Bezpečnosť v cudzích rukách: Spoločnosti stále podceňujú riziká prichádzajúce od tretích strán

Podľa prieskumu Kaspersky Lab až 47 % podnikov utrpelo stratu či únik údajov v dôsledku incidentu, ktorý zasiahol infraštruktúru dodávateľa IT služieb. Napriek častokrát obrovským škodám, riziká prichádzajúce od tretích strán podceňuje stále väčšina firiem.

Najmä cloudové služby sú stále populárnejšie, pretože poskytujú firmám dátový priestor a prístup k informáciám kedykoľvek a odkiaľkoľvek. Až 78 % podnikov v súčasnosti aktívne využíva aspoň jednu z tzv. SaaS (softvér-ako-služba) platforiem. Z prieskumu ďalej vyplynulo, že takmer rovnaký počet – tri štvrtiny podnikov (75 %) plánujú v blízkej budúcnosti presunúť do cloudu viac aplikácií. Pokiaľ ide o model založený na IaaS (infraštruktúra-ako-služba), v súčasnosti sa už takmer polovica (49 %) veľkých podnikov a 45 % malých a stredných firiem snaží outsourcovať IT infraštruktúru a procesy od externých dodávateľov, teda tretích strán.

Prieskum bezpečnostnej spoločnosti ukázal že 7 z 10 podnikov využívajúcich služby poskytovateľov SaaS a cloudových modelov nemá žiadnu bezpečnostnú stratégiu pre prípady incidentov, ktoré by ich mohli zasiahnuť práve cez týchto dodávateľov. Štvrtina sa dokonca priznala, že v ich obchodnom vzťahu nemá dodávateľ jasne špecifikovanú mieru zodpovednosti v prípade incidentu.

V prípade incidentov pochádzajúcich od tretích strán boli najčastejšie zasiahnuté tri typy údajov. Citlivé informácie o zákazníkoch (49 % u SMB spoločností, 40 % u veľkých spoločností), informácie o zamestnancoch (35 % u SMB spoločností, 36 % v prípade veľkých spoločností) a emailová a interná komunikácia (31 % u SMB spoločností a 35 % u veľkých spoločností).

Preto je dôležité, aby spoločnosti mali pod kontrolou všetky dáta, ktoré putujú na externé úložiska a ktoré sa ocitnú v rukách tretích strán, a mali by mať zavedené účinné bezpečnostné stratégie. Čo to znamená a ako znížiť riziko od tretej strany? Pri výbere poskytovateľa klaďte dôraz na tieto štyri veci:

  1. Vyberte si kvalitného dodávateľa

Základnou orientačnou pomôckou môže byť certifikácia ISO pre cloudové služby a fakt, či je spoločnosť registrovaná aspoň v niektorých medzinárodných organizáciách, združujúcich poskytovateľov cloudu, napríklad Cloud Security Alliance, Cloud Computing Association a podobných.

  1. Nepodceňujte zmluvu

Zmluva by jasne mala definovať rozsah a formu kupovaného cloudu, technickú podporu, zodpovednosť za bezpečnostné incidenty, spôsob ich riešenia, finančné záväzky a jednoznačne stanovené  povinnosti v súvislosti s GDPR. Rozhodne ju nepodceňujte.

  1. Overte si bezpečnosť

Seriózni poskytovatelia si nechávajú  pravidelne robiť penetračné testy (teda interným alebo externým spôsobom overujú simulovanými útokmi bezpečnosť svojho riešenia). Tie majú častokrát štandardizovanú formu a výsledkom je certifikačný protokol. Spýtajte sa naň.

  1. Nepresúvajte zodpovednosť iba na dodávateľa

Ak si nakúpite cloudové služby u serióznej spoločnosti a váš vnútorný softvér je plný bezpečnostných dier, dáta v bezpečí byť nemusia, najmä ak cloud využívate v podobe infraštruktúry s vlastnými aplikáciami.  Ak sú aplikácie zle zabezpečené,  môžete o dáta ľahko prísť. V tomto prípade nemožno vinu zvaľovať na dodávateľa cloudu, ktorý je navyše pre takéto prípady takmer vždy chránený zmluvou, jasne špecifikujúcou mieru zodpovednosti oboch strán.