Ostra jazda bez trzymanki, czyli dlaczego potrzebujemy strategii bezpieczeństwa w transformacji do chmury?

14 lat to dużo czy mało?

W 2006 roku Google kupił YouTube’a za 1,65 mld, NASA ujawniła zdjęcia sugerujące obecność ciekłej wody na Marsie, a w finale Mistrzostw Świata w Berlinie reprezentacja Włoch po remisowym meczu 1:1 wygrała po rzutach karnych z Francją 5:3¹.

Z perspektywy wydarzeń 2020 roku wydawać by się mogło, że ten 2006 był raczej przeciętny. Ale jest to też rok, w którym rozwój technologii informatycznej nabrał pełnego przyspieszenia: w marcu 2006 Amazon oficjalnie ogłosił uruchomienie Amazon Web Services – platformy cloud computing: dostarczającej moc obliczeniową z własnych centrów danych.

Prace nad tym projektem trwały od 2002, a ich źródłem było poszukiwanie oszczędności i optymalizacja procesów informatycznych w bardzo dynamicznie rozwijającej się branży e-commerce. I choć na pierwszy rzut oka nie jest to spektakularne wydarzenie, to dziś zdecydowanie widzimy, że chmura przez te 14 lat bardzo zmieniała nasze życie – i zawodowe, i prywatne.

Wielu ludziom na całym świecie trudno wyobrazić sobie życie bez aplikacji, z których korzystamy praktycznie codziennie – no bo jak dziś żyć bez Netflix’a, a jeszcze do niedawna bez Ubera czy Airb&b? To oczywiście tylko przykłady z przymrużeniem oka – technologia chmurowa jest wykorzystywana w wielu dziedzinach życia: zaczynając od sektora publicznego (e-urząd, edukacja, opieka zdrowotna) poprzez aplikacje biznesowe (CRM, ERP, marketing, analiza biznesowa) na szeroko pojętej rozrywce kończąc (aplikacje muzyczne, gry on-line).

Dziś, w samym środku szalejącej pandemii COVID-19, trudno ocenić jak bardzo dotkliwy dla branży IT będzie pandemiczny kryzys ekonomiczny, jednak zgodnie z przewidywaniami Gartnera globalny rynek chmury obliczeniowej w 2020 urośnie o 6,3% osiągając wartość 257,9 mld dolarów². Najwięksi gracze to: Amazon, Microsoft, Google, Alibaba.

Pandemia COVID-19 przyspieszyła cyfrową transformację

Rozwój chmury obliczeniowej często przedstawiany jest jako 4 rewolucja przemysłowa, napędzana ogromną ilością danych generowanych przez ludzkość.

Chmura daje możliwość gromadzenia, przechowywania i analizowania tych danych na niewyobrażalną dotąd skalę. Dzięki temu pozyskujemy unikalną wiedzę, którą możemy użyć i wykorzystać w czasie rzeczywistym. To daje ogromne możliwości rozwoju firm i organizacji – ogranicza nas tylko wyobraźnia.

Wśród najczęstszych powodów inwestycji w usługi chmurowe przedsiębiorcy wymieniają głównie: innowacyjność, skalowalność i dostępność mocy obliczeniowej oraz optymalizację kosztową³. Ostatnie miesiące przymusowej izolacji pokazały, że możliwość komunikacji w każdym miejscu z świecie z dowolnego urządzenia, może uratować wiele biznesów przed poważnymi kłopotami a nawet upadkiem.

I w drugą stronę – konieczność przeniesienia niemal wszystkich zawodowych, a także codziennych aktywności do świata wirtualnego, zdecydowanie przyspieszyło cyfrową transformację w każdej dziedzinie życia. Pracujemy w Teams’ach, uczymy się na Google Classroom a jogę czy taniec trenujemy przez Zoom’a. Trudno wyobrazić sobie, jak byśmy funkcjonowali, gdyby pandemia uderzyła w nas w erze przed rewolucją chmurową...

Druga strona medalu

Lista korzyści płynących z wdrożenia chmury jest długa; lista zagrożeń może i krótsza, ale nie znaczy, że mniej ważna. Na drodze do innowacyjności, efektywności biznesowej, skuteczności operacyjnej i szybkiego dostarczania usług, produktów łatwo zachłysnąć się wizją sukcesu czekającego tuż za rogiem – zapominając o zagrożeniach i wyzwaniach jakie zawsze towarzyszą zmianie technologicznej.

Bezpieczeństwo danych, użytkowników, aplikacji i urządzeń to nadal jeden z największych hamulców na drodze do chmury. Dlatego przemyślana strategia bezpieczeństwa powinna towarzyszyć każdej transformacji cyfrowej. Taka strategia, żeby była skuteczna, musi powstać na bazie analizy i oceny aktualnego poziomu bezpieczeństwa z uwzględnieniem wymagań dla bezpieczeństwa w chmurze zarówno technologicznych, prawno-regulacyjnych (RODO, KNF, UKSC, wymagania sektorowe i branżowe) jak i organizacyjnych.

Brzmi skomplikowanie? Rzeczywiście – dynamiczne, zwinne, szybkie projekty chmurowe trudno wpisać w skostniałe, często nie do końca przemyślane mechanizmy bezpieczeństwa, regulacje, polityki, procedury, standardy...

Coraz częstsze incydenty bezpieczeństwa w chmurze są naturalną konsekwencją dynamicznego rozwoju tego modelu korzystania z usług IT. Dlatego od samego początku plany migracji powinny uwzględniać zagrożenia dla bezpieczeństwa.

Cyberbezpieczeństwo

Międzynarodowa organizacja Cloud Security Alliance specjalizuje się w analizowaniu oraz tworzeniu metodyk wspierających cyberbezpieczeństwo w chmurze. W raporcie ”Top Threats to Cloud Computing: Egregious Eleven”⁴  bazując na doświadczeniu 241 ekspertów z branży, CSA wymienia najpoważniejsze zagrożenia w chmurze.

Są to min.:

• Wycieki danych: w kontekście RODO zagrożenie to nabiera zasadniczej wartości finansowej. Dlatego odpowiednie określenie – kto, za co i w jakim zakresie odpowiada za bezpieczeństwo jest kluczowe. Ustalenie poziomu odpowiedzialności dostawcy chmury i dodatkowe wdrożenie mechanizmów bezpieczeństwa po stronie klienta, może uchronić biznes przed prawdziwą katastrofą.
   
• Błędy w konfiguracji oraz w procesie zarządzania zmianą: błędy w konfiguracji często wynikają z dynamiki i złożoności procesu integracji. Szczególnie, jeżeli projekt jest realizowany w tzw. środowisku multi-cloud czyli z uwzględnieniem kilku dostawców chmurowych. Procesy, które w tradycyjnym modelu on-premiss zajmowały odpowiednio dużo czasu; pozwolenia i dostępy przeszły odpowiednio długą ścieżkę akceptacji – w modelu chmurowym dzieją się w zaledwie kilka minut/godzin. W tak dynamicznym środowisku (często przy braku odpowiednich kompetencji), bardzo łatwo o błędną konfigurację skutkującą poważnym incydentem bezpieczeństwa jak np. w przypadku firmy Exactis, która z powodu błędnej konfiguracji bazy danych (dostępna jako publiczna) ujawniła wrażliwe dane personalne 230 milionów obywateli USA⁵.
   
• Brak architektury bezpieczeństwa oraz strategii bezpieczeństwa: w większości organizacji migracja do chmury jest przeprowadzana stopniowo, obejmując wybrane procesy operacyjne czy biznesowe. Taka migracja nie jest jednak możliwa do przełożenia na zasadzie 1:1. Zmieniając część procesów, konieczne jest elastyczne i ciągłe dostosowywanie strategii bezpieczeństwa do nowych wymagań i zagrożeń. Niestety, jest to często bardziej czasochłonne niż sama migracja, dlatego bywa pomijane lub traktowane z niewystarczającą uwagą.

Wsród innych typowych zagrożeń dla bezpieczeństwa w chmurze raport wymienia: niewystarczające zarządzanie tożsamością, dostępami, danymi uwierzytelniającymi; niewłaściwe zarzadzanie kontami uprzywilejowanymi; niewystarczajęce momitorowanie użycia usług chmurowych, zagrożenia pochodzące z wewnętrz organizacji (zamierzone i niezamierzone).

Bezpieczna równowaga

Od 14 lat obserwujemy rozwój technologii chmurowej – na co dzień doświadczamy zmian jakie ze sobą niesie: szybkości, różnorodności, dowolności miejsca pracy, dynamiki dnia codziennego. Jak na tak krótki czas, zasięg i skala tych zmian wydaje się ogromna. A przyszłość rysuje się jeszcze ciekawiej: przed nami ciągle rozwój 5G, sztucznej inteligencji, internetu rzeczy i inteligentnych miast.

Podążając jednak drogą przyspieszonego rozwoju pod rękę z chmurą ważne jest, żebyśmy czujnie patrzyli pod nogi. Zagrożeń jest cała masa: od wyzwań prawno-regulacyjnych po zamierzone ataki cyberprzestępców. Dlatego myśląc o wejściu w chmurę nie zapominajmy, że dopasowana do nowych wyzwań strategia cyberbezpieczeństwa powinna być jednym z naszych pierwszych kroków na tej drodze.

O tym jak rozwija się chmura w Polsce, jakie są najnowsze trendy w cyberbezpieczeństwie ery cloud computingu, ale także o konkretnych wdrożeniach i optymalizacji kosztów w chmurze porozmawiamy z przedstawicielami czołowych firm w Polsce podczas V edycji konferencji Cyber Academy, 22 października 2020.

Cyber Academy to wyjątkowe wydarzenie na mapie cyber-konferencji: zupełnie za darmo, macie okazję posłuchać wybitnych specjalistów, praktyków i najlepszych prelegentów w Polsce. Zapraszamy do rejestracji! Więcej informacji na Cyber Academy.

[1] https://pl.wikipedia.org/wiki/2006
[2] https://www.gartner.com/en/newsroom/press-releases/2020-07-23-gartner-fo...
[3] https://www.cloudforum.pl/2020/07/10/chmura-publiczna-w-polskich-przedsi...
[4] https://cloudsecurityalliance.org/artifacts/top-threats-to-cloud-computi...
[5] https://www.cnet.com/news/exactis-340-million-people-may-have-been-expos...