Με τις συνθήκες ασφαλείας που επικρατούν στο cloud computing στην Ελλάδα ασχολήθηκε μεγάλη έρευνα της Pylones Hellas σε συνεργασία με το τμήμα Ψηφιακών Συστημάτων του Πανεπιστημίου Πειραιά (ΠΑ.ΠΕΙ.), και τον καθηγητή Χρήστο Ξενάκη.
Η έρευνα διενεργήθηκε το χρονικό διάστημα Ιουλίου-Σεπτεμβρίου 2020 μεταξύ υψηλόβαθμων στελεχών εταιρειών, στελεχών από τμήματα μηχανογράφησης και ψηφιακής ασφάλειας, αλλά και υπεύθυνων προμηθειών.
Στόχος της έρευνας “The State of Cloud Security 2020” ήταν να εκτιμηθεί το μεταβαλλόμενο αίσθημα ασφάλειας σχετικά με το cloud computing και να γίνουν πιο κατανοητές στους αρμόδιους και υπεύθυνους ΙΤ, οι συνθήκες, οι λόγοι, αλλά και οι κίνδυνοι, που σχετίζονται με την εργασία και την ασφάλεια στο cloud. Οι υπηρεσίες cloud επιτρέπουν στους τελικούς χρήστες, αλλά και σε μικρές επιχειρήσεις μέχρι και μεγάλους οργανισμούς να αυξήσουν την ευελιξία και να επιταχύνουν τις διαδικασίες τους μειώνοντας ταυτόχρονα το κόστος.
“Το χρονικό διάστημα της πανδημίας Covid-19, πολλές επιχειρήσεις και τελικοί χρήστες στράφηκαν σε υπηρεσίες cloud και τεχνολογίες secure remote access για να συνεχίσουν να εργάζονται απομακρυσμένα. Ωστόσο, δεν λείπουν οι ανησυχίες σχετικά με την αποθήκευση, το απόρρητο αλλά και την ασφάλεια των δεδομένων, αφού υπάρχουν προκλήσεις ασφάλειας στον κυβερνοχώρο. Ποιοι είναι στην πράξη οι υπεύθυνοι για την ασφάλεια; Πόσο καλά γνωρίζουμε τους κινδύνους στο Cloud; Ποιες είναι οι μεγαλύτερες απειλές απέναντι σε αυτό που προσδιορίζουμε Cyber Security;” ο κ. Εμμανουήλ Νέτος, Γενικός Διευθυντής της Pylones Hellas θέτει τα βασικά ερωτήματα που απασχόλησαν την έρευνα. Ποια ήταν όμως, βάσει των εκατοντάδων συμμετοχών επαγγελματιών ΙΤ, τα συμπεράσματα;
To profile των συμμετεχόντων
Στην έρευνα συμμετείχαν πάνω από 350 επαγγελματίες και στελέχη της πληροφορικής. Το 67,06%των συμμετεχόντων συνολικά ασχολείται σε καίρια θέση του κλάδου του ΙΤ, με το 27,84% να δηλώνει ότι ασχολείται με τον τομέα του ITsecurity επαγγελματικά, ενώ το 13,47% βρίσκεται στον τομέα του IT Networking. Το 25,75% απασχολείται σε άλλους κλάδους του ΙΤ. Όσoν αφορά στο επίπεδο γνώσεων με το αντικείμενο της ψηφιακής ασφάλειας, το 53,89% των συμμετεχόντων κατέχουν μεταπτυχιακό/διδακτορικό επίπεδο γνώσεων στο ΙΤ. Αξιοσημείωτο επίσης ότι πάνω από το 57% το ερωτώμενων απασχολείται κυρίως σε μεγάλες & μεσαίες επιχειρήσεις ενώ ένα 20% σε μικρομεσαίες επιχειρήσεις.
Απειλές και κίνδυνοι
Το πιο σημαντικό συμπέρασμα της έρευνας, είναι ότι οι απειλές και οι κίνδυνοι στο Διαδίκτυο μας αφορούν όλους! Εκεί καταλήγουμε αν αναλογιστούμε ότι το 37,54% των συμμετεχόντων έχει ήδη αντιμετωπίσει κυβερνο-απειλή ή παραβίαση ασφάλειας στον κυβερνοχώρο χωρίς σοβαρά προβλήματα. Ωστόσο το 10,81% δήλωσε πως είχε σοβαρές συνέπειες από cyber attacks στα συστήματα ή στα δεδομένα του.
Είναι αξιοσημείωτο ότι οι τύποι απειλών και κινδύνων είναι αρκετοί και προκαλούν μάλιστα τον ίδιο βαθμό ανησυχίας στους υπευθύνους ασφάλειας. Είναι χαρακτηριστικό ότι στον προβληματισμό για τον ποιον θεωρούν τον μεγαλύτερο κίνδυνο που τους απασχολεί, οι απαντήσεις ήταν ποικίλες και τα ποσοστά ισοβαρή! Πιο συγκεκριμένα, η παραβίαση λογαριασμών, υπηρεσιών και δεδομένων, τα phishing attacks, malware (viruses, worms, Trojans, ransomware) βρίσκονται στην ίδια κλίμακα ανησυχίας για τους επαγγελματίες του κλάδου της πληροφορικής. Στο σημείο αυτό θα πρέπει να τονισθεί ότι στην ίδια κλίμακα – σύμφωνα με τις απαντήσεις – βρίσκονται και οι κακόβουλοι ή απρόσεκτοι εργαζόμενοι, γεγονός που είναι ιδιαίτερα ανησυχητικό, καθώς από ένα απλό λάθος μπορεί να προκληθεί μεγάλη ζημιά.
Από εκεί και πέρα, οι ψηφιακές απειλές είναι συγκεκριμένες και τόσο οι αρμόδιες εταιρείες όσο και οι υπεύθυνοι ΙΤ εστιάζουν ως προς την άμυνα και την ασφάλεια. Είναι όμως έτσι; Καθώς το 48,20% των ερωτηθέντων, θεωρεί ότι μεγαλύτερο εμπόδιο ως προς την προστασία από κυβερνο-επιθέσεις, είναι η άγνοια κινδύνου και η αδιαφορία των υπευθύνων καθώς και αυτών που λαμβάνουν τις αποφάσεις. Επιπρόσθετα σε αυτόν τον προβληματισμό, οδηγεί και το ποσοστό του 29,38% βάσει του οποίου, δεν είναι δυνατή η σωστή αντιμετώπιση των απειλών λόγω έλλειψης πόρων ή υποδομών.
Αλληλένδετα με το συμπέρασμα των προβλημάτων, της άγνοιας και της έλλειψης πόρων, τα στελέχη που ρωτήθηκαν, καταλήγουν στο συμπέρασμα ότι πρωταρχικό μέτρο που πρέπει να παρθεί, είναι η εκπαίδευση (ΙΤ security awareness training) σε ποσοστό που φθάνει στο 26,28%. Αντίστοιχα ακολουθούν οι προτάσεις για μεγαλύτερες επενδύσεις στο Network & Firewall protection25.38%. και Cloud security 19.64%.
Ποια είναι η σχέση των χρηστών με το cloud
Με την παρούσα συγκυρία της πανδημίας, το cloud φαίνεται να έχει μπει στην καθημερινότητα πολλών χρηστών και εταιρειών. Αυτό δείχνει άλλωστε και το μεγάλο ποσοστό της τάξεως 87,5% των ερωτηθέντων, το οποίο δήλωσε ότι χρησιμοποιεί κάποιας μορφής υπηρεσία/εφαρμογή σε cloud και φαίνεται να είναι εξοικειωμένο πάνω στη τεχνολογία του, με το 33,6% να χρησιμοποιεί κάποιο private cloud. Το 82% δηλώνει ότι χρησιμοποιεί στην εταιρεία του κάποια υπηρεσία cloud όπως Infrastructure as a Service (IaaS), Software as a Service (SaaS) ή και Platform as a Service (PaaS).
Σημαντικό ποσοστό στελεχών (64%) δηλώνει ότι η εταιρεία ή ο οργανισμός στον οποίο εργάζεται σχεδιάζει να ανεβάσει εφαρμογές στο cloud μέσα στους επόμενους 12 μήνες. Μέσα από αυτό το εύρημα καταδεικνύεται η αναγνώριση των επιχειρήσεων στη χρησιμότητα του cloud. Το 28% δηλώνει ότι το σχέδιο υλοποίησης θα ολοκληρωθεί μάλιστα μέχρι το τέλος του τρέχοντος έτους, κυρίως ως απόρροια των προεκτάσεων που έχει επιφέρει η πανδημία του Covid-19.
Ψηφιακή ασφάλεια & cloud: Ποιος είναι υπεύθυνος και ποιες ανησυχίες αλλά και οι προκλήσεις για το cloud security
Λαμβάνοντας υπόψη τα συμπεράσματα σε σχέση με τους κινδύνους, είναι σημαντικό να δούμε και την οπτική γωνία από τη πλευρά των λύσεων ως προς την ψηφιακή ασφάλεια αλλά και των υπευθύνων για αυτή. Ποιος είναι τελικά βασικός υπεύθυνος για την ασφάλεια στο cloud; Οι μισοί από τους συμμετέχοντες, το 50%, θεωρεί ότι το cloud security που του παρέχει ο πάροχος δεν είναι επαρκές! Αυτό είναι ένα στοιχείο στο οποίο θα πρέπει να εστιάσουν οι εταιρείες που παρέχουν τις υπηρεσίες αυτές και κατ’ επέκταση να καλύψουν το αίσθημα αβεβαιότητας των χρηστών ως προς την ασφάλεια του cloud.
Η μεγαλύτερη ανησυχία όσον αφορά τη χρήση υπηρεσιών cloud φαίνεται ότι αποτελεί η έλλειψη δεξιοτήτων για την κατανόηση των επιπτώσεων στην ασφάλεια με ποσοστό 51,80%. Ενώ ένα σημαντικό ποσοστό της τάξεως του 52.91% δηλώνει ως μεγαλύτερη πρόκληση ασφάλειας στο cloud τον εντοπισμό και την ανταπόκριση σε περιστατικά ασφαλείας που έρχεται ως απόρροια της έλλειψης ορατότητας στο cloud και της άγνοιας για το cloud security.
Συμπερασματικά θα λέγαμε ότι σύμφωνα με τα ευρήματα της έρευνας, ο χώρος της ψηφιακής ασφάλειας και ειδικότερα στο cloud, έχει ανάγκη, πέρα από υποδομές, σε εκπαίδευση τόσο του τεχνικού προσωπικού, των ίδιων των χρηστών αλλά και της διοίκησης της κάθε επιχείρησης. Με πολλές εταιρείες να συνεχίζουν να εργάζονται σε μορφή τηλεργασίας, η εκπαίδευση και η ενημέρωση είναι πιο σημαντική από ποτέ.