Már pár éve is megjelentek olyan kutatások, melyek szerint a vállalatok több mint négyötöde felhőben tárolja adatait vagy biztonsági másolatait. Jól hangzik? Mindenképpen, főleg ha mindehhez hozzávesszük, hogy a pandémia két éve alatt szárnyalt a tárolópiac: 2021-ben az IDC adatai szerint csak a külső vállalati OEM tárolók szegmense 6,8 százalékkal bővült. Bár a piackutató a bővülés ütemének lassulásával számol, a tavaly mintegy 31 milliárd dolláros szektor a szakértők számításai szerint 2026-ra meghaladhatja a 37 milliárd dollárt. (Lásd a lenti grafikont.)

De ha ennyire fontos az adattárolás, hogy a kutatások is biztonsági másolatok készítéséről, tárolófejlesztésekről tanúskodnak, hogyan lehetséges, hogy olyan globális vagy kritikus infrastruktúrát üzemeltető nagyvállalatok működését béníthatták meg teljesen vagy részlegesen zsarolóvírus-támadással, mint Norsk Hydro, a Colonial Pipeline vagy a világ legnyagobb húsipari vállalata, a JBS SA? Ezek a meglehetősen súlyos incidensek jól mutatják: van még mit javítani az adattárolás, különösen a biztonságos adattárolás terén. A Bitport e havi kiemelt témája a kiberbiztonsági trendek és vállalati adatvédelmi stratégia kapcsolatát vizsgálja.

Adat és kockázat

Ma már nincs olyan szegmense a gazdaságnak, ahol a digitális adattárolás ne játszana kulcsszerepet akár szabályzói előírás miatt, akár üzleti okokból. A pénzügyi-biztosítói szektor általában egy(-két) lépéssel a gazdaság általános digitális fejlettsége előtt jár – sokszor persze csak a szabályzói előírások miatt –, de ma már az autók, sőt sokszor a drótkefék gyártását is nehéz lenne elképzelni digitális háttér nélkül, bár annak fejlettsége legtöbb esetben nem éri el a pénzügyi vagy a technológia szektorét. Ez értelemszerűen a kockázatokat is átalakította. Mint a Gartner írja az idei év legfontosabb kihívásait összefoglaló anyagában, a legtöbb biztonsági és kockázatkezelési vezető hamarosan szembesül azzal a kritikus helyzettel, hogy miközben a szervezetek digitális lábnyoma intenzíven bővül, a kiberbiztonsági stratégiája elavulttá válik.

A digitalizációs trendeket ugyanis a (sokszor állami háttérrel működő) kiberbűnözői szcéna is szorosan követi: egyre kifinomultabb (zsaroló)programokat vetnek be, digitális ellátási láncokat támadnak. Ezek a támadások pedig felszínre hozzák a konnektivitásra épülő digitális világba mélyen beágyazódott sebezhetőségeket, technológiai hiányosságokat és készségbeli hiányokat, vázolja a problémákat kutatócég.

Mindennek komoly változásokat kell indukálnia a vállalatok adatvédelemmel kapcsolatos stratégiájában is. Ennek egyik leglátványosabb eleme a Gartner szerint az lesz, hogy a C-szintű vezetők munkaszerződésébe bele fognak épülni a kockázatkezeléssel kapcsolatos teljesítménykövetelmények. A legtöbb szervezetnél ugyanis ma már nem technikai problémának, hanem üzleti kockázatnak tekinti a kiberbiztonságot. Ezért a Gartner arra számít, hogy az ezzel kapcsolatos formális elszámoltathatóság eltolódik a biztonsági vezetőktől az üzleti vezetők felé.

A változások olyan, már rövid távon is érvényesülő intézkedéseket követelnek, mint például az indentity management rendszerek megerősítése, a digitális ellátási láncok kockázatainak csökkentése (akár háromszorozódhatnak is a szoftverellátási láncok elleni támadások, írja a Gartner). Ehhez a vállalatoknak olyan biztonsági architektúrát kell kialakítaniuk, amely hatékonyan védi az egyre komplexebb rendszereket.

Itt az egyik legfőbb kihívás, hogy mindinkább ún. elosztott működés jellemzi a cégeket: több telephely, hibrid infrastruktúra, amely egyre több szervezetnél kapcsolódik össze magas fokú automatizálással stb. Ez a döntéshozatali folyamatokra is hatással van. Minden korábbinál fontosabbá válik a biztonsági döntések decentralizálása olyan módon, hogy az egyes felelősségi területek egymást is ellenőrizhessék. Így a korlátozott hatású döntéseket gyorsan, helyben lehet meghozni, míg a szervezet egészének biztonságát érintő kérdésekben több terület együttesen léphet. Egy ilyen döntési mechanizmus végső soron az emberi döntésekből eredő kockázatokat is képesek csökkenteni (például egy olyan, ún. zero error backup példánnyal, melynek tartalma konstans, és semmilyen módon nem módosítható, csak több felelős együttes jóváhagyásával lehessen bármilyen műveletet elvégezni).

Globális támadás az adatvezérelt világ ellen

Ami a konkrét támadási vektorokat illeti, a különböző kiberbiztonsági cégek jelentéseiből az rajzolódik ki, hogy szinte minden akció mögött ott van valamilyen kifejezetten az adatokra kihegyezett támadási forma. Bár nemzetközi publicitást csak a valóban nagy incidensek kapnak, a jellemzően anonim kérdőívekre alapozott kutatások is ezt az összképet erősítik.

A Dell tavaly októberben kiadott globális adatvédelmi indexe írja (GDPI, Global Data Protection Index) szerint ezt a vállalatok is érzékelik: a kutatásban megkérdezett mintegy ezer felső vezető 67 százaléka a rosszindulatú programokat és zsarolóprogramokat tartja a legnagyobb veszélynek. Ennek oka, hogy szerintük egy ilyen sikeres, tehát adatvesztéssel járó támadás után nem lehet száz százalékban visszaállítani minden üzleti szempontból kritikus adatot. (Érdekes trend, hogy a nem kiberbiztonsági szakemberek szóhasználatában a rosszindulatú kód fogalma egyre inkább összemosódik a ransomware-rel. Ennek egyik oka az lehet, hogy ha egy zsarolóprogram aktiválódik, annak hatása azonnali, és sokszor teljesen megbénítja egy szervezet működését.)

A válaszadók érzékelik is a veszély növekedését: 62 százalékuk számol azzal, hogy szervezetét ilyen támadás éri az elkövetkező egy évben, mert elégtelen szervezete védelmi rendszere. A legnagyobb kihívásnak a többség (63 százalék) a feltörekvő technológiák (felhős alkalmazások, konténerizációs megoldások, mesterséges intelligencia stb.) adatvédelmének elégtelenségét tartja. Azok a szervezetek pedig, amelyek már elszenvedtek valamilyen adatvédelmi támadást, a költségvonzataival is szembesülhettek: a válaszok alapján az adatvesztési incidensek közel 960 ezer dolláros átlagos költséget generáltak, de azoknál a szervezeteknél, melyek több adatvédelmi szolgáltató megoldásaiból maguk állították össze a védelmi rendszerüket, a költségek (azaz az elszenvedett veszteség) négyszer voltak magasabbak, mint az egyszállítós modellre építőké.

A GDI szerint egyébként a vállalatok kezdik felismerni, hogy a hibrid rendszerek adatvédelmét hogyan érdemes megközelíteni, de még mindig a vállalatok ötöde (21 százalék) véli úgy, hogy például a felhős munkaterheléseik biztonságáért kizárólag a felhőszolgáltató felel.

Összeállításunk következő részében azt járjuk körül, milyen elemei vannak a hatékony adatvédelmi stratégiának, mit jelent a 3-2-1 modell, és azt hogyan kell bővíteni, hogy megfeleljen az új követelményeknek is.
 

Ez a cikk független szerkesztőségi tartalom, mely a Tech Data támogatásával készült. Részletek »