Felhő és kiberbiztonság – tanácsok a potenciális fenyegetések megelőzéséhez
Azoknak a cégeknek, amelyek felhőben tárolják az adataikat és/vagy e-kereskedelmi érdekeltségekkel rendelkeznek, nagyon komolyan kell venniük a kiberbiztonság kérdéskörét. Mert az ördög nem alszik – ahogy a hackercsapatok sem. Ezért biztosítjuk a lehető legjobb védelmet az ismert és várható emberi és természeti fenyegetésekkel szemben.
Bár vállalkozásunk a legújabb védelmi technológiákat kínálja ügyfelei számára, mégis jó, ha a felhasználók is résen vannak. A biztonsági mentések rendszerű elvégzése, a Bare Metal Backup, a Disaster Recovery as a Service szolgáltatásaink szükségesek és jó megoldást jelentenek a károk minimalizálásához. Azonban nem feltétlenül elegendőek az incidensek megelőzéshez. Ügyféloldalon is érdemes megtenni bizonyos elővigyázatossági lépéseket. Nézzük, melyek azok az intézkedések, amelyek megvalósítása szinte semmibe sem kerül, mégis nagyon sok múlhat rajtuk.
A felhő-kiberbiztonság jelentése és jelentősége
A felhőalapú biztonság olyan technológiák, szolgáltatások, gyakorlatok gyűjteménye, amelyek
célja a felhőalapú adatok, alkalmazások és infrastruktúra kiberfenyegetésekkel és támadásokkal szembeni védelme.
Ahogy egyre több vállalat vesz teljes digitális fordulatot, és migrálja rendszereit a felhőbe, az itt tárolt adatmennyiség is exponenciálisan növekszik. Ennélfogva a biztonsági kockázatok is egyre számottevőbbek. Ezért van egyre inkább szerepe a felhasználóknak is a biztonságban. Mert hiába tesznek meg mindent a felhőszolgáltatók, ha a felhasználók az alapvető elővigyázatossági gyakorlatokat nem tartják be, óriási kockázati rést nyitnak.
Egy átlagos adatszivárgás 2023-ban 4,45 millió dollárjába kerül egy cégnek, a károk kijavítása pedig 280 napjába. Ez alapján kiberbiztonság terén hatványozottan igaz a tétel, miszerint a megelőzés olcsóbb, mint az utólagos kezelés.
Fontos látni, hogy mérettől, iparágtól függetlenül minden cég veszélyeztett. Bár a nagy cégek – Adobe, Sony, Target, Equifax vagy Marriott – által elszenvedett támadások kapnak visszhangot, a KKV-k sincsenek biztonságban. Attól még, hogy radar alatt repülnek, előbb vagy utóbb minden vállalatot utolérhetnek a hackerek.
Az adatokhoz való illetéktelen hozzáférés, a malware, a ransomware fertőzések, a DDoS támadások vagy a botnetek jelentette kockázatokat komolyan kell venni. Mindent meg kell tenni az incidensek bekövetkeztének megelőzése érdekében felhasználói oldalról is.
Nézzük, mit is takar ez userek esetében.
Fegyverezzük fel magunkat a potenciális veszélyforrásokkal kapcsolatos tudással!
Mindenekelőtt érdemes az embernek felkészítenie magát – és ha van, a csapatát – a különböző adathalász támadások elkerülésére. Semmiképpen ne maradjunk tudatlanok.
Például:
Ellenőrizzük a gyanús e-maileket a feladónak címzett válasz e-mail kiküldésével, a gyanús SMS-eket visszahívással.
Töröljük a szervezeten kívüli személyektől származó kéretlen e-maileket, szöveges üzeneteket.
Ne nyissunk meg sem e-mailben, sem szöveges üzenetben kapott gyanús dokumentumokat, hivatkozásokat.
Ha ismeretlen forrásból kapunk utasításokat, hagyjuk figyelmen kívül őket.
Mindez persze csak a minimum – a haladóbb megoldások a következők.
Érvényesítsük a legkisebb jogosultság elvét a gyakorlatban!
A legkisebb jogosultság elve azt jelenti, hogy csak azoknak szabad hozzáférést kapniuk bizonyos eszközökhöz, akiknek valóban szükségük van ezekre a munkájuk elvégzéséhez. Például a pénzügyi csapatnak nem muszáj jogosultságot kapnia a programkódok felett, a fejlesztőcsapatnak pedig nem kell hozzáférnie érzékeny pénzügyi adatokhoz.
Használjunk jelszókezelőt!
Minél több az eszköz, annál több a jelszó. Sajnos a gyenge jelszavak (pl. 123456 stb.) népszerűsége annak ellenére töretlen, hogy az adatvédelmi incidensek tíz leggyakoribb okai között van.
Ahelyett, hogy jobb jelszavakat próbálna kitalálni az ember, érdemes kipróbálni egy jelszókezelőt, például a 1Password vagy a LastPass alkalmazást. Ezek lehetővé teszik, hogy különböző erős jelszavakat használjunk az összes online szolgáltatáshoz, miközben csak egyetlen fő jelszót kell megjegyeznünk. Ezek a megoldások ugyanakkor segítenek a jelszavak titkosításában és illetéktelen szemektől való elzárásában is – érdemes tehát megismerni és használni ezeket.
Ragaszkodjunk a szolgáltatók által nyújtott titkosítási szolgálatatásokhoz!
A titkosítás elengedhetetlen minden felhőalapú környezetben. Ez védi az adatokat függetlenül attól, hogy azok „nyugalmi állapotban” vannak, vagy éppen használat, továbbítás közben. Lényegében a titkosítás olyan kóddá alakítja át az információkat, amelyek feloldásához „kulcs” szükséges. Így csak az arra jogosult felhasználók férhetnek hozzá az adatokhoz – az illetéktelen vagy rosszindulatú felhasználók számára olvashatatlanok lesznek.
Korlátozzuk a harmadik féltől származó alkalmazások hozzáférés-jogosultságait
Létfontosságú tisztában lenni azzal, hogy a harmadik féltől származó alkalmazások az adatokhoz milyen szintű hozzáféréssel rendelkeznek. Egyes applikációk akár arra is veszik a bátorságot, hogy adatokat töröljenek – ha ehhez engedélyt adunk a számukra. Vagyis érdemes gondosan elolvasni a felhasználói feltételeket, mekkora kockázatot jelenthet adott alkalmazás a vállalkozás számára.
Tanácsos lehet ugyanakkor a szoftverminősítő portálok – pl. a GetApp, a G2 Crowd – értékeléseiből is kiindulni.
Egyszóval, aki a fenti tanácsokat megfogadja, és biztonságfokozó szolgáltatásainkat is igénybe veszi, nem kell félnie a kiberbiztonsági fenyegetésektől.
