Zaniedbania bezpieczeństwa w chmurze

-Reklama-Biuro Tłumaczeń OnlineBiuro Tłumaczeń Online

Eksperci z F5 Labs od 2017 r. notują przypadki organizacji z całego świata, które utraciły swoje zasoby chmurowe z powodu źle skonfigurowanych baz danych w chmurze lub usłudze pamięci masowej Amazon[1]. Ponieważ w takich przypadkach dostęp dla nieautoryzowanych użytkowników – hakerów – jest możliwy jedynie wtedy, gdy ktoś celowo usunie lub zdegraduje domyślą ochronę, oznacza to świadome działanie i podejmowanie ryzyka po stronie „poszkodowanych”.

Ireneusz Wiśniewski, dyrektor zarządzający F5 Poland
Ireneusz Wiśniewski, dyrektor zarządzający F5 Poland

Z posiadanych przez F5 danych wynika, że miesięcznie dochodzi średnio do ok. trzech naruszeń z podobnego powodu. Niewiele? Jeśli wskaźnik wzrostu takich zdarzeń, który między 2017 a 2018 r. był na poziomie 200% się utrzyma, to możemy prognozować około 90 włamań do końca br. z powodu celowo zdjętych zabezpieczeń. Zwróćmy uwagę, że dane F5 odnoszą się jedynie do monitorowanych przez firmę przedsiębiorstw, więc szacunki mogą być wierzchołkiem góry lodowej.

Nie oznacza to jednak, że rozwiązania chmurowe same w sobie są źle zabezpieczone i narażają firmy na ryzyko. Chodzi tu wyłącznie o sytuacje, w których organizacje czy użytkownicy wprowadzają zmiany w domyślnej ochronie i tym samym wystawiają na publiczny widok dane, które przechowują. Może mieć to bardzo znaczące konsekwencje dla ich rzeczywistych właścicieli. Ponieważ takie zdarzenia obserwuje się we wszystkich branżach, wycieki mogą dotyczyć np. historii kredytowych, danych osobowych klientów firmy czy innych poufnych informacji, a tym samym narazić prawdziwych ludzi na ogromne ryzyko. Z doświadczenia F5 wynika, że w większości przypadków, za zmiany ustawień w chmurze i tym samym upublicznienie danych, odpowiedzialne były osoby, które nie znajdują się po stronie operacyjnej. Inżynierowie sieci, administratorzy baz danych czy inżynierowie systemów lub bezpieczeństwa – nie popełniliby takich błędów. 

Biznes pędzi, presja na IT rośnie

Migracja do chmury umożliwia programistom zrezygnowanie z niektórych tradycyjnych ról w działach IT. Postępująca automatyzacja, a tym samym skrócenie procesów, tworzy potencjalne zagrożenie wdrażania systemów o źle skonfigurowanych funkcjach bezpieczeństwa. W chwili, gdy zadania te przejmują deweloperzy, od których oczekuje się coraz szybszych wdrożeń – takie ryzyko wzrasta. Ponadto mogą oni nie znać potencjalnych konsekwencji lub błędnie założyć, że ataki nie są prawdopodobne.

Domyślne wdrożenia – ograniczona wiedza

W domyślnych wdrożeniach w chmurze dostępne są tylko ograniczone raporty bezpieczeństwa. Niezbędne informacje[2], które wcześniej deweloperzy mogli pozyskać wewnątrz przedsiębiorstwa (u inżynierów sieci i systemów) są dla nich niedostępne. W przypadku większości chmur publicznych organizacje muszą kupować narzędzia kontroli bezpieczeństwa, aby nadal być w stanie generować wystarczająco szczegółowe raporty. Oczywiście powrót do długich opóźnień „z powodu zabezpieczeń” we wdrożeniach (na co skarżą się zespoły Dev) nie jest rozwiązaniem.

Coraz istotniejsza jest współpraca i wymiana informacji pomiędzy deweloperami, odpowiedzialnymi za bezpieczeństwo i działami operacyjnymi: DevSecOps. Takie podejście ma szansę wprowadzić dobre praktyki bezpieczeństwa do dewelopmentu. Celowe zmniejszanie potencjału bezpieczeństwa dla wygody czy prędkości działania, naraża na dotkliwe konsekwencje nie tylko organizacje, ale też ludzi, którzy powierzają im dane.

Ireneusz Wiśniewski, Dyrektor Zarządzający F5 Polska

[1] W folderach S3 bucket

[2] Np. listy podsieci, szczegółowe listy kontroli dostępu, dane dot. uprawnień

Autor/Źródło:

Disclaimer: Informacje zawarte w niniejszej publikacji służą wyłącznie do celów informacyjnych. Nie stanowią one porady finansowej lub jakiejkolwiek innej porady, mają charakter ogólny i nie są skierowane dla konkretnego adresata. Przed skorzystaniem z informacji w jakichkolwiek celach należy zasięgnąć niezależnej porady.

Polecane

Jak upały wpływają na gospodarkę i biznes

Gdy temperatura rośnie, spada nie tylko komfort pracy. Ekstremalne...

Rynek pracy w Polsce: które zawody dominują, gdzie brakuje młodych i kogo zastąpi AI

Główny Urząd Statystyczny opublikował pierwsze tak szczegółowe zestawienie zawodów...

Czy boom na AI pęknie? Prognoza na III kwartał dla giełd, złota i ropy

Koniec II kwartału przyniósł mocne odbicie akcji spółek związanych...

Koniec last minute? Kryzys paliwowy może podnieść ceny biletów lotniczych

Niekoniecznie w domu, ale jeśli wyjazd to: na krócej,...

TFI zarobiły 1,4 mld zł. Zysk branży wyższy o 38 proc.

Towarzystwa funduszy inwestycyjnych zamknęły 2025 r. najlepszym wynikiem w...
Wiadomości

Wyścig o moc obliczeniową przyspiesza. Data center zbliżają się do punktu krytycznego

Już w ciągu najbliższych miesięcy, bieżącego roku, infrastruktura data...

UODO: właściciel kamery nie może bez podstawy nagrywać sąsiadów i przechodniów

Osoba, która nie wykonała nakazu Prezesa Urzędu Ochrony Danych...

UODO chce szybszego usuwania deepfake’ów i danych wykradzionych w cyberatakach

Prezes Urzędu Ochrony Danych Osobowych pozytywnie ocenia uwzględnienie przez...

Centra danych przenoszą się poza największe huby Europy. Polska na radarze inwestorów

Rynek centrów danych w regionie EMEA wszedł w nową...

Cloud-First już nie wystarcza. Suwerenność cyfrowa zmienia strategie IT

Przez długi czas Cloud-First było uważane za niekwestionowaną zasadę...

Baker McKenzie: Nowe przepisy o cyberbezpieczeństwie wyzwaniem dla wielu firm energetycznych w Polsce

Nowa unijna dyrektywa NIS2 zwiększająca poziom cyberbezpieczeństwa w infrastrukturze...

Kancelaria podatkowa ukarana za przejęte konto e-mail. Prezes UODO nałożył ponad 11 tys. zł kary

Prezes Urzędu Ochrony Danych Osobowych Mirosław Wróblewski nałożył karę...
Coś dla Ciebie

Wybrane kategorie