Μεγάλη πανελλαδική έρευνα για την ασφάλεια στο cloud από την Pylones Hellas

 Πολύ σημαντικά συμπεράσματα εξάγονται από την σημαντική μεγάλη πανελλαδική έρευνα για την ασφάλεια στο cloud «The State of Cloud Security 2020» που διεξήχθη από την Pylones Hellas

Στο πλαίσιο της προσπάθειας της συνεχούς και ενδελεχούς κατανόησης των συνθηκών που επικρατούν στην ψηφιακή ασφάλεια, η Pylones Hellas, δημιούργησε και διεξήγαγε, σε συνεργασία με το τμήμα Ψηφιακών Συστημάτων του Πανεπιστημίου Πειραιά (ΠΑ.ΠΕΙ.) και τον καθηγητή Χρήστο Ξενάκη, μεγάλη έρευνα με θέμα την ασφάλεια στο cloud computing.

Στόχος της έρευνας «The State of Cloud Security 2020» ήταν να εκτιμηθεί το μεταβαλλόμενο αίσθημα ασφάλειας σχετικά με το cloud computing και να γίνουν πιο κατανοητές στους αρμόδιους και υπεύθυνους ΙΤ, οι συνθήκες, οι λόγοι, αλλά και οι κίνδυνοι, που σχετίζονται με την εργασία και την ασφάλεια στο cloud. Οι υπηρεσίες cloud επιτρέπουν στους τελικούς χρήστες, αλλά και σε μικρές επιχειρήσεις μέχρι και μεγάλους οργανισμούς να αυξήσουν την ευελιξία και να επιταχύνουν τις διαδικασίες τους μειώνοντας ταυτόχρονα το κόστος.

«Το χρονικό διάστημα της πανδημίας Covid-19, πολλές επιχειρήσεις και τελικοί χρήστες στράφηκαν σε υπηρεσίες cloud και τεχνολογίες secure remote access για να συνεχίσουν να εργάζονται απομακρυσμένα. Ωστόσο, δεν λείπουν οι ανησυχίες σχετικά με την αποθήκευση, το απόρρητο αλλά και την ασφάλεια των δεδομένων, αφού υπάρχουν προκλήσεις ασφάλειας στον κυβερνοχώρο. Ποιοι είναι στην πράξη οι υπεύθυνοι για την ασφάλεια; Πόσο καλά γνωρίζουμε τους κινδύνους στο Cloud; Ποιες είναι οι μεγαλύτερες απειλές απέναντι σε αυτό που προσδιορίζουμε Cyber Security;» ο κ. Εμμανουήλ Νέτος, Γενικός Διευθυντής της Pylones Hellas θέτει τα  βασικά ερωτήματα που απασχόλησαν την έρευνα.

Προφίλ και δημογραφικά στοιχεία

Η έρευνα – που υποστηρίχθηκε από το ΙΤ Security Professional – διενεργήθηκε το χρονικό διάστημα Ιουλίου-Σεπτεμβρίου 2020 μεταξύ υψηλόβαθμων στελεχών εταιρειών, στελεχών από τμήματα μηχανογράφησης και ψηφιακής ασφάλειας, αλλά και υπεύθυνων προμηθειών.

Συγκεκριμένα,  στην έρευνα συμμετείχαν πάνω από 350 επαγγελματίες και στελέχη της πληροφορικής με το επίπεδο μόρφωσης του 83% να είναι πανεπιστημιακό/μεταπτυχιακό/διδακτορικό και να αποτελούν άμεσα ενεργό δυναμικό με το κύριο όγκο ηλικιών να κυμαίνεται σε ποσοστό 85% μεταξύ 26-55 χρονών

Το 67%των συμμετεχόντων συνολικά ασχολείται σε καίρια θέση του κλάδου του ΙΤ, με το 28% να δηλώνει ότι ασχολείται με τον τομέα του ITsecurity επαγγελματικά, ενώ το 13,47% βρίσκεται στον τομέα του IT Networking. Το 25,75% απασχολείται σε άλλους κλάδους του ΙΤ. To 41% κατέχει σημαντική θέση senior/manager στην εταιρεία του ενώ ένα 40% αποτελεί αμιγώς engineers/architects/analysts. Όσoν αφορά στο επίπεδο γνώσεων με το αντικείμενο της ψηφιακής ασφάλειας,  το 54% των συμμετεχόντων κατέχουν μεταπτυχιακό/διδακτορικό επίπεδο γνώσεων στο ΙΤ. Αξιοσημείωτο επίσης ότι πάνω από το 57% το ερωτώμενων απασχολείται κυρίως σε μεγάλες & μεσαίες επιχειρήσεις ενώ ένα 20% σε μικρομεσαίες επιχειρήσεις.

Συμπεράσματα : Απειλές και κίνδυνοι

Ένα από τα σημαντικότερα συμπεράσματα της έρευνας εξάγεται από την 1η σχετική ερώτηση και αφορά τις κυβερνοαπειλές ή παραβιάσεις όπου συνολικά το 48%  του δείγματος αναγνωρίζει ότι έχει δεχθεί κάποια μορφής επίθεση/κυβερνο-απειλή ή παραβίαση ασφάλειας στον κυβερνοχώρο ή στο μηχανογραφικό του ενώ το 11% δηλώνει ότι είχε άμεσες συνέπειες στη λειτουργία του οργανισμού του όπως μπορούμε να δούμε στο διάγραμμα 1

Διάγραμμα 1

Όπως βλέπουμε και στο διάγραμμα 2 ένα σημαντικό ποσοστό που αγγίζει το 48%  αναγνωρίζει ως το μεγαλύτερο εμπόδιο στην προστασία από κυβερνο-επιθέσεις την  άγνοια του κινδύνου ή/και η αδιαφορία για θέματα ασφάλειας που υπάρχει μέσα στις επιχειρήσεις ενώ το 30% υποδεικνύει σαν εμπόδιο την έλλειψη διαθέσιμων πόρων (οικονομικοί λόγοι, τεχνική κατάρτιση) το οποίο έχει να κάνει με το σωστό risk assessment και ότι δεν υπάρχει c-level support στο κομμάτι του security καθώς δεν θεωρείτε ως σοβαρό θέμα σε ανώτατο επίπεδο ακόμη.

Διάγραμμα 2

Είναι αξιοσημείωτο ότι οι τύποι απειλών και κινδύνων είναι αρκετοί και προκαλούν μάλιστα τον ίδιο βαθμό ανησυχίας στους υπευθύνους ασφάλειας. Πιο συγκεκριμένα, η παραβίαση λογαριασμών, υπηρεσιών και δεδομένων, τα phishing attacks, malware (viruses, worms, Trojans, ransomware) βρίσκονται στην ίδια κλίμακα ανησυχίας για τους επαγγελματίες του κλάδου της πληροφορικής. Είναι χαρακτηριστικό ότι στον προβληματισμό για τον ποιον θεωρούν τον μεγαλύτερο κίνδυνο που τους απασχολεί, οι απαντήσεις ήταν ποικίλες και τα ποσοστά ισοβαρή. Οι κορυφαίοι 5 τύποι κινδύνων ασφαλείας που απασχολούν περισσότερο τους ερωτώμενους όπως βλέπουμε στο διάγραμμα 3 αποτελούν:

  • Παραβίαση λογαριασμών, υπηρεσιών και δεδομένων με 63%
  • Phishing attacks με 62%
  • Κακόβουλοι / απρόσεκτοι υπάλληλοι  με 62%
  • Malware (viruses, worms, Trojans, ransomware) με 61%
  • Μη εξουσιοδοτημένη πρόσβαση σε συστήματα με 55%

Διάγραμμα 3

Σε ότι αφορά τα βασικότερα θέματα προσοχής που αφορούν τις επιχειρήσεις σχετικά με την ασφάλεια,  σε πρώτο πλάνο για τους ερωτώμενους με σειρά προτεραιότητας είναι :

  • Network security 80%
  • Data protection and encryption 63%
  • Security Training and Certification 55%
  • Cloud security 60%

Στο διάγραμμα 4 μπορούμε να δούμε ολόκληρη την κατανομή των σημαντικών θεμάτων που απασχολούν έντονα τις ελληνικές επιχειρήσεις

Διάγραμμα 4

Η σχέση των χρηστών με το cloud

Με την παρούσα συγκυρία της πανδημίας, το cloud φαίνεται να έχει μπει στην καθημερινότητα πολλών χρηστών και εταιρειών. Αυτό δείχνει άλλωστε και το μεγάλο ποσοστό της τάξεως 87,5% των ερωτηθέντων, το οποίο δήλωσε ότι χρησιμοποιεί κάποιας μορφής υπηρεσία/εφαρμογή σε cloud και φαίνεται να είναι εξοικειωμένο πάνω στη τεχνολογία του, με το 33,6% να χρησιμοποιεί κάποιο private cloud. Το 82% δηλώνει ότι χρησιμοποιεί στην εταιρεία του κάποια υπηρεσία cloud όπως Infrastructure as a Service (IaaS), Software as a Service (SaaS)  ή και Platform as a Service (PaaS).

Σημαντικό ποσοστό στελεχών (64%) δηλώνει ότι η εταιρεία ή ο οργανισμός στον οποίο εργάζεται σχεδιάζει να ανεβάσει εφαρμογές στο cloud μέσα στους επόμενους 12 μήνες. Μέσα από αυτό το εύρημα όπως βλέπουμε και στο διάγραμμα 5 καταδεικνύεται η αναγνώριση των επιχειρήσεων στη χρησιμότητα του cloud. Το 28% δηλώνει ότι το σχέδιο υλοποίησης θα ολοκληρωθεί μάλιστα μέχρι το τέλος του τρέχοντος έτους, κυρίως ως απόρροια των προεκτάσεων που έχει επιφέρει η πανδημία του Covid-19.

Διάγραμμα 5

Λαμβάνοντας υπόψη τα συμπεράσματα σε σχέση με τους κινδύνους, είναι σημαντικό να δούμε και την οπτική γωνία από τη πλευρά των λύσεων ως προς την ψηφιακή ασφάλεια αλλά και των υπευθύνων για αυτή. Ποιος είναι τελικά βασικός υπεύθυνος για την ασφάλεια στο cloud; Οι μισοί από τους συμμετέχοντες όπως βλέπουμε και στο διάγραμμα 6 , το 50%, θεωρεί ότι το cloud security που του παρέχει ο πάροχος δεν είναι επαρκές! Αυτό είναι ένα στοιχείο στο οποίο θα πρέπει να εστιάσουν οι εταιρείες που παρέχουν τις υπηρεσίες αυτές και κατ’ επέκταση να καλύψουν το αίσθημα αβεβαιότητας των χρηστών ως προς την ασφάλεια του cloud.

Διάγραμμα 6

Η μεγαλύτερη ανησυχία όσον αφορά τη χρήση υπηρεσιών cloud φαίνεται ότι αποτελεί η έλλειψη δεξιοτήτων για την κατανόηση των επιπτώσεων στην ασφάλεια με ποσοστό 52% ενώ ακολουθούν η απώλεια αλλά και κυριότητα δεδομένων με 48%, η διαθεσιμότητα πόρων (Κατά τη διάρκεια επιθέσεων DDoS) με 47%  αλλά και η κανονιστική συμμόρφωση με 44% όπως μπορούμε να δούμε στο διάγραμμα 7

Διάγραμμα 7

Σχετικά με τις μεγαλύτερες προκλήσεις ασφάλειας στο cloud ένας στους 2 ερωτώμενους δηλώνει ότι είναι να εντοπίσει και να ανταποκριθεί σε περιστατικά ασφαλείας στο cloud δηλαδή εντοπίζεται μια έλλειψη ορατότητας στο cloud  και άγνοια για το cloud security. Ακολουθούν όπως φαίνεται στο διάγραμμα 8

  • Η επένδυση σε εκπαίδευση του προσωπικού και σε εργαλεία ασφάλειας cloud 44%
  • Ο ελλιπής έλεγχος από πλευράς μου των διαδικασιών ασφάλειας που εφαρμόζονται 42%
  • Η ανάκτηση δεδομένων και η συνέχεια της επιχείρησης 39%
  • Η γνώση της μη εξουσιοδοτημένης χρήσης του cloud 37%

 

Διάγραμμα 8

Κλείνοντας το βασικό ερωτηματολόγιο της έρευνας όπως φαίνεται στο διάγραμμα 9 διαπιστώνουμε ότι ο τομέας όπου θα επένδυαν περισσότερο ώστε να έχουν μια μεγαλύτερη ασφάλεια ως προς το cyber security είναι με σειρά προτεραιότητας :

  • IT security awareness training 26%
  • Firewall & Network Protection 25%
  • Cloud Security 19%

 

Διάγραμμα 9

Συμπεράσματα 

Συμπερασματικά θα λέγαμε ότι σύμφωνα με τα ευρήματα της έρευνας, ο χώρος της ψηφιακής ασφάλειας και ειδικότερα στο cloud, έχει ανάγκη, πέρα από υποδομές, σε εκπαίδευση τόσο του τεχνικού προσωπικού, των ίδιων των χρηστών αλλά και της διοίκησης της κάθε επιχείρησης. Με πολλές εταιρείες να συνεχίζουν να εργάζονται σε μορφή τηλεργασίας, η εκπαίδευση και η ενημέρωση είναι πιο σημαντική από ποτέ.