Szerző: Kristóf Csaba | Utolsó módosítás: 2016.10.21.
https://biztonsagportal.hu/vakmero-adatkezeles-a-felhokben.html
A felhő alapú szolgáltatások felhasználóinak nagyobb odafigyelést kellene tanúsítaniuk az adataik, fájljaik védelmére. A szolgáltatók egymaguk nem képesek minden digitális értéket megvédeni.
A felhős szolgáltatások egyre mélyebb szinten épülnek be a vállalati informatikába. Sok esetben jóval több ilyen szolgáltatás elérésére kerül sor, mint azt a cégek informatikusai gondolják. Mindez pedig igencsak megnehezíti a kockázatkezelést, hiszen az informatikai rendszerek határainak elmosódásával a fenyegetettségek veszélye is felértékelődik. Nem beszélve a megfelelőségi követelmények egyre nehezebb betarthatóságáról. Noha például a titkosítási technológiák sok kockázatot csökkentenének, és a compliance-re is jótékony hatást gyakorolnának, ezek bevetésére viszonylag ritkán kerül sor.
A Skyhigh Networks egy érdekes felmérést végzett. Ennek során több mint 600 olyan vállalatot kérdezett meg, amelyek az Office 365 adta lehetőségeket is igénybe veszik. A kérdezősködés során az derült ki, hogy nagyon sok szervezet, illetve felhasználó nem fordít kellő figyelmet az adatok felhőben való, biztonságos tárolására. Adott esetben olyan adatokat is kihelyeznek, amelyek mindenféle védelem (titkosítás) nélkül könnyedén kiszolgáltatottá válhatnak. Az egyik kutatás szerint például a nagyvállalatok átlagosan 204 olyan fájlt tárolnak a OneDrive segítségével, amelyek fájlneve tartalmazza a "password" szót.
A Skyhigh úgy találta, hogy a OneDrive és a SharePoint segítéségével tárolt adatok 17,4 százaléka érzékeny, míg a 9,4 százalékuk titkos, bizalmas (például pénzügyi információ, üzleti terv vagy forráskód). A felmérés alapján úgy tűnik, hogy az Office 365 felhasználói azt feltételezik, hogy a Microsoft minden körülmény között megvédi az adataikat. Holott sem a Microsoft, sem egyéb más szolgáltató nem tudja kellő mértékben megelőzni a károkat, ha az ügyfelek ehhez nem partnerek. Elég, ha csak arra gondolunk, hogy adathalász támadás során a támadók kipuhatolhatják egyes alkalmazottak bejelentkezési azonosítóit és jelszavait, amikkel aztán könnyedén visszaélhetnek.
„Meglepő, hogy a vállalkozások és a felhasználók még mindig milyen nyugodtan szemlélik a dokumentumbiztonsági problémákat. Azt gondolhatnánk, hogy a nagy hírverést kapó adatbiztonsági incidensek elgondolkodtatják a szervezeteket, de eközben azt látjuk, hogy a OneDrive-on egyre csak növekszik a titkosítatlanul tárolt adatok mennyisége"
- nyilatkozta Nigel Hawthorn, a Skyhigh Networks szóvivője.
Mi a megoldás?
A Skyhigh szerint a felhőbiztonság terén fontos lenne a felhasználói tudatosság növelése, akár oktatások formájában. Emellett az incidensek felismerésére és kezelésére is nagyobb hangsúlyt kellene helyezni. Míg a károk megelőzésében a titkosítás sokat segíthet, addig az incidensek detektálásához korszerű, viselkedés alapú technológiák bevetésére is szükség lehet. Mindezek mellett a hozzáféréskezelési szabályok felhős rendszerek felé történő kiterjesztését sem célszerű félvállról venni.
