Harmadik éve készíti el a KPMG és az Oracle a Cloud Threat Reportot. Az idei jelentés szerint a vállalatok ugyan egyre több eszközt vetnek be biztonságuk növeléséhez, azok sokszor a magas jogosultságú hozzáférések túlságosan nagyvonalú osztogatása, a hibás konfigurálás vagy a többszintű hitelesítés hiánya miatt nem adnak valódi biztonságot.

Ősrégi félelmek új köntösben

A hét országra (USA, Kanada, Egyesült Királyság, Franciaország, Ausztrália, Japán, Szingapúr) és 750 vállalati és közszférában dolgozó IT-szakemberre kiterjedő kutatásban még olyan félelmek is felbukkantak, melyek főleg a felhős piac kezdetét jellemezték.

Mindenekelőtt szembetűnő, hogy a megkérdezettek mennyire ellentmondásosan viszonyulnak szervezetünk biztonságához. A kutatás szerint például sokkal inkább nyugtalanítja őket cégük rendszerinek biztonsága, mint saját otthoni biztonságuk. De míg korábban a felhő biztonságában kételkedtek, most kicsit más a helyzet. A válaszadók 75 százalék azt már elfogadja, hogy a felhő alapvetően biztonságosabb, mint a saját adatközpontjaik. Abban viszont elsöprő az egyetértés (92 százalék), hogy vállalatuk nem feltétlenül készült fel a nyilvános felhőszolgáltatások biztonságára.

Az informatikai szakemberekben egyébként a 'vendor lock-in'-tól való félelem továbbra sem múlt el. De a felhőpiac koncentrációjának, konkrétan a nagy szolgáltatók (Amazon, Google, Microsoft) túlsúlyának köszönhetően olyan következménye is lehet, véli a válaszadók négyötöde, hogy a szolgáltatók kevésbé kényszerülnek arra, hogy a vásárlóik kegyeit keressék.

Ami a különböző szolgáltatástípusok elterjedtségét illeti, a SaaS-t (Software as a Service) veszik igénybe a legnagyobb arányban a vállalatok (90 százalék), háromnegyedük használ infrastruktúra-szolgáltatást (IaaS). A válaszadók fele szerint két éven belül cégük minden adata felkerül a felhőbe.

A komplexitás csapdájában

Az, hogy az üzleti kritikus munkaterhelés mind nagyobb hányada kerül fel a felhőbe, azonban egy új biztonsági kihívást is hozott. Egyre több olyan terület lesz, amire az IT-nak lényegében nincs rálátása, ami komoly biztonsági kihívásokat is jelent. Ezeknek a kezelésére azonban még nem kész a vállalati IT. A válaszokból az derült ki, hogy a megosztott felelősségen alapuló biztonsági modell (a szolgáltató a felhője biztonságáért, az ügyfél pedig az itt tárolt adatai biztonságáért felel) működését csupán a CISO-k (Chief Information Security Officer) 8 százaléka látja át teljes mélységében.

Ennek lehetnek kellemetlen következményei is. A válaszadók háromnegyede vallotta be, hogy többször is veszített adatokat felhős szolgáltatásban. De a védekezés nem egyszerű. A Cisco egy korábbi kutatásához hasonlóan itt is előjött, hogy a hatékony védelemhez túlságosan sok és komplex rendszer kell.

A válaszadók 78 százaléka mondta, hogy szervezeténél több mint 50 különálló kiberbiztonsági terméket használnak, 37 százalékuknál pedig a százat is meghaladja a védelmi rendszerek száma. A felhős védelmeknél a különböző konfigurációs hibák is közrejátszanak az incidensekben. A leggyakoribb problémák, amelyek adatvesztéseket okoztak az indokolatlanul magas hozzáférési jogosultság (37 százalék), nyitva hagyott webszerverek és más szerveroldali problémák (35 százalék) és a többszintű hitelesítés hiánya a kulcsfontosságú szolgáltatásokhoz (33 százalék).

Ugyanakkor már nem igaz, hogy saját hibájukból sem tanulnak a szervezetek. A válaszadók közel 80 százaléka állította, hogy a más vállalatoknál közelmúltban tapasztalt incidensek tanulságait próbálták hasznosítani saját védelmük megerősítéséhez.

A teljes jelentés itt [PDF] érhető el.