jpg
Forrás: Oracle - KPMG
Felhőbiztonsági felmérés 2020

Jogi bizalmatlanság akadályozza a felhőtechnológia további terjedését

Sokkal jobban aggódnak a vállalati adatokért az informatikai szakértők, mint az otthonuk biztonságáért – derül ki egy friss felhőbiztonsági tanulmányból. A rengeteg biztonsági termék, a rosszul beállított cloud szolgáltatások és a megosztott felelősségi modell bizalmi válságot okozott a magyar és a nyugati vállalatoknál egyaránt. 

Az informatikai szakembereket háromszor jobban aggasztja a vállalat adatainak biztonsága, mint a saját otthonuké – derül ki az Oracle és KPMG 2020-as felhőbiztonsági tanulmányából (Oracle – KPMG Cloud Threat Report), melyet 750 informatikai szakember megkérdezésével készítettek. Érdekes, hogy a felhőszolgáltatásokra egyfajta versenytársakként tekintenek a vezetők:

a megkérdezettek 80 százaléka attól tart, hogy az általuk igénybe vett felhőszolgáltató
a saját, közvetlen konkurenciájukká változik

Az informatikai szakemberek 75 százaléka biztonságosabbnak tartja a nyilvános felhőt a saját adatközpontjánál, ám 92 százalékuk nem bízik abban, hogy cégük felkészült a nyilvános felhőszolgáltatások biztonságos használatára. Kiderült, hogy más kárán is tanulnak a biztonsági szakemberek, ugyanis közel 80 százalékuk szerint a más vállalkozások adatbiztonsági incidenseiről szóló hírek arra ösztönözték saját cégüket, , hogy jobban összpontosítsanak az adatvédelemre.

Elöregedett, szegmentált biztonsági rendszerek
A vállalatoknál rendkívül szegmentált a kiberbiztonsági termékek palettája: a cégek 78 százaléka több mint 50 különálló kiberbiztonsági terméket használ, 37 százalékuk pedig több mint 100-at. A szervezeteknél sok problémát okoznak a konfigurációs hibák: ahol a felhőszolgáltatások nem voltak megfelelően konfigurálva, 10 vagy több adatvesztési esemény is előfordult az elmúlt egy évben. A hibás konfiguráció leggyakrabban abból adódik, hogy feleslegesen sok hozzáférési jogosultságot kapnak egyes felhasználók (37 százalék), a webszerverek megfelelő védelem nélkül vannak (35 százalék) és hiányzik a többlépcsős hitelesítés a kulcsfontosságú szolgáltatásoknál (33 százalék).


Kisebb arányban használjuk itthon a felhőt
A kutatás, bár nem magyar vállalatok bevonásával történt, hazai viszonylatokban is megállja a helyét, a magyar szervezeteket, cégeket is hasonló kétségek gyötrik felhőtechnológia területén, mint nyugati társaikéit – mondja Szuhai Gusztáv, az Oracle régiós biztonsági szakértője. Ami különbözik, hogy itthon kisebb arányban használjuk a cloud technológiát, mint a felmérésben képviselt országokban. Több oka van annak, hogy a magyar szervezetek, állami intézmények nem mernek felhőbe költözni. A magyar vállalatoknak nincs üzemeltetési tapasztalata ezen e területen, holott az elhiszik, hogy felhőben sokkal magasabb a biztonsági szint. Nincs konfigurációs tapasztalat, nem tudják, hogy pontosan hogyan kell védekezni felhőben.
A konfigurálást, a monitorozást, az auditálást, de még a hibajavító verziók feltelepítését is automatizálni lehet mesterséges intelligencia segítségével, ebben pedig a felhőszolgáltató tud segíteni. Ugyanakkor a machine learning algoritmusok képesek a normál üzem megtanulására, és tudnak önállóan riasztást kiadni, ha a megszokottól eltérő viselkedést tapasztalnak. A várhatóan bekövetkező hibákat is előre jelezhetik, ahogy tudják a már bekövetkezett események hátterét villámgyorsan felfedni. Az algoritmusok pedig a felhőben élnek.

A megosztott szabályozás kérdése sem ismert
A magyar és a nyugati vállalatok sem ismerik pontosan, hogyan oszlik meg a felelősség cloud szolgáltatás esetében – pedig ez egy jól szabályozott terület.
A kutatás is kimutatta, hogy kevesen értik a megosztott felelősségű biztonsági modellt (a megkérdezettek csupán 8 százaléka), 70 százalékuk szerint meg túl sok speciális eszköz szükséges a nyilvános felhő használatához. Ez pedig gyakran vakfoltokat hagy a védekezésben, emiatt a kutatás szerint a megkérdezettek 75 százaléka többször is veszített adatot a felhőben.

Mi van, ha jön az audit?
Jogos kérdésként merülhet fel a vállalatok részéről, mi van, ha az MNB auditálni szeretne, vagy a NAIH tart GDPR-ellenőrzést, hogyan kapom meg az adatokat az elvárt határidőn belül – mondja Szuhai Gusztáv. A cloud szolgáltatók szerződéseikben ezeket a kérdéseket mind-mind tárgyalják, de ettől sok cég homályos területnek tartja. Ha outsourcing szolgáltatást veszünk igénybe, akkor a két fél meg tud állapodni a felelősségről is, publikus cloud szolgáltatás esetében azonban a gyártó feltételeit kell elfogadni, nincs lehetőség egyezkedésre.
A 70 oldalas jogi dokumentumokat senki sem olvassa el. Már léteznek általánosan elfogadott gyakorlatok: például, ha valaki software-as-service jellegű szolgáltatást vesz igénybe, akkor a szolgáltatáshoz való hozzáférésért, a felhasználók autentikációjáért az ügyfél a felelős, míg a többiért a szolgáltató. Ha viszont csupán erőforrást vesz igénybe az ügyfél a felhőből (CPU, storage), akkor az ügyfél felelőssége a nagyobb.
A régiós biztonsági szakértő szerint a magyar felhőszolgáltatások elterjedését segítené például az, ha az állami szervezetek, vállalkozások számára a jogalkotó iránymutatást adna a szolgáltatások használata irányában – erre van példa a pénzügyi szervezeteknél, ahol a Magyar Nemzeti Bank adott ki iránymutatást a szolgáltatások használatára.