Coraz więcej firm przechodzi do środowisk chmurowych hybrydowych i multicloud. To odpowiedź na wyzwania związane z bezpieczeństwem informacji. Dla wielu przedsiębiorstw migracja do chmury oznacza nie tylko nowe możliwości, ale także potencjalne zagrożenia. Adam Galach, ekspert ds. cyberbezpieczeństwa, tłumaczy, jak efektywnie zarządzać bezpieczeństwem w środowiskach multicloud oraz jakie kompetencje i strategie są niezbędne.
Na początek najnowsze opracowania na ten temat. Jak podaje raport Google „Cybersecurity Forecast 2024 Insights for future planning” oraz raport Dell „Global Data Protection Index (GDPI)”, środowisko multicloud jest w tej chwili jednym z głównych obszarów stanowiących zagrożenie dla cyberbezpieczeństwa. Natomiast raport „Stan chmury 2023, Jak organizacje dojrzewają w chmurze” podaje, iż aż „70% organizacji twierdzi, iż ponad połowa ich infrastruktury znajduje się w chmurze, podczas gdy 69% liderów wciąż nie ma jasno określonej strategii chmurowej” i „44% organizacji wdraża najnowsze produkty chmurowe, gdy tylko stają się dostępne”. A ponad 65% organizacji twierdzi, iż ich środowisko chmurowe to środowisko wielochmurowe.
Justyna Minkiewicz, HomoDigital.pl: Ze wspomnianych powyżej badań wynika, iż w dzisiejszym cyfrowym krajobrazie, środowiska chmurowe hybrydowe i wielochmurowe (multicloud), stają się coraz bardziej powszechne. Zakładam, iż również w polskich przedsiębiorstwach. Z czego to, Pana zdaniem, wynika?
Adam Galach: Popularność środowisk chmurowych, w tym hybrydowych i multicloud, wynika głównie z oferowanej przez nie elastyczności oraz skalowalności. Te aspekty pozwalają firmom na adaptację do zmieniających się potrzeb biznesowych bez konieczności inwestycji w nową infrastrukturę IT, jednocześnie zapewniając efektywność i oszczędności. Pandemia COVID-19, która wymusiła szybką adaptację do pracy zdalnej, dodatkowo uwydatniła potrzebę zastosowania rozproszonej i łatwo skalowalnej infrastruktury w celu zapewnienia ciągłości operacji biznesowych. Co jest jednak najważniejsze, stosowanie rozwiązań wielochmurowych może zwiększyć odporność bezpieczeństwa danych, gdyż w przypadku ataku na infrastrukturę jednego dostawcy, istnieje możliwość, iż dane przechowywane u innego dostawcy pozostaną bezpieczne. najważniejsze jest jednak odpowiednie zarządzanie i konfiguracja tych środowisk. Wprowadzenie tych rozwiązań przynosi wyzwania w zakresie cyberbezpieczeństwa z uwagi na rosnące zaawansowanie ataków.
Czym różnią się te rozwiązania chmurowe, tj. hybrydowe i wielochmurowe (multicloud)?
Hybrydowe środowisko chmurowe odnosi się do wykorzystywania zarówno zasobów chmurowych, jak i lokalnych, na przykład wewnętrznych serwerów firmy w celu zaspokojenia potrzeb technologicznych organizacji. Natomiast środowisko chmurowe multicloud oznacza wykorzystywanie usług chmurowych od różnych dostawców.
Czy jest Pan zwolennikiem rozwiązań chmurowych hybrydowych i multicloud czy zdecydowanie Pan takie rozwiązania odradza?
Rozwiązania te mają liczne zalety, takie jak wspomniana wcześniej skalowalność, lepsze wykorzystanie zasobów, zwiększenie wydajności i dostępności. Jednak uważam, iż ważne jest, aby organizacje nie były zależne od jednego dostawcy. Różnorodność usług chmurowych pozwala na wybór optymalnych rozwiązań oferowanych przez różne podmioty. najważniejsze jest staranne zarządzanie i zabezpieczenie tych usług, aby minimalizować potencjalne zagrożenia. Należy pamiętać o kompetencjach osób dedykowanych do zarządzania usługami chmurowymi. Działania związane z utrzymaniem systemu uruchomionego w chmurze leżą zarówno po stronie dostawcy, jak i użytkownika. W szczególności może zdarzyć się, iż to użytkownik będzie odpowiadał za adekwatne skonfigurowanie kopii zapasowych. Wiedza na ten temat jest niezbędna, aby wybrać odpowiedniego dostawcę lub kilku dostawców i aby organizacja była odpowiednio zabezpieczona w przypadku potencjalnych ataków. Co to oznacza? Jakie dokładnie kompetencje w tym zakresie są wymagane?
Zakres tych kompetencji obejmuje zrozumienie architektury chmury, usług dostarczanych przez poszczególnych dostawców, ich możliwości i ograniczeń. najważniejsze jest zrozumienie specyficznych zagrożeń bezpieczeństwa oraz metod ochrony danych. Potrzebujemy również znajomości standardów, prawnych i regulacyjnych ram działania, kompetencji w zakresie zarządzania IT i bezpieczeństwem, konfiguracją, automatyzacją, zarządzania ryzykiem oraz reagowania na incydenty. Ważne są również umiejętności komunikacyjne, znajomość narzędzi do monitorowania bezpieczeństwa i analizy logów w celu wykrywania i reagowania na potencjalne naruszenia.
A jakie mogą wystąpić zagrożenia dla tych środowisk chmurowych hybrydowych i multicloud i z czego wynikają? Jakie są główne wyzwania związane z zarządzaniem tego typu środowiskami?
Główne zagrożenia dla tych środowisk wynikają z ich złożoności i obejmują luki w zabezpieczeniach, trudności w jednolitym wdrażaniu polityk bezpieczeństwa oraz wyzwania związane z dostosowaniem tych polityk do różnych platform. Zagrożenia są uzależnione od specyfiki wykorzystywanych przez organizację usług. najważniejsze wyzwania to monitorowanie i zarządzanie bezpieczeństwem danych w rozproszonych infrastrukturach, komplikacje wynikające z obecności wielu dostawców oraz potrzeba ciągłego dostosowywania konfiguracji i zarządzania dostępem. Istotne jest stałe śledzenie nowych zagrożeń i szybka reakcja na incydenty.
Czy dostawcy różnych platform współpracują ze sobą zgodnie z wytycznymi? Czy przedsiębiorcy mogą na to liczyć?
Globalni dostawcy, którzy dostarczają gotowe rozwiązania, raczej nie są skłonni dostosowywać swoich usług do specyficznych wymagań lokalnych przedsiębiorstw. Przedsiębiorcy mogą jednak oczekiwać pewnej elastyczności i gotowości do współpracy od mniejszych, lokalnych dostawców, którzy mogą wyróżniać się lepszą komunikacją i bardziej indywidualnym podejściem. Tu jednak niezbędna jest weryfikacja wiarygodności takiego podmiotu, jego dojrzałości, jakości i bezpieczeństwa świadczonych usług. Trzeba pamiętać, iż efektywna komunikacja z dostawcami chmurowymi jest kluczowa dla zwiększenia bezpieczeństwa i dostosowania usług do potrzeb biznesowych. Przy wyborze firmy należy zatem zwrócić uwagę na jego wiarygodność, posiadanie certyfikowanych systemów zarządzania powiązanych z usługami chmurowymi i inne dowody potwierdzające dojrzałość świadczonych usług – w tym udostępniane oceny audytorów. W przypadku lokalnych dostawców usługobiorca lub audytor działający na jego zlecenie ma szansę na samodzielne przeprowadzenie audytu takiego podmiotu. Natomiast przy współpracy z dużymi dostawcami prawdopodobnie będziemy musieli ograniczyć się do udostępnionych raportów poaudytowych.
Jakie zatem certyfikaty powinien weryfikować klient korzystający z usług chmurowych?
Klienci poszukujący usług chmurowych powinni zwrócić uwagę na kilka kluczowych certyfikatów, które świadczą o poziomie bezpieczeństwa oferowanych usług przez dostawcę. ISO/IEC 27001 to międzynarodowy standard zarządzania bezpieczeństwem informacji wskazujący na zaawansowane podejście usługodawcy do ochrony danych. ISO/IEC 27017 jest z kolei rozszerzeniem zasad zawartych w 27001 o aspekty charakterystyczne dla chmury. Dla ochrony prywatności najważniejszy jest standard ISO/IEC 27018, który określa, jak należy postępować z danymi osobowymi w chmurze.
A konsekwencje braku odpowiedniego zabezpieczenia środowisk chmurowych? Jakie?
Takie jak każdego innego systemu. Brak odpowiedniego zabezpieczenia środowisk chmurowych może prowadzić do wycieku informacji, w tym danych prawnie chronionych, o ile takie przetwarzamy w chmurze. Może to również powodować zakłócenia w ciągłości działalności, opóźnienia w realizacji projektów i obsłudze klientów, a także znaczne straty finansowe związane z naprawą szkód i odszkodowaniami. Dodatkowo może to wpłynąć negatywnie na wizerunek organizacji. Trudno jest odzyskać zaufanie klientów po incydencie naruszenia bezpieczeństwa. Istnieje również ryzyko naruszenia wymagań prawnych, co może skutkować karami finansowymi i innymi sankcjami. Problemem jest to, iż w przypadku usług chmurowych nasz wpływ na stosowane mechanizmy zabezpieczające jest ograniczony – siłą rzeczy musimy zaufać dostawcy.
Czy rozwój sztucznej inteligencji (AI) może zwiększyć skuteczność ataków na środowiska chmurowe hybrydowe i multicloud?
Rozwój AI może powodować nowe zagrożenia dla systemów informatycznych, więc również dla środowisk chmurowych. AI z jednej strony ma potencjał do udoskonalania technik ataków, ale z drugiej strony może być wykorzystana do bardziej skutecznego zabezpieczenia systemów, chociażby poprzez identyfikację anomalii, które mogą wskazywać na próby ataków.
W jaki sposób można przeciwdziałać zwiększonej skuteczności ataków na środowiska chmurowe hybrydowe i multicloud, wynikającej z rozwoju AI?
Firmy powinny uwzględnić wskazany przez Panią problem w procesie zarządzania ryzykiem. Planowanie postępowania z ryzykiem powinno z jednej strony minimalizować prawdopodobieństwo skutecznego przeprowadzenia ataków tego rodzaju. Z drugiej strony plany powinny również uwzględniać możliwość wdrożenia zabezpieczeń opartych na uczeniu maszynowym i sztucznej inteligencji, aby zapewnić efektywną ochronę infrastruktury.
Jakie zagrożenia związane ze środowiskami chmurowymi – hybrydowymi i multicloud – mogą dotyczyć polskich organizacji?
Sądzę, iż zagrożenia związane z wykorzystaniem chmury mają charakter globalny i w ograniczony sposób są uzależnione od konkretnego rynku. Podstawowym problemem jest brak zrozumienia charakteru i ograniczeń usług chmurowych, ich niewystarczające zabezpieczenia i brak strategii zarządzania bezpieczeństwem IT. Istotne wyzwania to zarządzanie tożsamością i dostępem, zwłaszcza w przypadku gdy usługa jest dostępna z internetu bez żadnych ograniczeń. Należy pamiętać o potencjalnych trudnościach z integracją i zarządzaniem usługami dostarczanymi przez różnych dostawców, gdyż to może stanowić istotny czynnik wpływający na powodzenie przedsięwzięcia. Organizacje muszą również spełniać obowiązujące wymogi prawne i regulacyjne dotyczące ochrony danych, co w przypadku usług chmurowych może stanowić wyzwanie, zwłaszcza w kontekście bezpieczeństwa łańcucha dostaw.
Jak, z Pana punktu widzenia, wygląda przygotowanie strategii cyberbezpieczeństwa w polskich firmach, ze szczególnym uwzględnieniem środowisk chmurowych?
Świadomość konieczności posiadania strategii cyberbezpieczeństwa różni się w zależności od wielu czynników. Duże, dojrzałe organizacje zwykle są lepiej przygotowane do zarządzania bezpieczeństwem IT, w tym w środowiskach multicloud. Problemem może być jednak skuteczne wdrożenie strategii, zakładając współpracę z wieloma dostawcami. Czasami trudno dostosować wszystkie rozwiązania od kilku dostawców do ujednoliconych wymagań.
W mniejszych firmach sytuacja wygląda różnie, chociaż ogólnie uważam, iż świadomość problematyki cyberbezpieczeństwa rośnie. Kluczową rolę odgrywa edukacja i budowa świadomości w zakresie cyberbezpieczeństwa. Raporty pokazują wzrost świadomości zagrożeń, ale również wzrost liczby ataków, co podkreśla potrzebę intensyfikacji działań edukacyjnych i uświadamiających. Trzeba pamiętać, iż usługi chmurowe, zwłaszcza dostarczane w modelu SaaS, są bardzo wdzięcznym celem ataków phishingowych.
Co jest najistotniejsze przy tworzeniu strategii cyberbezpieczeństwa?
Strategia cyberbezpieczeństwa musi uwzględniać specyfikę organizacji, musi wynikać z jej strategii biznesowej. Musi adresować te zagrożenia, które rzeczywiście są najważniejsze z punktu widzenia firmy. Strategia cyberbezpieczeństwa powinna uwzględniać nie tylko bieżący stan rzeczy, ale także zmiany, które nastąpią lub mogą nastąpić w organizacji i w jej otoczeniu w przeciągu najbliższych lat. Wreszcie strategia musi zapewniać zgodność z wymaganiami prawnymi i regulacyjnymi, które dotyczą naszej organizacji, adekwatnymi do obszaru jej działalności. Przykładem są tu wymagania krajowego systemu cyberbezpieczeństwa, wytyczne KNF, a z nowości – NIS2 i DORA.
A inne regulacje i standardy dotyczące zabezpieczenia środowisk chmurowych obowiązujące w Polsce?
Praktycznie każdą organizację dotyczą przepisy o ochronie danych osobowych zawarte w szczególności w RODO (Rozporządzenie o Ochronie Danych Osobowych). Przepisy te mają istotny wpływ na sposób przetwarzania danych w chmurze, między innymi z uwagi na formalne wymogi dotyczące powierzenia przetwarzania danych osobowych, zgodnie z art. 28 RODO. Wymaga on zawarcia w umowie powierzenia klauzul umożliwiających audytowanie dostawcy.
Innym przykładem wpływu RODO na usługi chmurowe jest kwestia lokalizacji przetwarzania danych – problemy zaczynają się w momencie, gdy dane przetwarzane są poza Europejskim Obszarem Gospodarczym. Pamiętajmy, iż dotyczy to nie tylko lokalizacji serwerów usługodawcy, ale także miejsca pracy konsultantów wspierających usługobiorców, którzy siłą rzeczy mogą mieć dostęp do przetwarzanych danych osobowych.
Kwestię należytej ochrony przetwarzanych danych regulują standardy branżowe, w tym wspomniane przeze mnie już wcześniej ISO/IEC 27017 i 27018. Ponadto jako materiał referencyjny stosuje się publikacje wydawane przez amerykański NIST. Warto również zwrócić uwagę na publikacje ENISA dotyczące chmury obliczeniowej.
Liczba cyberincydentów w Polsce wzrasta, co wykazał między innymi raport Vecto „Cyberbezpieczeństwo w polskich firmach 2023”. Jak można ten wzrost powstrzymać? Poprzez świadome zarządzanie cyberbezpieczeństwem, dostosowanie środków zabezpieczających do specyfiki organizacji, szkolenia, edukowanie i budowanie świadomości. Pamiętajmy o tym, iż bezpieczeństwo jest procesem, który musi uwzględniać zachodzące zmiany i dostosowywać się do nich. Z tego względu kluczowym zagadnieniem jest efektywne zarządzanie ryzykiem, w ramach którego możemy zidentyfikować rzeczywiste potrzeby organizacji w zakresie ochrony danych i infrastruktury informatycznej, a w dalszej kolejności podjęcie działania w celu ich spełnienia.
Świadome zarządzanie cyberbezpieczeństwem wiąże się nie tylko z doraźnymi działaniami, ale również z podejściem strategicznym uwzględniającym rozwój organizacji, ale również zmiany zachodzące w otoczeniu firmy, w tym w środowisku prawno-regulacyjnym. Pamiętajmy również o konieczności weryfikacji poprawności i skuteczności zabezpieczeń poprzez audyty i testy penetracyjne. Tu jedna uwaga – korzystając z usług chmurowych i chcąc przeprowadzić testy penetracyjne w ich zakresie, musimy upewnić się, czy dostawca usługi na to pozwala.
Jaki jest poziom wiedzy polskich przedsiębiorców na temat środowisk chmurowych hybrydowych i multicloud oraz zagrożeń z nimi związanych?
Nie dysponuję danymi z konkretnych badań dotyczących wiedzy polskich przedsiębiorców na temat środowisk hybrydowych i multicloud. Jednak, bazując na globalnych trendach, można pokusić się o stwierdzenie, iż również polskie firmy coraz częściej implementują rozwiązania chmurowe, w tym multicloud i hybrydowe. Niemniej jednak, pomimo rosnącego zastosowania chmur, często firmom brakuje odpowiednich kompetencji do zarządzania cyberbezpieczeństwem w tych środowiskach, co stwarza ryzyko niedostatecznej ochrony. Przykładowo, raport Cisco z 2023 roku wskazuje, iż coraz więcej organizacji korzysta z kilku chmur jednocześnie, ale brak spójności operacyjnej między nimi utrudnia bezpieczne zarządzanie dostępem do zasobów chmurowych.
Jakie techniki ataków są szczególnie skuteczne w środowiskach chmurowych hybrydowych i multicloud? Czy obserwuje się nowe metody wykorzystywane przez cyberprzestępców?
Atakujący często eksploatują słabości w konfiguracji takie jak niezabezpieczone interfejsy API czy brak silnych polityk uwierzytelniania. Jak już wcześniej wspominałem, sposób dostępu do wielu usług chmurowych szczególnie naraża je na ataki phishingowe, które stanowią bardzo poważne zagrożenie, zwłaszcza gdy ich ofiarą padają użytkownicy uprzywilejowani. Kluczem do obrony przed phishingiem jest budowa świadomości użytkowników, ciągła czujność, ale także rozwiązania techniczne blokujące dostęp do stron służących wyłudzeniu danych dostępowych.
Narzędzia lub strategie, które mogą wspomóc firmy w zabezpieczeniu ich środowisk chmurowych to?
Przede wszystkim trzeba zrozumieć charakter wykorzystywanej usługi, jej możliwości i ograniczenia. Powinniśmy zweryfikować, jakie zabezpieczenia są wliczone w usługę, które wymagają zakupu dodatkowych opcji lub muszą być zaimplementowane przez usługobiorcę we własnym zakresie. Przykładów takich zabezpieczeń jest mnóstwo, począwszy od kopii zapasowych, poprzez utwardzenie konfiguracji i ochronę antywirusową, aż po ochronę przed atakami DDoS (od red. distributed denial of service z ang. rozproszony atak zablokowania usługi) oraz monitorowanie i zarządzanie podatnościami.
Kluczowym problemem jest zabezpieczenie dostępu do usługi chmurowej, stąd zastosowanie wielopoziomowego uwierzytelniania (MFA) jest tutaj podstawą. I jeszcze jedno – konfiguracja usług chmurowych. Może się zdarzyć, iż domyślna konfiguracja nie zapewnia odpowiedniego poziomu bezpieczeństwa, na przykład z uwagi na możliwość dostępu do krytycznych funkcjonalności bezpośrednio z internetu. W takim przypadku niezbędne jest podjęcie działań w celu jej utwardzenia, zgodnie z wymaganiami bezpieczeństwa naszej organizacji.
Czy, biorąc pod uwagę potencjalne zagrożenia, warto stosować rozwiązania chmurowe hybrydowe i multicloud?
Rozwiązania chmurowe hybrydowe i multicloud oferują organizacjom znaczną elastyczność i skalowalność, co jest istotne dla rozwoju i adaptacji do zmieniających się warunków biznesowych. Ich stosowanie ma sens pod warunkiem utrzymania odpowiednich środków. Stosowanie tych rozwiązań może być korzystne, o ile zapewnia się im odpowiedni poziom ochrony. 
Czytaj też: Cyberbezpieczeństwo priorytetem polityki cyfrowej nowej władzy?
Czytaj też: Cyberbezpieczeństwo w czasie wojny – zagrożeni badacze i infrastruktura uczelni
Adam Gałach jest ekspertem ds. cyberbezpieczeństwa, prezesem zarządu Galach Consulting.
Źródło grafik: Microsoft Bing Image Creator
![Pod Bełchatowem wykopano pocisk. W drodze są saperzy, a policjanci pilnują znaleziska [FOTO]](https://storage.googleapis.com/patrykslezak-pbem/belchatow/articles/image/7e5ce98d-a627-46b4-a409-e702490c004f)
