Τα οφέλη που προκύπτουν από την ανάπτυξη των τεχνολογιών cloud είναι πολλαπλά σε διάφορα επίπεδα λειτουργίας των οργανισμών. Τι γίνεται όπως σε σχέση με τις προκλήσεις που ανακύπτουν σχετικά με την ασφάλεια και τη διαχείριση των κινδύνων;
Γνωρίζουμε όλοι ότι η χρήση τεχνολογίας cloud προσφέρει συναρπαστικές δυνατότητες και οι οργανισμοί αντιλαμβάνονται γρήγορα τα οφέλη που έχουν από τη μείωση κόστους διαχείρισης, δικών τους servers ή έχοντας consultants. Πολλά εργαλεία και υπηρεσίες περνάνε σε έναν καινούργιο level sharing και collaboration, τα οποία μετατρέπουν τον τρόπο που εργαζόμαστε σε ένα καλύτερο και πιο παραγωγικό περιβάλλον. Χρησιμοποιώντας τα σωστά εργαλεία του cloud, έχουμε τη δυνατότητα να ξεπεράσουμε αρκετά εμπόδια, οι οργανισμοί να είναι πιο αποτελεσματικοί, πιο ανθεκτικοί και πιο ευέλικτοι. Τι γίνεται όμως με τις απειλές στην ασφάλεια; Oλα αυτά μπορεί να πάψουν να λειτουργούν, πολλές φορές απροειδοποίητα, και πρέπει να προβούμε σε ενέργειες πριν έρθουν τα μεγάλα προβλήματα.
Malicious Insiders
Malicious insider threats, μπορεί να φαίνεται μια παλαιά και κοινή απειλή, αν υπάρξει όμως σε έναν cloud οργανισμό το πρόβλημα θα γίνει πολλαπλάσιο. Ένας οργανωμένος cloud πελάτης, πρέπει να κρατάει τα encryption keys στην κατοχή του και όχι στο cloud. Οι απειλές από το εσωτερικό του οργανισμού έχουν πολλές διαστάσεις, όπως για παράδειγμα, ένας νυν ή πρώην εργαζόμενος, ένας διαχειριστής συστημάτων, ένας outsourcer ή ένας συνέταιρος. Η ιστορία έχει δείξει ότι μεταξύ άλλων, οι λόγοι μπορεί να είναι κλοπή δεδομένων ή ακόμα και εκδίκηση. Σε ένα cloud περιβάλλον, ένας insider που έχει κακόβουλες προθέσεις, μπορεί να καταστρέψει όλο το Infrastructure ή ακόμη και δεδομένα.
Insecure APIs
Η cloud εποχή έχει επιφέρει την αντίφαση να προσπαθεί να κάνει τις υπηρεσίες διαθέσιμες σε εκατομμύρια χρήστες ή εφαρμογές, ενώ παράλληλα να περιορίζει τις ζημιές από ανωνύμους χρήστες σε μεγάλο βαθμό που θα χρησιμοποιούσαν αυτές τις υπηρεσίες. Η απάντηση σε αυτό είναι το application programming interface (API). Η ασφάλεια και η διαθεσιμότητα των cloud services με την χρήση authentication, access control και encryption εξαρτώνται από το πόσο ασφαλές θα είναι το API. Το ρίσκο αυξάνεται όταν προστίθενται δυνατότητες τρίτων και ενσωματώνονται στα APIs δίνοντας μεγαλύτερες ή πιο εξειδικευμένες δυνατότητες σε εταιρείες που χρειάζονται να διαθέσουν περισσότερες υπηρεσίες ή πιο εξειδικευμένες δυνατότητες στους πελάτες τους.
Denial of Service
Το Denial of Service attacks είναι μία παλαιά διαταραχή των online operations, αλλά παραμένει όμως ακόμα σημαντική απειλή. Η προσβολή από εκατοντάδες χιλιάδες ή εκατομμύρια αυτοματοποιημένα αιτήματα για παροχή υπηρεσιών πρέπει να ανιχνευθεί και αντιμετωπιστεί πριν τα operation service φτάσουν σε stall status. Αλλά οι cyber attackers έχουν εντυπωσιακούς, αυξανόμενης ευφυΐας και διευρυμένους τρόπους να διεξάγουν επιθέσεις, καθιστώντας το εντοπισμό τους πολύ δύσκολο χωρίς την χρήση cybersecurity protection. Για τους cloud customers, η εμπειρία ενός denial-of-service attack είναι σαν να έχουν πέσει σε ώρα μεγάλη αιχμής κυκλοφορίας. Δεν υπάρχει τρόπος να φθάσουν στο προορισμός τους και δεν μπορούν να κάνουν τίποτε άλλο από το να περιμένουν. Μπορεί όμως να γίνουν τα πράγματα ακόμα χειρότερα και χωρίς να έχει την δυνατότητα να κλείσει το cloud, όταν το denial of service επιτεθεί σε ένα service του cloud πελάτη, τότε ο cloud provider θα χρεώσει τον πελάτη για χρήση όλων των παραπάνω resources που χρησιμοποίησε κατά την διάρκεια του cyberattack Αυτό γίνεται, γιατί οι denial of service (DoS) επιθέσεις χρησιμοποιούν μεγάλο ποσοστό του processing power, και είναι ένα κόστος που ο cloud customer θα επωμιστεί.
Insufficient Due Diligence
Πολλές εταιρείες περνάνε στη cloud τεχνολογία χωρίς να έχουν κατανοήσει την πλήρη έκταση του εγχειρήματος. Χωρίς την πλήρη κατανόηση του περιβάλλοντος και της προστασίας των service providers, οι cloud customers, δεν γνωρίζουν τι πρέπει να περιμένουν σε ενδεχόμενο incident response. Έτσι, είναι άγνωστο το επίπεδο κινδύνου που μπορεί να διατρέξουν, σίγουρα όμως πολύ μεγαλύτερο από το σημερινό. Οι προσδοκίες των δύο πλευρών πρέπει να είναι ξεκάθαρες. Ποιες είναι οι συμβατικές υποχρεώσεις για κάθε πλευρά; Πώς θα χωριστούν οι ευθύνες; Πόση διακριτικότητα, θα πρέπει να περιμένει ο πελάτης από τον cloud provider, σε περίπτωση κάποιου incident; Αν οι αρχιτέκτονες μίας επιχείρησης δεν κατανοήσουν το cloud περιβάλλον, οι εφαρμογές τους μπορεί να μην λειτουργούν σωστά και με ασφάλεια, όταν ολοκληρώσουν το migration στο cloud environment. Δυστυχώς, Insufficient due diligence συμβαίνει πολύ συχνά, με αποτέλεσμα τα IT systems να είναι ευάλωτα, απροστάτευτα και εκτεθειμένα σε cyber attacks. Τα cloud environment έχουν πολλά οφέλη, αλλά σημαντικός παράγοντας στην επιτυχία της μετάβασης είναι η κατανόηση από την επιχείρηση, τι χρειάζεται για να είναι τα δεδομένα της ασφαλή και σίγουρα. Είναι πολύ χρήσιμο να δημιουργείτε μία ομάδα από IT experts και Cyber Security experts, με εκπαίδευση σε τεχνολογία cloud και οργανωτικά να βρίσκονται κάτω από τον CISO ώστε να επιτηρεί τα θέματα cloud security.
Κώστας Τριτσάρης
Marketing Director
ISACA Athens Chapter
