/ 2021-09-15

Pārcelšanās uz mākoni. Kādi ir Tava uzņēmuma drošības standarti?

Pandēmijas laiks ar attālināto darbu ir bijis grūdiens tam, lai uzņēmumi sāktu aktīvi izmantot mākoņpakalpojumus. Lielākās izmaiņas šajā jomā ir notikušas tieši mazo un vidējo uzņēmumu (MVU) vidū. Ja pirms trim gadiem 4 no 10 MVU izvēlējās palikt pie fiziskās datu glabāšanas infrastruktūras, tad šobrīd jau 9 no 10 uzņēmumiem veiksmīgi izmanto mākoņpakalpojumus, liecina globālās kiberdrošības firmas “ESET” dati. Neskatoties uz šo tendenci, jautājums, vai glabāt mākonī uzņēmuma informāciju ir patiešām droši, joprojām ir izteikti aktuāls.

 

Nav pārsteigums, ka uzņēmumi atsakās no fiziskās datu glabāšanas un pārvaldības infrastruktūras un pāriet uz dažādām tiešsaistes datu glabāšanas platformām jeb mākoņpakalpojumiem. Mēs, Atea, esam novērojuši, ka uzņēmumi Latvijā arvien vairāk novērtē tiešsaistes platformu ērtības un papildu ieguvumus: iespēju jebkurā laikā un no jebkuras vietas ērti piekļūt nepieciešamajai informācijai to koplietojot, rediģējot un saglabājot sev aktuālā ierīcē, un šāda elastība viennozīmīgi palielina arī uzņēmuma konkurētspēju.

Mākoņpakalpojumi ir īpaši pievilcīgi mazajiem un vidējiem uzņēmumiem, jo ​​tiem nav nepieciešami lieli sākotnējie ieguldījumi iekārtu un licencēšanas jomā, vienlaikus samazinot aprīkojuma uzturēšanas izmaksas. Tie ir arī rentablāki, jo nodrošina elastību, t.i., uzņēmumi maksā tikai par periodu, kurā tie izmanto datu glabāšanas pakalpojumus. Tas ir svarīgi ne tikai augošam vai mainīgam biznesam, bet arī strādājot ar resursu ietilpīgiem projektiem vai veicot darbības sezonāli. Interesanti, ka arvien vairāk uzņēmumu izvēlas pārcelt uz mākoni arī savas galvenās lietojumprogrammas, piemēram, grāmatvedības, pārdošanas vai ražošanas programmatūru, dažādu failu glabāšanas un koplietošanas rīkus. Tas apstiprina faktu, ka mākoņpakalpojumi nebūs vien pandēmijas “parādība”, bet to ieguvumi tiks novērtēti arī pēc pandēmijas, kad liela daļa uzņēmumu atsāks strādāt klātienē.

 

Vai mākonis ir patiešām drošs?

Tiešsaistes datu glabāšanas platformas parasti ir drošākas nekā fiziskā infrastruktūra, kas tiek turēta uzņēmumā. Tomēr, lai cik strauji attīstītos tehnoloģijas un dažādi drošības risinājumi, vislielākā drošības problēma joprojām ir cilvēka kļūda jeb nezināšana.

Parasti tieši lietotāji jeb darbinieki ielaiž kaitīgas programmas savās sistēmās, atverot fiktīvus e-pastus, izmantojot nedrošas paroles vai pavirši uzglabājot savas iekārtas, piemēram, nenobloķējot ierīces ekrānu laikā, kad to nelieto, vai atstājot ierīci, kur tā var viegli būt pieejama citām personām. Uzņēmumi, kas izvēlas mākoņrisinājumus, vēlas vieglāku piekļuvi datiem un koplietošanu uzņēmumā, taču vairumā gadījumu darbinieki pievērš mazāku uzmanību papildus riska faktoriem.

Kā uzsver “ESET” IT Inženieris Egils Rupenheits: uzņēmumiem jāņem vērā fakts,  ka pastāv daži ļaunprātīgi programmatūru veidi, kas var iefiltrēties mākoņu platformā, kurā glabājas uzņēmuma dati. Tā kā liela daļa uzņēmumu pāriet uz pakalpojumu “Microsoft 365”, kurā vienuviet ir pieejamas visas pazīstamās “Office” programmas, ir novērojams jauns uzbrukuma veids – “Azure” programmas. Uzbrucēji izveido, maskē un instalē ļaundabīgas “Azure” programmas, kuras vēlāk var izmantot dažādiem krāpšanas mērķiem, piemēram, piekļūt upuru datiem, uzņēmuma vārdā var rakstīt un sūtīt e-pastus. Būtiski – “Azure” programmām nav nepieciešams izpildāmais kods konkrētam lietotāja datoram, t.i., ļaunprogrammas darbosies bez lietotāja akcepta un zināšanas. Tas arī nozīmē, ka pretvīrusu programmas, kuru mērķis ir atklāt šādas ļaunprogrammas, tiks apietas. “Azure” ļaunprogrammas mākoņa platformā instalē paši lietotāji to pat nepamanot – lietotājiem nav jāveic piekrišana vai citas darbības. Šajā gadījumā kiberuzbrukuma panākumi ir atkarīgi arī no cilvēciskām kļūdām un nezināšanas.

Kopumā pandēmijas laiks ar attālināto darbu ir aktivizējis kiberuzbrucējus, kuri šajā laikā saskata plašākas iespējas dažādiem kiberuzbrukumiem. Saskaņā ar mūsu partnera “ESET” datiem, pandēmijas laikā gan pasaulē, gan Latvijā biežākie kiberdraudi ir saistīti ar uzbrukumiem attālajām darbvirsmām.

 

Uzmanība pret detaļām pastiprina drošību

Datu un programmu pieejamība mākonī jebkurā laikā un jebkurā vietā rada gan milzu priekšrocības, gan arī papildu atbildību par drošību. Uzņēmumi arvien biežāk piedzīvo finansiālus un tehniskus zaudējumus kiberuzbrukumu rezultātā, nemaz nerunājot par reputāciju. Attālināts darbs un arvien pieaugošie ārējie un iekšējie IT draudi nozīmē, ka uzņēmumiem nav citas izvēles, kā tikai ieguldīt augstākos drošības standartos. Viens no efektīvākajiem līdzekļiem mākoņa datu drošības nodrošināšanai ir modernas pretvīrusu sistēmas uzstādīšana, kuru var integrēt ar mākoņa risinājumiem. Tāpat ir vērts apsvērt papildu surogātpasta un ugunsmūra risinājumus, kā arī iespēju centralizēti pārvaldīt kompleksus drošības un rezerves kopiju risinājumus.

Uzņēmumi var izvēlēties arī papildu drošības pasākumus. Mākonī glabātos datus var kodēt, lai to piekļuvei būtu nepieciešams īpašs kods. Tas ļauj nodrošināt to, ka tikai konkrētas personas var iegūt šos kodus un piekļūt datiem. Vēl viena iespēja ir piešķirt piekļuves atļaujas tikai ar noteiktām ierīcēm, taču tas, protams, ir mazāk ērti, jo darbiniekam ne vienmēr var būt “pie rokas”, piemēram, konkrētais dators no kura piekļuve ir atļauta.

Tāpat uzņēmumiem ieteicams izveidot procedūras, kas nosaka to, kā darbinieki var izmantot dažādas piekļuves un ierīces, kā jāuzglabā konfidenciāli dati un paroles un jāievēro drošības prasības. Tas paaugstinās iespējas izvairīties no cilvēciskām kļūdām vai nezināšanas, ko savā labā aktīvi izmanto kibernoziedznieki. Ne mazāk nozīmīgi ir apsvērt drošu lietotāju autentifikāciju, izmantojot pietiekami sarežģītas paroles un papildu identitātes apstiprināšanu.

Atea aicina uzņēmumu vadītājus ņemt vērā savu darbinieku IT prasmes un organizēt atbilstošas apmācības, kurās darbinieki var iepazīties ar mākoņpakalpojumu un citu tehnoloģiju drošu izmantošanu. Būt informētiem par kibernoziedznieku populārākajām metodēm jau sen vairs nav tikai IT speciālistu uzdevums. Tas, ka darbiniekiem trūkst šādu pamatzināšanu, ir izskaidrojums tam, kādēļ e-pasts joprojām ir viens no populārākajiem uzbrukumu mērķiem, kā rezultātā tiek instalētas dažādas ļaundabīgas lietojumprogrammas.