Je vyšším rizikem narušení bezpečnosti dat provoz aplikace on-premise nebo v cloudu?

Organizace provozuje již roky své vlastní datové centrum, ale management se rozhodl, že nově vyvíjená aplikace poběží v bezpečném cloudu provozovaném důvěryhodnou třetí stranou, a chce vědět, zda se nějak změní rizikový profil.

Zde je třeba si uvědomit, že se nám zde podstatně mění povrch útoku, který se zásadně zvětšuje, protože kromě vlastních zaměstnanců (insiderů) budou mít k datům a systémům přístup i zaměstnanci třetí strany.

A je asi jedno, zda se bude jednat o zaměstnance Amazonu, Google nebo Microsoftu, ve všech případech s vámi bude uzavřena standardní smlouva, a vaše data a aplikace budou umístěna v cloudu, který je bezpečný a má i příslušné certifikace. Bavit se o tom, zda je lépe zabezpečeno vaše datové centrum anebo datové centrum tohoto poskytovatele, nemá smysl. Problém je totiž někde úplně jinde.

Cloudy přináší obrovskou míru flexibility, ale zároveň i obrovské riziko vyplývající z neznalosti těchto služeb z pohledu bezpečnosti. Skutečnosti, že zde jsou vyšší rizika si je vědom i provozovatel cloudu a např. takový Amazon k tomu dokonce sepsal i prohlášení o sdílené odpovědnosti. Je mu totiž jasné, že útočníci jdou, slovy Roberta Malého, po špatně zabezpečených SaaS, jak slepice po flusu a převzetí jejich kontroly je pak jen otázka pár minut.

Ale nejde jen o hacking, ale především o samotné zaměstnance, insidery a zaměstnance CSP a další hrozby. Pod pojmem insider se zpravidla myslí vlastní zaměstnanec, externista, ale i dodavatel s přístupem do systému organizace. Jako insider threat je pak myšlena reálná hrozba ze strany tohoto insidera, která může být neúmyslná v důsledku lidské chyby anebo zcela úmyslná.

Insider i zaměstnanec třetí strany jsou z pohledu řízení rizik zároveň podpůrným aktivem, na které může být veden útok, ale mohou být i threat agentem (zdrojem hrozby), který může danou hrozbu sám realizovat. V takovém případě je třeba vzít v úvahu minimálně tyto hrozby:

  • fat fingers neboli hrozba tlustých prstů, ale i nedbalost při správě, kdy dojde v zásadě k omylem k narušení bezpečnosti;
  • social engineering neboli sociální inženýrství a s tím spojené techniky jako je phishing, vishing, tailgating, baiting atd.;
  • fraud neboli podvod a vůbec zneužití přístupu (něco smaže, zmodifikuje, zkopíruje nebo způsobí nedostupnost);
  • hacking, tedy veškeré útoky hackerů na infrastrukturu a aplikace.

Když už jsme si vydefinovali hrozby, tak se musíme ptát, u koho je větší riziko. A vzhledem k tomu, že dopad by mohl být stejný, tak bychom jej mohli pro tentokrát zanedbat, a zabývat se dále jen pravděpodobností hrozby a mírou zranitelnosti.

Z pohledu neúmyslných a nedbalostních činů vedoucích k ohrožení bezpečnosti jsou na tom insideři i třetí strany více méně stejně. Ovšem z pohledu úmyslných činů, kdy jednání jednotlivce ovlivňují významné emoční události (significant emotional events, zkr. SEE), mezi něž patří:

  • money – zaměstnanec potřebuje peníze a důvodů může být spousta, od náročného životního stylu, svízelné životní situace, do které se dostal apod.;
  • ideology – shledává jednání společnosti nefér, staví se do role jakéhosi veřejného strážce pořádku a whistelblowera;
  • coercion – může se stát obětí vydírání, a jakmile jednou udělá to, co vyděrač chce, tak v tom pak už jede a bude o to více vydíratelný, neboť mu bude ještě navíc vyhrožováno, že když to neudělá znovu, tak jeho jednání bude nahlášeno;
  • ego – nespokojený zaměstnanec, který není uznáván, nebo nebyl povýšen a je přesvědčen o tom, že by si to zasloužil, apod.

a jež jsou známé pod akronymem MICE, a které ve výsledku mohou vést k tomu, že daná osoba bude schopna vynášet určité informace nebo provádět v systému nežádoucí aktivitu, je to jinak. Se znalostí frameworku MICE pak můžeme k hodnocení výše uvedených hrozeb přistoupit takto:

  • fat fingers – riziko roste s počtem systémů, který daný zaměstnanec spravuje, rozdílné nastavení systémů u jednotlivých zákazníků a jejich požadavky, mohou administrátora zmást a on pak spíše udělá chybu. Následná oprava chyby může být u vlastního zaměstnance on-premise rychlejší, protože se nemusí rozhodovat čí systém nebo data obnoví jako první.
  • social engineering – na zaměstnance je možno vést spear phishing, tato hrozba je v případě insidera větší než u zaměstnance třetí strany, protože u něj neví, čí systémy a data spravuje, ale jejich zranitelnost vůči tomuto útoku je stejná a konečně může být vedena na oba.
  • fraud – čím dál tím více lidí získává určitou znalost ohledně dat a procesů, už to nejsou jen insideři, kdo mají motiv, příležitost a schopnost, ale i zaměstnanci třetí strany a od IaaS přes PaaS směrem k SaaS jejich znalost jen roste. Vyšší fluktuace zaměstnanců třetí strany, jiná kultura, horší možnost vyhodnocování chování daného zaměstnance snižuje riziko odhalení podvodu ve stádiu přípravy.
  • hacking – netýká se až tak zaměstnance, jako spíše skutečnosti, že hacknutí CSP je pro útočník atraktivnější a výhodnější, protože díky v zásadě homogennímu a dobře zdokumentovanému prostředí bude moci v případě nalezení zranitelnosti napadnout všechny, co daný cloud využívají.

Zdá se, že celé hodnocení rizik je postaveno jen na tom, komu více věříte, zda vlastnímu zaměstnanci anebo zaměstnanci třetí strany. A pokud jde o víru, tak ta je, jak pravil ISACA lídr Sunil Bakshi, anathema pro řízení rizik.

Nicméně odstranění souvisejícího rizika může být provedeno vyloučením samotného člověka z procesu, např. zavedením automatizace. A snížení rizika pak může být dosaženo např. prostřednictvím těchto opatření:

  • kvalitní personální bezpečností;
  • osvětovou činností;
  • striktním řízením přístupu na principu need-to-know a least privilege;
  • rotací práce (job rotation);
  • oddělení odpovědností (segregation of duties), kdy zaměstnanec nemá pod kontrolou celý proces;
  • povinná dovolená (mandatory vacation);
  • auditní protokolování a vyhodnocování logů.

Buď jak buď, určitá rizika narušení důvěrnosti, integrity dat zde jsou, stejně jako riziko převzetí vlastnictví, o kterém, se též moc nemluví. Otázka je, jak vysoká ta rizika jsou a o kolik se zvýší. Máte-li k tomu co dodat, napište.

Pokud vás tento článek zaujal, můžete odkaz na něj sdílet.

Štítky:


K článku “Je vyšším rizikem narušení bezpečnosti dat provoz aplikace on-premise nebo v cloudu?” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: