Прошедший год отмечен стремительным ростом не только числа организаций, которые используют облака для бизнес-задач, но и тех, кто оценивает, какие данные и приложения в нем размещать. Согласно ежегодному отчету Oracle и KPMG об угрозах для облаков в 2019 г. (Oracle and KPMG Cloud Threat Report 2019), семь из десяти опрошенных организаций стали использовать больше критичных для бизнеса облачных сервисов, чем в 2018 г.
Компании уже многие годы используют корпоративные облачные сервисы, но лишь недавно объем размещаемых в облаке критически важных данных и сервисов стал заметно расти. Хотя такой вариант отлично подходит для организаций, которые стремятся сократить расходы и расширить возможности для клиентов и сотрудников, по факту, динамичные изменения некоторых облачных инициатив в сочетании с реальными вызовами современного бизнеса создают ненужные риски.
Рост числа атак приведет к изменениям в структуре руководства компаний. По данным PricewaterhouseCooper, менее половины глобальных компаний в достаточной степени подготовлены к кибератакам. Руководители бизнеса стараются понять, как распределить ответственность за риски кибербезопасности, обеспечение конфиденциальности и защиту данных между членами совета директоров и менеджерами высшего звена. И ключевая роль здесь принадлежит CEO – это больше не та область, за которую отвечают исключительно CISO или ИТ-департамент. Растет число компаний, где появилась должность директора по информационной безопасности бизнеса (Business Information Security Officer, BISO). Это руководитель, сфокусированный на поддержку бизнеса, но отвечающий в компании за безопасность и конфиденциальность.
Кибератаки будут намного более частыми в подверженных риску отраслях. Хотя с ростом числа атак сталкиваются многие отрасли, у менее подготовленных к противодействию и имеющих более ценные данные риски увеличиваются. На первом месте – здравоохранение, за которым следуют производство, финансы, госсектор и энергетика и ЖКХ. По прогнозам Cybersecurity Ventures, в здравоохранении с 2017 по 2020 г. число атак вирусов-вымогателей увеличится вчетверо. В производственном секторе риски возникают в основном в цепочках поставок, в то время как финансовые организации сталкиваются с ростом случаев мошенничества и краж. Предприятия энергетики и ЖКХ инвестируют в кибербезопасность менее 0,2% доходов, что создает угрозы всей стране из-за отключения инфраструктуры. Некоторые отрасли в качестве превентивной меры наращивают инвестиции в программы обеспечения киберустойчивости. Например, в настоящее время США тратят на кибербезопасность больше средств ($15 млрд), чем составляют расходы на оборону Норвегии и Северной Кореи вместе взятых.
Нехватка специалистов на позиции по кибербезопасности станет критической. Динамика рынка труда в технологическом секторе меняется, включая расширение карьерных возможностей для женщин. Вызов для позиций по кибербезопасности заключается не их в нехватке, а в возможности найти квалифицированный персонал. Oracle прогнозирует, что в 2020 году в сфере информационной безопасности только в США будет насчитываться почти 3 млн незанятых вакансий, и эти цифры будут расти. По данным Monster.com, кибербезопасность с 2011 г. удерживает звание отрасли с 0% безработицы, и Oracle считает, что такая ситуация сохранится в обозримой перспективе. Некоторые сегменты рынка можно считать вполне зрелыми с точки зрения наличия квалифицированных кадров. Например, в столицах государств специалистов по кибербезопасности намного больше, чем в других регионах. Так, в столичном округе США их в 3,5 раза больше, чем в остальной стране. Одним из факторов, побуждающих организации переходить в облако, как раз и является стремление преодолеть этот очевидный дефицит кадров. Более 90% организаций считают, что облако предоставляет столь же и даже более защищенные возможности, чем собственные центры обработки данных. Ситуация осложняется тем, что аналитики в качестве «охотников за багами» могут зарабатывать в год в 3,5 раза больше, чем работая над защитой кода. Пока многие компании будут изо всех сил пытаться заполнить открытые вакансии квалифицированным персоналом, другие воспользуются для устранения этих проблем опытом экспертов по информационной безопасности, которыми обычно располагают поставщики облачных сервисов.
Каждый сотрудник будет атакован с целью поиска уязвимостей в корпоративном ПО. В 2019 г. эксперты FireEye сообщили, что в 91% случаев цепочка кибератак начиналась с фишинга. Это наглядно иллюстрирует тенденцию роста числа атак, нацеленных на конкретных сотрудников. Злоумышленники просматривают публичные страницы, анализируют карьеру сотрудников, пытаются понять структуру организации и подотчетность должностей, чтобы затем осуществить целевые фишинговые атаки, так называемый адресный фишинг (spear-phishing), направленный на владельцев приложений/данных или даже руководителей. Значительную статью корпоративных расходов составляют тренинги, и большая часть этих растущих затрат направляется на то, чтобы противостоять главным рискам – сотрудникам, которые сознательно или неосознанно ставят бизнес под угрозу. Атакующие изобретают множество способов, чтобы скомпрометировать учетные данные привилегированного пользователя и через него атаковать финансовые, кадровые и логистические системы. Примерами являются кража учетных данных непосредственно через клонированные бизнес-сервисы или перепрофилирование учетных данных, украденных из потребительских сервисов, в которых нередко используется тот же пароль, что и в бизнес-системах.
Облачное ускорение создаст новые стратегические задачи по снижению рисков. На войне нелегко защитить небо наземными войсками. Так и в ИТ: облачная безопасность требует иных подходов, чем традиционная корпоративная. Большинство компаний при переходе в облако ограничиваются лишь базовыми средствами контроля безопасности, такими как управление идентификацией, но не располагают многоуровневой системой безопасности с несколькими перекрывающимися уровнями, которую требуется перенести в облако. Согласно отчету Oracle и KPMG, только 10% организаций способны выявить большинство событий безопасности, проанализировать всю собранную телеметрию и реагировать на нее. В 93% опрошенных организаций практика использования облачных приложений не соответствует корпоративным рекомендациям и политикам работы с конфиденциальными бизнес-данными. Специалистам по безопасности приходится иметь дело с сотнями облачных сервисов, как платных, так бесплатных, об использовании которых сотрудники даже не удосуживаются уведомить службу безопасности несмотря на то, что они работают с конфиденциальными бизнес-данными. Сегодня облако можно развернуть быстрее, чем реализовать соответствующие программы обеспечения безопасности и снижения рисков в организации. Это вызывает настоятельную необходимость в стратегическом подходе к противодействию рискам.
В этих прогнозах отмечено, с чем многим организациям придется столкнуться в 2020 г., если они будут фокусироваться на стратегиях защищенного доступа и не станут уделять достаточного внимания корпоративной культуре безопасности. Как развивать такую культуру, более подробно говорится в отчете Oracle and KPMG Cloud Threat Report. В частности, автономные функции мониторинга угроз и применения исправлений для устранения уязвимостей программного обеспечения зачастую являются лучшим — и все чаще единственным эффективным — способом решения насущных проблем. Это один из ключевых выводов совместного исследования Oracle и KPMG, описывающего передовые практики и меры, которые организации используют для снижения рисков и угроз своему бизнесу.