Zaraženi ‘oblaci’ sve veća prijetnja
Piše: Mario Pejović
Moderno poslovanje svakim danom izlazi iz okvira postavljenih u 20. stoljeću, gdje kabineti sa hrpama dokumenata postaju tek blijedo sjećanje, a pohrana podataka u kompanijama nezaustavljivo ide u pravcu “dobrih starih vremena”. Fizičke medije za skladištenje informacija zamjenjuju cloud servisi, virtualni ‘oblaci’, u kojim čuvamo sve što nam treba za svakodnevni rad, što dovodi do problema koji su bili nezamislivi prije samo deceniju.
Istraživanja provedena na milionima korporativnih cloud foldera pokazuju da je svaki deseti takav folder zaražen nekim vidom malicioznog programa, odnosno da se utrostručio broj zaraženih poslovnih spremnika podataka. O broju zaraženih privatnih foldera, u kojim skladištimo sve one fotografije sa putovanja i ljetovanja, razne dokumente i prepiske, muziku i videa, teško je i razmišljati.
Moderno poslovanjeDigitalizacija društva je dovela i do promjena u načinu kako radimo, tako da je upitno koliko ćemo ubuduće radno vrijeme provoditi u uredima, kako su to prije nas generacije radile.
Moderno poslovanje je sve fleksibilnije, ruše se “zidovi” ureda – danas imamo kompanije čiji zaposlenici većinom rade od kuće ili iz raznih coworking prostora, kaže Biberović.
“Pojedini su se odlučili na život i rad kao digitalni nomadi – rade dok putuju. Trendovi su to koji dolaze i kod nas, a iako će mnogi i dalje raditi na tradicionalan način, u uredima, s fiksnim radnim vremenom, na uređajima tvrtke, ne smiju se zanemariti i ovi fleksibilniji trendovi koji donose prednosti, ali i izazove, a jedan od njih je i potencijalno smanjena sigurnost podataka.”
Izvršna urednica Netokracije, Mia Biberović, ističe da moderno poslovanje više odlazi “u oblake”, jer je takva vrsta poslovanja jednostavnija i učinkovitija – donosi vremenske i finansijske uštede kompanijama, podatke pohranjene u “oblaku” lakše je “spasiti” ako se nešto dogodi, lakše je usklađivati dokumente, pojednostavljuje se saradnja više osoba na jednom projektu… a primjetan je i još jedan važan trend, koji je sve više zastupljen i na Balkanu, a to je BYOD ili Bring Your Own Devices.
“Naime, sve više zaposlenika koristi svoja računala, pametne telefone, tablete i druge uređaje ne bi li pristupali poslovnim podacima, što je poslovanje u oblaku itekako olakšalo.”
Naslijeđeni problemi
Konsultant za informacijsku sigurnost kompanije Diverto, Tomislav Androš, fenomen zaraženosti poslovnih “oblaka” pojašnjava činjenicom da kompanije vrlo često koriste cloud kao skladište podataka, te kao takvo cloud nasljeđuje sve probleme koje ima i najobičniji dijeljeni folder.
“Svi mehanizmi zaštite korisnika koji se koriste bez clouda, vrijede i za cloud. U slučaju da pričamo o cloud infrastrukturi, nju netko treba održavati na isti način na koji se održava i ‘u kući’, samo je razlika što se u ovom slučaju outsourcea (delegira drugima) taj posao.”
To znači da korisnici sami nepažljivim korištenjem zaraze poslovna skladišta podatka malicioznim programima koje imaju na uređajima koji koriste.
“Politika BYOD-a je uvijek problematična, jer sa sobom donosi ranjivosti na koje firma samo u ograničenom opsegu može utjecati.”
Moderni poslovni ljudi sve više koriste vanjske uređaje za pohranu podataka, kao što su USB stikovi, eksterni diskovi i slično, kako bi “posao” nosili kući i nastavili raditi iz udobnosti vlastitog doma, čime stvaraju dodatnu sigurnosnu prijetnju.
Androš navodi da su korisnici vrlo opušteni u slučaju korištenja takvih uređaja te ih vrlo često koriste u uvjetima koji su potpuno različiti i zahtijevaju različit nivo kontrole u odnosu na onaj koji imaju na radnom mjestu. “Tako je iznimno loša praksa koristiti USB stickove koje smo prethodno koristili kod kuće, posudili nekom i tako dalje.”
Biberović napominje da u okruženju gdje se poslovnim podacima pristupa s raznih uređaja, mreža i lokacija, smanjuje se i sigurnost podataka, a povećava i mogućnost za širenjem malvera.
“To, naravno, može predstavljati sigurnosne prijetnje, što je, prema istraživanju, online anketi o korištenju ‘Cloud computinga’ koju je provela tvrtka Perpetuum Mobile, jedan od glavnih razloga zašto mnoge tvrtke i dalje oklijevaju oko ‘clouda’ – prema istraživanju provedenom u Hrvatskoj s kraja 2014. godine, ispitanici su kao “najveću zabrinutost iskazali upravo pitanje vezano uz neovlašten pristup podacima, potom nemogućnost pristupa svojim podacima ako nešto pođe po zlu te pitanje privatnosti bojazan da bi tvrtka kod koje se pohranjuju podaci mogla iste prodati trećoj strani.”
Mjere zaštite
Zbog svega toga je važno da svi u organizaciji razumiju kako se podaci mogu ugroziti, a i same kompanije moraju poduzeti mjere zaštite i redovite kontrole, dodaje Biberović.
Primjera radi, što se tiče BYOD trenda, kompanije moraju paziti kako se u njihovu infrastrukturu uključuje sve veći broj različitih uređaja, stoga se tu pažnja treba obratiti rješenjima kao što su MDM (mobile device management) sistemi, odnosno sistemi za rad sa mobilnim uređajima.
Širenje malveraMaliciozni programi će se na “oblacima” širiti kao što su se širili i dosad, sa trendom laganog porasta, kaže Androš. “Korisnici trebaju biti svjesni da odlaskom u cloud nisu otišle njihove obveze, te da sve što su dosad radili kako bi se zaštitili trebaju raditi i dalje. Paziti gdje surfaju, što pokreću na računalu, imati ažuriran softver, imati antivirus, gledati na koje stranice idu, imati adblocker…”
Posljedice zaraze poslovnih cloud spremnika podataka su veće nego kod klasične zaraze unutar kompanije, napominje konsultant za informacijsku sigurnost.
“Većina korisnika cloud uslugu uzima jer im omogućava eksternalizaciju posla te uštedu, ne razmišljajući o potencijalnim problemima. Tako, primjerice, kompanije potpisuju ugovore o korištenju cloud usluge bez mogućnosti da direktno pristupe svojoj infrastrukturi ili da imaju zadovoljavajuću razinu podrške u slučaju incidenta. O takvim stvarima vrlo malo kompanija razmišlja, većina razmišlja o uštedi i funkcionalnim zahtjevima za preseljenje u cloud.”
Kad se incident dogodi, kompanija kontaktira pružatelja usluga skladištenja podataka u “oblaku” te se vrlo često neugodno iznenadi kad shvati kako je podrška za navedenu aktivnost vrlo limitirana. To je pogotovo problematično u slučaju da je potrebno uključiti policiju, a ugovorom nije definiran način rješavanja ovakvog konflikta, kaže Androš.
Novi problemi
“Oblaci” nose novu vrstu problema s kojim se do sada nismo susretali, a najveća opasnost se krije u nerezonskoj eksternalizaciji, koja je prije svega uzrokovana finansijskim razlozima, te nerazumijevanjem struke, nakon čega se događa da potpisivanjem ugovora s cloud uslugom preuzimamo značajan rizik bez da smo toga svjesni, dodao je on.
“Uzet ću samo za primjer rad s dokumentima u cloudu. Dakle, poslovanje cijele kompanije su eksternalizirana na način da se svi podaci čuvaju u cloudu. Iako cloud provider tvrdi da je siguran, treba imati na umu kako je čitavo poslovanje jedne kompanije lako dostupno drugoj. Postoje li ugovori koji obvezuju cloud providera na čuvanje podataka? Što u slučaju da podaci iscure uslijed, primjerice, hakerskog napada? Ako ne znamo odgovoriti na ta pitanja, onda imamo veliki problem”, istaknuo je stručnjak za informacijsku sigurnost.
Zbog svega svi trebaju obratiti posebnu pažnju, jer ni regiju ne zaobilaze globalni trendovi na korporativnom tržištu.
Mia Biberović navodi da istraživanja pokazuju kako 22 posto kompanija u Hrvatskoj koristi neku od usluga računarstva u oblaku.
“S obzirom na to da je, prema Eurostatu, europski prosjek 19 posto, vidimo da ne zaostajemo za prosjekom. Također, mnoge tvrtke koje danas ne koriste ovakvu vrstu računarstva, na to se spremaju, a kao glavni razlozi zašto do sada nisu prešli na računarstvo u oblaku, spominju se sigurnost i nerazumijevanje o čemu se radi.”
Izvor: Al Jazeera