เมื่อธุรกิจใช้งานเทคโนโลยี คลาวด์ (Cloud) เพื่อเพิ่มความปลอดภัย และสะดวก แต่กลับได้รับความเสี่ยงจากพฤติกรรมการใช้งานของ ยูสเซอร์ ทั้งจากภายใน และภายนอก…
highlight
จากรายงานคุกคาม Understanding security of the cloud: from adoption benefits to threats and concerns พบว่า สาเหตุที่มีข้อมูลรั่วไหลที่เกิดขึ้นในโครงสร้างพื้นฐานคลาวด์สาธารณะเกิดขึ้นเพราะการสร้างเทคนิคต่าง ๆ โดย ลูกค้า พนักงาน ไม่ได้เกิดจากผู้ให้บริการคลาวด์
การรั่วไหลของข้อมูลใน Cloud เกิดจากฝีมือคน
จากรายงานคุกคามใหม่ล่าสุด “Understanding security of the cloud: from adoption benefits to threats and concerns“ ที่ทาง Kaspersky Lab ได้เปิดเผย พบว่า สาเหตุที่มีข้อมูลรั่วไหลที่เกิดขึ้นในโครงสร้างพื้นฐานคลาวด์สาธารณะ
ส่วนใหญ่เกิดจากพนักงานของลูกค้ามากกว่าการกระทำที่เกิดจากผู้ให้บริการคลาวด์ องค์กรต่าง ๆ คาดหวังให้ผู้บริการคลาวด์เป็นผู้รับผิดชอบกับความปลอดภัยของข้อมูลที่เก็บไว้บนแพลตฟอร์มคลาวด์ อย่างไรก็ตาม 90% (องค์กรธุรกิจขนาดเล็กและขนาดกลาง 88% และองค์กรธุรกิจขนาดใหญ่ 91%)
ของการรั่วใหลของข้อมูลในคลาวด์เกิดขึ้นเพราะการสร้างเทคนิคต่าง ๆ โดยลูกค้า พนักงาน ไม่ได้เกิดจากผู้ให้บริการคลาวด์ ซึ่งแม้ว่าการใช้งานคลาวด์ทำให้องค์กรมีกระบวนการในการทำธุรกิจที่คล่องตัวขึ้น ลด CAPEX และจัดการด้านไอทีได้เร็วขึ้น
แต่ก็สร้างความกังวลถึงโครงสร้างพื้นฐานของคลาวด์ และความปลอดภัยของข้อมูล เพิ่มขึ้นด้วยเช่นเดียวกัน โดยจากผลสำรวจชี้ว่า 1 ใน 3 ขององค์กรธุรกิจ (องค์กรธุรกิจขนาดเล็กและขนาดกลาง 88% และองค์กรธุรกิจขนาดใหญ่ 91%) คำนึงถึงอุบัติการณ์ที่จะเกิดกับโครงสร้างพื้นฐานที่โฮสต์
โดย “บุคคลที่สาม“ ผลที่ตามมาของอุบัติการณ์อาจทำให้เกิดขึ้นซ้ำ และจะเกิดความเสียหายต่อการค้าและเสี่ยงต่อภาพลักษณ์เสียหายได้อีกด้วย ซึ่งองค์กรต่าง ๆ ยังกังวลถึงความสมบูรณ์ของแพลตฟอร์มคลาวด์ภายนอกอยู่มาก แต่ในความเป้นจริงแล้วความเสี่ยงที่จะได้รับผลกระทบ นั้นอาจเกิดขึ้นจากจุดอ่อนแอภายในองค์กรได้เช่นกัน
ซึ่ง 33% ของเหตุการณ์ข้อมูลรั่วไหลในคลาวด์เป็นเพราะเทคนิคของวิศวกรรมทางสังคมที่มีผลต่อพฤติกรรมของพนักงาน ในขณะที่มีเพียง 11% เท่านั้นที่เกิดจากผู้ให้บริการคลาวด์ โดยผลสำรวจชี้ว่ายังมีส่วนที่สามารถปรับปรุงได้อีกเพื่อให้มั่นใจได้ว่าความปลอดภัยทางอินเทอร์เน็ตมีเสถียรภาพเมื่อทำงานกับบุคคลที่สาม
ซึ่ง 39% ขององค์กรธุรกิจขนาดเล็กและขนาดกลาง และ 47% ขององค์กรธุรกิจขนาดใหญ่ ที่ใช้ระบบคลาวด์ที่ได้รับการปรับแต่งด้านการป้องกันความปลอดภัย ซึ่งอาจเป็นผลมาจากองค์กรส่วนใหญ่เชื่อมั่นในความปลอดภัยในโครงสร้างพื้นฐานจากผู้ให้บริการคลาวด์นั่นเอง
หรือไม่ก็พวกเขามีความเข้าใจที่ผิดว่ามาตรฐานของการรักษาความปลอดภัยปลายทางทำงานได้อย่างราบรื่น ภายใต้สภาพแวดล้อม โดยมิได้ทำให้ประสิทธิภาพของคลาวด์ลดลง
แม็กซิม ฟรอลอฟ รองประธานฝ่ายขายโกลบอล Kaspersky Lab กล่าวว่า สิ่งที่องค์กรควรคำนึงถึงอันดับแรกก่อนที่จะย้ายข้อมูลไปยังแพลตฟอร์มคลาวด์สาธารณะ ต้องทราบว่าใครเป็นผู้รับผิดชอบต่อข้อมูลขององค์กร ส่วนใหญ่แล้วผู้ให้บริการจะเป็นผู้รับผิดชอบในการรักษาความปลอดภัยในแพลตฟอร์มคลาวด์ของลูกค้า
แต่เมื่อมีภัยคุกคามเกิดขึ้นจากฝั่งของลูกค้า จะไม่ใช่ความรับผิดชอบของผู้ให้บริการคลาวด์อีกต่อไป การวิจัยของเราแสดงให้เห็นว่าองค์กรควรให้ความสำคัญกับสุขอนามัยด้านความปลอดภัยออนไลน์ของพนักงาน และมีมาตรการที่จะต้องรักษาความปลอดต่อสภาพแวดล้อมของคลาวด์จากภายในอีกด้วย
มาตรการ และข้อแนะนำ เพื่อให้มั่นใจได้ว่าข้อมูลที่อยู่ใน คลาวด์ ปลอดภัย
- ชี้แจงให้พนักงานทราบว่าพวกเขาสามารถกลายเป็นเหยื่อของอาชญากรออนไลน์ได้ พวกเขาไม่ควรเข้าไปคลิกลิงก์หรือเปิดไฟล์ที่แนบมาจากผู้ส่งที่ไม่รู้จัก ตอกย้ำการตระหนักด้วยการจัดอบรม เช่น Kaspersky Security Awareness สามารถช่วยได้
- ลดความเสี่ยงในการใช้แพลตฟอร์มคลาวด์ที่ไม่ได้รับการอนุญาต ให้ความรู้ในด้านผลเสียที่จะเกิดขึ้น และติดตั้งกระบวนการสั่งซื้อและการใช้โครงสร้างพื้นฐานของคลาวด์ในแต่ละแผนก
- ใช้โซลูชั่นการรักษาความปลอดภัยปลายทาง เพื่อป้องกันการสร้างพาหะที่ใช้โจมตี ซึ่งควรจะรวมถึงการป้องกันเซิร์ฟเวอร์ของอีเมล อีเมลของลูกค้า และบราวเซอร์ด้วย
- ใช้การป้องกันสำหรับโครงสร้างพื้นฐานคลาวด์ของคุณทันทีหลังจากโยกย้าย เลือกระบบรักษาความปลอดภัยบนคลาวน์โดยเฉพาะ ด้วยการจัดการแบบรวมศูนย์เพื่อรักษาความปลอดภัยบนแพลตฟอร์มคลาวน์ทั้งหมด และสนับสนุนการตรวจจับโฮสต์คลาวด์โดยอัตโนมัติ รวมทั้งปรับขนาดการป้องกันในแต่ละส่วนอย่างอัตโนมัติเช่นกัน
- แคสเปอร์สกี้ ไฮบริด คลาวด์ ซีเคียวริตี้ ให้การรักษาความปลอดภัยต่อธุรกิจแบบหลายชั้น สำหรับสภาพแวดล้อมของคลาวด์ในหลายระบบ ความปลอดภัยทางออนไลน์แบบรวมศูนย์และการเชื่อมต่อที่ราบรื่น โซลูชั่นนี้ตรวจจับทั้งภัยคุกคามทั่วไปและภัยคุกคามที่ซับซ้อนรวมทั้งป้องกันทั้งโครงสร้างพื้นฐานของคลาวด์ด้วย ตั้งแต่แบบสภาพแวดล้อมเสมือนจริงไปจนถึงแพลตฟอร์มสาธารณะ เช่น AWS และ Microsoft Azure
*รายงานฉบับเต็ม Understanding security of the cloud: from adoption benefits to threats and concerns สามารถดูเพิ่มเติมได้ ที่นี่
ส่วนขยาย
* บทความนี้เรียบเรียงขึ้นเพื่อการวิเคราะห์ในแง่มุมที่น่าสนใจ
** เขียน: ชลัมพ์ ศุภวาที (บรรณาธิการและผู้สื่อข่าว)
*** ขอขอบคุณภาพบางส่วนจาก www.pexels.com, www.kaspersky.com/blog
สามารถกดติดตามข่าวสารและบทความทางด้านเทคโนโลยีของเราได้ที่
