Безпека хмарних технологій

В умовах, коли цифрова трансформація набуває все більшої ваги у глобальному бізнес-середовищі, особливо під впливом економічних викликів та пандемії, уряди країн не залишаються осторонь, адаптуючись до нових умов та збільшуючи свої інвестиції в модернізацію інфраструктури державного сектору. Це має на меті впровадження інноваційних послуг для кращого обслуговування громадян, їхнього користувацького досвіду (СХ) та підвищення операційної ефективності.

Хмарні технології стають ключовим елементом у досягненні цієї мети, пропонуючи значні переваги в СХ, оптимізації обробки даних, прийнятті рішень, економічній ефективності, продуктивності, масштабованості тощо. Втім, лише перехід на хмарні технології не здатен повною мірою вирішити питання безпеки та конфіденційності даних. Натомість розвиток технологій та хмарних рішень веде до зростання потенціалу загроз. Сьогодні, більше ніж коли-небудь, важливо забезпечити кваліфіковане управління та контроль за хмарними сервісами, зокрема високий рівень взаємодії між ІТ-фахівцями, експертами з управління ризиками та спеціалістами з кібербезпеки для ефективного протистояння сучасним загрозам і дотримання нормативних вимог.

Олексій Янковський —  партнер, керівник напряму консультаційних послуг у сфері цифровізації та кібербезпеки, KPMG в Україні +38-050-315-7995 ayankovski@kpmg.ua

Геннадій Резніченко —  заступник директора, напрям консультаційних послуг у сфері кібербезпеки, KPMG в Україні +38-050-444-75-25 greznichenko@kpmg.ua

• Урядові установи можуть зіштовхнутися з унікальними труднощами та перешкодами в сфері захисту своїх хмарних середовищ.
• Необхідність стратегічного підходу до використання хмарних технологій стала особливо очевидною після їх прискореного впровадження під час пандемії та повномасштабного вторгнення.
• Сьогодення вимагає від фахівців з безпеки переглянути традиційні підходи управління безпекою та захисту критично важливих активів, зокрема персональних даних громадян та конфіденційної державної інформації.
• Якщо організація ще не зробила необхідних кроків для безпеки власних хмарних рішень, вона створює умови для нових атак.

Держоргани у всьому світі давно визнали переваги, які хмарні технології пропонують для державних послуг та внутрішньої ІТ-інфраструктури. Наприклад, Великобританія у 2012 році започаткувала ініціативу G-Cloud для спрощення процесу закупівель хмарних технологій для державних організацій. Інші уряди наслідували цей приклад і досягли значних успіхів у використанні хмарних рішень. Однак, хоча деякі з країн активно просуваються вперед, загальний темп трансформації в багатьох випадках залишається помітно низьким. Це призводить до того, що можливості та якість послуг, які надає державний сектор, часто не дотягують до рівня, який пропонує приватний сектор.

Уряди зіштовхуються з унікальними завданнями, пов'язаними з нагальною потребою посилити безпеку, конфіденційність, захист даних та довіру громадськості в контексті нових технологій, як-от хмарні рішення. Водночас існує значна потреба у впровадженні та використанні можливостей хмар. Утім, якщо не впроваджувати їх виважено та послідовно, перехід до хмарних технологій може призвести до виникнення нових безпекових ризиків.

Фахівці KPMG в Україні надають підтримку клієнтам з державного сектору, допомагаючи їм досягати прогресу попри сучасні ризики, пов'язані з регулюванням, безпекою, довірою та дотриманням нормативно-правових вимог. Уряди повинні активно використовувати цифрові можливості, які сприяють наданню покращених державних послуг, ресурсів та загальної ефективності.

• Довіра до зовнішніх провайдерів

Для урядових організацій довіра до зовнішніх постачальників технологій є критично важливою. Саме вони, як правило, мають доступ до конфіденційних даних і документів, компрометація яких може підірвати довіру громадськості або становити загрозу національній безпеці. У багатьох випадках саме недовіра утримувала уряди від перенесення критично важливих даних у хмару.

• Функції та обов'язки

Для успішної міграції необхідне чітке розуміння розподілу обов'язків між організаціями та їхніми провайдерами хмарних послуг, зокрема щодо безпеки даних. Ініціативи з переходу на хмарні технології зазнають невдачі через брак чіткого розуміння обов'язків та розподілу відповідальності, а також через відсутність нових професійних знань і навичок, необхідних для використання можливостей хмарних технологій всередині організації.

• Цифровий суверенітет та резидентність даних

Багато країн прагнуть цифрового суверенітету, їхнє небажання віддавати інфраструктуру та дані зовнішнім хмарним сервісам лише посилилося через вплив пандемії на економічну стабільність, і геополітичну напруженість. Сьогодні провайдери хмарних технологій відкривають спеціалізовані центри обробки даних у все більшій кількості країн, щоб вирішити цю проблему. Крім того, діють такі ініціативи, як GAIA-X, пропозиція ЄС щодо створення наступного покоління інфраструктури даних для Європи: безпечної та федеративної екосистеми, яка підтримує цифровий суверенітет і водночас сприяє інноваціям. Наразі в цій ініціативі вже беруть участь понад 300 організацій, вона продовжує розвиватися.

• Регулювання

З нормативно-правової точки зору, Загальний регламент ЄС про захист даних (GDPR) встановлює високі стандарти конфіденційності даних для провайдерів хмарних послуг. Інші країни, зокрема Бразилія та Індія, наслідують цей приклад, приймаючи власні закони. Уряди різних країн запроваджують різні стандарти, що створює нові труднощі для провайдерів хмарних рішень.

Сьогодні хмарні технології стали мейнстрімом, а інноваційні хмарні сервіси, платформи та інфраструктура як ключові елементи нової цифрової економіки допомагають забезпечити високий рівень масштабованості, гнучкості та стійкості. Хмарні рішення допомагають розкрити потенціал органів державної влади, які прагнуть підвищити продуктивність праці, ефективність і знайти нові способи задовільнити очікування споживачів, що стрімко змінюються.

Багато організацій, зокрема органи державної влади, все ще перебувають на ранніх стадіях переходу до хмарної інфраструктури як послуги (IaaS), намагаючись вирішувати проблеми із застарілою архітектурою, відповідністю вимогам щодо конфіденційності даних та розподілом обов'язків між провайдерами хмарних послуг і організацією. Деякі структури можуть бути більш прогресивними та впроваджують все більш популярну нині платформу як послугу (PaaS).

Сьогодні майже кожна установа використовує хмарні програмні рішення як послугу (SaaS) для забезпечення стандартних офісних інструментів, онлайн-навчання, корпоративних платформ управління персоналом тощо.

Оскільки уряди все більше переходять на різні хмарні технології, фахівці з кібербезпеки занепокоєні зростаючою кількістю витончених спроб кібератак, які ставлять під загрозу корпоративну безпеку. З огляду на це, уряди обережно, а то й неохоче, переносять свої дані в хмару, зважаючи на чутливість деякої інформації та її національне значення. Важливо заздалегідь зрозуміти, які саме дані можна перенести у хмару. Деякі дані можуть бути надто чутливими і тому вони ніколи не повинні виходити за межі локальних центрів обробки даних. Втім, окрім цього, ще є низка ключових питань.

Чи є у вас проблеми з тіньовим ІТ? Якщо так, то ваша проблема з тіньовою хмарою може бути набагато серйознішою. Ваша команда ІТ-розробників забула про деякі засоби контролю безпеки для продукту/сервісу, який має бути запущений за тиждень? Ваша хмарна команда DevOps, ймовірно, планує випустити десятки нових продуктів/сервісів одночасно, і кожен з них потребує належного управління. Проблеми такого характеру часто виникають через хибне відчуття безпеки ваших хмарних сервісів.

Основні постачальники хмарних послуг пропонують надійний набір засобів контролю безпеки та кіберзахисту, які розроблені таким чином, щоб бути ефективнішими за типові засоби контролю мережі та застосунків. Але якщо ці засоби контролю не налаштовані належним чином і не пристосовані до ландшафту загроз і процесів безпеки організації, вони можуть виявитися неефективними. До того ж, якщо система управління безпекою не адаптується до зміни культури і мислення, яка приходить з впровадженням хмарних технологій і гнучких DevOps, то служба безпеки ризикує швидко втратити контроль над системою. Хибне відчуття безпеки в хмарі може дорого коштувати.

Які ключові кроки ви маєте зробити, щоб уникнути цих ризиків? Давайте почнемо з деяких керівних принципів, а потім поділимося деякими знаннями та висновками, які фахівці KPMG в Україні отримали, працюючи з клієнтами протягом всього їхнього переходу до хмарних технологій.

Історично склалося так, що ІТ-відділ відповідає за забезпечення інфраструктури, до появи хмарних технологій він був зосереджений на вирішенні проблем на місцях. Завданням служби безпеки є сканування цієї інфраструктури на предмет виявлення вразливостей, але часто вони не знають, що саме сканувати через відсутність можливості отримати оновлений список загроз від ІТ-спеціалістів. Управління інфраструктурою та пов'язаними з нею активами завжди було складним завданням, але в хмарі, де все відбувається швидше і мінливіше, залучення служби безпеки на ранніх стадіях та включення її в план забезпечення є складним завданням і проблемою для багатьох урядів.

Що стосується хмарних технологій, то служби безпеки державних органів здебільшого не готові до того, щоб допомогти бізнесу, ані з точки зору навичок, ані професіоналізму. У хмарі пріоритетом є захист інформації. Ми все більше і більше виявляємо, що спосіб розгортання даних у хмарі часто не завжди є відмовостійким. Ми маємо на увазі не просто наявність декількох зон доступності, а здатність відновити критичні дані в разі серйозного збою.

Ми також можемо бачити два табори, які, здавалося б, працюють на протилежних кінцях спектру безпеки. З одного боку — практики старої школи, які працюють в архітектурі безпеки 20 років або більше, проте ще не повністю адаптувалися до життя в хмарі. З іншого боку, у вас є ультрасучасні фахівці з безпеки, які повністю використовують сучасні технології, намагаються просувати і підтримувати хмарне мислення, щоб система безпеки могла бути впроваджена продумано і в потрібному масштабі. Оскільки уряди продовжують міграцію до хмарних технологій, об'єднання зусиль цих груп є пріоритетним завданням.

Не лише гроші приваблюють фахівців з хмарних технологій, але й культура. Потенційні співробітники повинні розуміти, що вони йдуть працювати не в інертну, схильну до надмірних ризиків, мляву організацію. Створення культури, відкритої до інновацій та експериментів, може стати запорукою залучення нових творчих особистостей.

Сформуйте розуміння того, якими даними ви володієте, які з них доцільно зберігати офлайн, а які онлайн, і після цього впровадьте засоби контролю, які допоможуть забезпечити правильну класифікацію та зберігання таких даних. Уряди більше, ніж будь-які інші організації, зберігають дуже чутливі дані. Якщо вони потраплять в чужі руки, то це може зашкодити національній безпеці.

Дайте зрозуміти, що ви можете швидко будувати, швидко ламати, а потім знову будувати, спираючись на отриманий досвід. Більшість організацій вже довели, наскільки швидко вони можуть реагувати у відповідь на пандемію, тож зараз саме час втілити отриманий досвід у звичайному бізнес-процесі. Забезпечення безпеки може сприяти успіху завдяки поетапному впровадженню заходів. Наприклад, впроваджуйте нову стратегію захисту своїх віртуальних середовищ поетапно, щоб забезпечити швидкий розвиток бізнесу.

Це допоможе підвищити її ефективність як для клієнтів, так і для користувачів. Впроваджуйте засоби безпеки — знову ж таки, невеликими частинами — якомога раніше, на початку процесу. Ви можете допомогти зробити це, надавши розробникам можливість жорстко програмувати необхідні заходи безпеки без участі фахівців з безпеки, що може полегшити хмарне середовище.

Допоможіть організації зрозуміти зв'язок між розширенням можливостей бізнесу, його стійкістю та захистом інформації. Це не надто відрізняється від того, як ви робите це локально, але все може бути дещо інакше, коли у вас є критичні дані в хмарі. Зробивши це частиною своєї культури, ви зможете заглушити «шум» в операційній діяльності, щоб зосередитися на більш важливих пріоритетах безпеки.

Вміння читати і писати код може заслужити вам повагу інженерів DevOps. Нам все частіше будуть потрібні фахівці з безпеки, які вміють писати код, оскільки ми продовжуємо відходити від традиційної ролі в архітектурі безпеки, яка полягає у створенні діаграм і передачі їх розробнику рішення або схеми, яка потім переходить до інженера для створення фізичної інфраструктури.

Ми також виявили кілька типових проблем безпеки, з якими зіштовхуються наші клієнти при міграції в хмару. Деякі з них не обов'язково є новими, але вони загострилися у зв'язку зі стрімким переходом на цифрові технології та адаптацією до нової реальності. Зараз ми розглянемо три з цих постійних проблем.

Хмарна електронна пошта, зокрема Microsoft Office 365, допомогла змінити підхід до впровадження поштових сервісів в організаціях, пропонуючи таку необхідну гнучкість в умовах сьогоднішніх порушень функціонування. Для співробітників вона є легкодоступною, не потребує оновлень і легко масштабується. Втім, зручність електронної пошти має свою ціну: доступ до неї також зручний для сучасних винахідливих хакерів.

Той факт, що зловмисникам потрібні лише облікові дані, щоб скомпрометувати поштові скриньки, призвів до масштабних атак на ділову електронну пошту (BEC). Після компрометації одного облікового запису електронної пошти за допомогою веб-сайтів для збору облікових даних, наповнення облікових даних або крадіжки паролів зловмисники можуть скористатися довірливими стосунками між колегами та партнерами у ланцюжку поставок для того, щоб зібрати додаткові облікові дані або здійснити незаконні транзакції. 

Ми рекомендуємо бути пильними, оскільки зловмисники стали надзвичайно креативними, використовуючи правила поштових скриньок і скриптовий пошук, щоб спростити процес пошуку нових цілей і використання можливостей.

Організація, на яку націлився хакер, користувалася послугами провайдера. Співробітник провайдера ввів пароль своєї електронної пошти на фішинговому сайті для збору облікових даних, що дозволило хакеру скомпрометувати обліковий запис електронної пошти і надіслати електронного листа до відділу кредиторської заборгованості цільової організації, повідомивши про зміну банківських реквізитів провайдера. Оскільки лист було надіслано з домену постачальника, а адреса електронної пошти була знайомою, організація-жертва не мала сумнівів у «зміні рахунку». Як наслідок, цільова організація переказала гроші на банківський рахунок, підконтрольний зловмисникам. Кошти так і не були повернуті.

Найпопулярніші хмарні сервіси для електронної пошти пропонують рішення з набором функцій автентифікації та моніторингу в якості додатків, які можуть допомогти службам безпеки протидіяти зловмисникам. Правила моніторингу можуть ефективно виявляти зловмисну активність, однак їх слід ретельно контролювати, щоб зменшити кількість хибних спрацьовувань.

• Увімкніть багатофакторну автентифікацію (MFA). MFA вимагає від зловмисника комбінації двох або більше автентифікаторів для входу в систему. Пам'ятайте, що деякі складні атаки запитують поточний код токена для входу на підроблений вебсайт, який одразу ж використовується для входу у справжній обліковий запис Microsoft Office 365.
• Застосовуйте обмеження і на основі IP-адреси для доступу до хмарних поштових сервісів. Ми бачимо, що клієнти, які впроваджують обмеження на основі IP-адреси, набагато менше страждають від компрометації, пов'язаної з електронною поштою. Другий варіант — дозволити доступ до електронної пошти лише з мережі організації. Це позбавляє переваг глобального доступу до електронної пошти, але може допомогти знизити ризики.
• Налаштуйте, відстежуйте та реагуйте на сповіщення про підозрілу активність. Це можуть бути сповіщення про неможливість доступу (коли користувач входить у систему з двох географічних зон упродовж часу, що не може бути можливим); нові правила вхідних повідомлень, створені в обліковому записі користувача; а також надмірна кількість невдалих входів, що вказує на потенційну спробу підбору паролів.

Віднедавна ми спостерігаємо зростання кількості тіньових хмарних рішень, характерними рисами яких часто є відсутність належного контролю безпеки та недостатня інтеграція з процесами безпеки та моніторингу, які використовує легітимна ІТ-служба. Такі рішення зазвичай підвищують ризик витоку даних, інформації, що ідентифікує особу, та інтелектуальної власності.

Тіньові хмарні рішення викликали занепокоєння щодо безпеки ще до пандемії, але вимушена і руйнівна зміна моделей роботи та швидкі зміни інфраструктури під час COVID-19 прискорили їхню появу. В тих організаціях, чиї підрозділи з безпеки та технологій не поспішали впроваджувати засоби взаємодії для підтримки віддаленої роботи, підрозділи та окремі працівники звернулися до хмарних рішень для забезпечення взаємодії, зберігання даних і безперервної продуктивності праці.

Ці програми можуть бути не захищені багатофакторною автентифікацією або жорсткими політиками щодо паролів, а також не відповідати вимогам щодо локалізації та зберігання даних. Вони можуть становити як ризики для безпеки, так і регуляторні ризики. Наприклад, співробітники, які працюють у Європі, можуть не знати, що застосунок, яким вони користуються, передає незашифровану персональну інформацію (PII) до неєвропейських центрів обробки даних, що може призвести до недотримання Загального регламенту захисту даних (GDPR). Більше того, багато урядових організацій мають суворі внутрішні політики, які гарантують, що їхні дані залишатимуться в країні. Тому ми вважаємо, що настав час забезпечити управління цими послугами та їх моніторинг фахівцями з ІТ та управління ризиками, які розуміють відповідні загрози та нормативно-правові вимоги, яким вони повинні відповідати.

Коли організації запровадять ефективний нагляд та управління хмарними технологіями, співробітники та зацікавлені сторони, швидше за все, будуть відмовлятися від розгортання тіньових хмарних рішень. 

1. Врахуйте проблематику тіньових хмарних рішень у своїх політиках та стандартах для працівників. Ймовірно, недостатньо просто заборонити використання хмарних рішень без дозволу служби безпеки. Ми рекомендуємо призначити керівників відповідальними за контроль тіньових хмарних рішень та впровадити чіткі протоколи та дисциплінарні заходи за необхідності.
2. Розгляньте можливість блокування доступу до несанкціонованих хмарних застосунків. Якщо хмарний обмін файлами дозволений, ми рекомендуємо зупинитися на одній платформі та контролювати її використання. Ми також рекомендуємо запровадити списки дозволів, що включають сайти або платформи, до яких дозволено доступ, і заблокувати всі інші, що не були схвалені.
3. Запропонуйте користувачам необхідній їм функціонал на основі легітимних корпоративних рішень. Важливо розуміти, чому користувачі можуть захотіти «схитрити» використовуючи нелегітимні рішення. Якщо працівникам важко організувати свою роботу, співпрацювати або надавати послуги за допомогою старої архітектури, швидке розгортання хмари може стати розумним рішенням. Саме швидке та ефективне задоволення таких запитів може потенційно заманювати користувачів «в тінь».
4. Деякі хмарні сервіси є безкоштовними або несуть мінімальні витрати для працівників, інші можуть коштувати тисячі на рік. Ми рекомендуємо не сприяти використанню тіньових хмарних сервісів, ретельно контролюючи звіти про витрати та рахунки, що підлягають оплаті таким сервісам. Хоча це не обмежує використання безкоштовних хмарних рішень, розгортання тіньових хмар для великих проєктів, найімовірніше, потребуватиме забезпечення легітимності та фінансування. Пильно стежте за тим, чи є придбані ліцензії приватними чи корпоративними. Моніторинг придбання ліцензій може допомогти організаціям уникнути можливих штрафів або проблем з дотриманням нормативних вимог, пов'язаних з використанням ліцензій неправильного типу.

Коли організації переносять свої дані у хмару, служби безпеки часто відчувають полегшення завдяки наявності широкого спектру інструментів моніторингу безпеки, що входять до стандартного набору. Це правильний підхід, але процедури реагування на інциденти можуть потребувати адаптації, щоб бути більш ефективними в хмарі.

Швидкість відіграє важливу роль. Методи реагування на інциденти в хмарі можуть відрізнятися, тож служби безпеки повинні знати, як їх адаптувати для ефективної роботи.

Хакер отримав доступ до хмарного рішення для обліку клієнтів, зламавши пароль адміністратора. За допомогою автоматизованого скрипта він витягнув великі обсяги даних клієнтів. Інструменти моніторингу безпеки, які пропонує хмарний провайдер, виявили різкий стрибок трафіку і оперативно передали його на розгляд службі безпеки. Але оскільки дані були вилучені дуже швидко через хмарне з'єднання, аналітик операційного центру безпеки (SOC) не зміг вчасно термінувати атаку.

Стрес-тестування: Ми рекомендуємо провести стрес-тестування своїх сценаріїв реагування на інциденти, щоб переконатися, що вони ефективно працюють для хмарних рішень. Ви можете співпрацювати з так званими червоними командами (фахівцями, що спеціалізуються на проведені контрольованих атак або симуляцій кібератак проти систем), щоб змоделювати різні типи порушень, які потребують реагування вашої служби безпеки, і допомогти визначити, як перехоплювати атаки та ізолювати їх на ранніх стадіях.

Автоматизація: У разі сумнівів щодо швидкості реагування на інциденти в хмарних застосунках, ви можете автоматизувати ранні етапи реагування за допомогою інструментів автоматизації та реагування на інциденти безпеки (SOAR), а також налаштувати свої засоби виявлення на ранні ознаки компрометації систем.

Поза межами команди безпеки: Деякі з найефективніших індикаторів порушень безпеки можуть бути отримані поза межами команди безпеки. Ви можете співпрацювати з відділами управління послугами, протидії шахрайству та управління персоналом, щоб зрозуміти, як виглядають атаки на ранніх стадіях, та як мислять зловмисники. Чим більше часу ви зможете виділити першій лінії захисту для реагування, тим краще.

У сучасних умовах протидія загрозам може вимагати від служб безпеки виходити далеко за межі ручного управління системами та налаштуваннями, перевірки доступу та сценаріїв реагування на інциденти. Заходи із запобігання та виявлення хмарних кібератак мають бути послідовними та безперервними, з використанням аналітики даних про шахрайство для ідентифікації та моніторингу активів, виявлення підозрілих дій та відстеження ланцюжків атак, що розгортаються. Модель спільної відповідальності повинна бути зрозумілою та узгодженою між органами державної влади та провайдерами хмарних технологій. Якщо вашій організації бракує навичок для досягнення цього, персонал повинен пройти відповідне навчання. Коли події переростають в інциденти, швидше за все, не SOC-аналітики отримуватимуть сповіщення від інструментів управління інцидентами та подіями безпеки (SIEM), а автоматизовані і організовані протоколи локалізації та ліквідації інцидентів, які непомітно працюватимуть у фоновому режимі для захисту від кібератак.

Фахівці напрямку консультаційних послуг у сфері цифровізації та кібербезпеки KPMG в Україні пропонують комплексний підхід до оцінки ризиків, спрямований на забезпечення безпеки на кожному рівні вашої організації. Це дозволяє прогнозувати розвиток майбутніх подій, рухатися швидше та отримувати перевагу завдяки безпечним та надійним технологіям.

Незалежно від того, на якому етапі розвитку кібербезпеки ви перебуваєте, фахівці KPMG в Україні готові надати підтримку на кожному рівні — від вищого керівництва до ІТ-департаменту. Разом з оцінкою кібербезпеки та адаптацією її до пріоритетів вашої організації, ми можемо допомогти вам розробити прогресивні рішення, втілити їх у життя, відстежувати поточні ризики та ефективно реагувати на кіберінциденти.

Фахівці напрямку консультаційних послуг у сфері цифровізації та кібербезпеки KPMG в Україні мають глибоке розуміння роботи органів державної влади та комплексно поєднують практичний досвід зі знаннями, отриманими з нашої глобальної мережі. Ми розуміємо актуальні тенденції та можливі майбутні виклики в економіці й бізнесі, чи то збої, можливості чи інновації.

KPMG в Україні пропонує унікальне поєднання технічної експертизи, глибокого розуміння державного сектору та креативу професіоналів. Ми готові допомогти вам у розробці, створенні та налаштуванні засобів контролю і процесів безпеки хмарних технологій нового покоління, а також підготувати вашу організацію до впевненого управління хмарною інфраструктурою.

Разом ми створимо цифрове середовище, якому можна довіряти та яке дозволить вам розширити горизонти можливостей.

Олексій Янковський —  партнер, керівник напряму консультаційних послуг у сфері цифровізації та кібербезпеки, KPMG в Україні +38-050-315-7995 ayankovski@kpmg.ua

Геннадій Резніченко —  заступник директора, напрям консультаційних послуг у сфері кібербезпеки, KPMG в Україні +38-050-444-75-25 greznichenko@kpmg.ua