8 rủi ro bảo mật điện toán đám mây đa số các công ty phải đối mặt

GIANG

1366

27-02-2019

Theo nghiên cứu của công ty phân tích Forrester, thị trường điện toán đám mây trên toàn thế giới dự kiến sẽ tăng lên $ 191 tỷ vào năm 2020, con số này chỉ là 91 tỷ đô la ít ỏi vào năm 2015. Doanh nghiệp ngày càng hướng tới xu thế dịch chuyển lên cloud bởi những lợi thế vô cùng to lớn của cloud computing đem lại như: chi phí thấp hơn, thời gian thực thi nhanh hơn, năng suất làm việc của nhân viên được cải thiện đáng kể. Tuy nhiên, bảo mật là mối quan tâm hàng đầu mà các doanh nghiệp hiện đang cân nhắc trước khi dịch chuyển lên đám mây. Viện Ponemon đã khảo sát 400 IT leader và IT security leader để khám phá cách các công ty đang quản lý việc áp dụng đám mây do người dùng lãnh đạo ( user-led cloud adoption). 

Nghiên cứu của Ponemon đã chỉ ra 9 rủi ro thường gặp trong đám mây. Sau các vi phạm nghiêm trọng của các nền tảng đám mây Evernote, Adobe Creative Cloud, Slack và LastPass, tính bảo mật trên đám mây càng được quan tâm hơn bao giờ hết.

1. Tài sản trí tuệ bị mất hoặc bị đánh cắp

Các công ty ngày càng có xu hướng lưu trữ nhiều thông tin và dữ liệu nhạy cảm trong đám mây. Một phân tích của Skyhigh cho thấy 21% tệp được tải lên dịch vụ chia sẻ tệp dựa trên đám mây đều chứa dữ liệu nhạy cảm bao gồm cả những dữ liệu có quyền sở hữu trí tuệ. Khi một dịch vụ đám mây bị vi phạm, tội phạm mạng sẽ chiếm được quyền truy cập vào những dữ liệu nhạy cảm này. Kể cả khi không có vi phạm xảy ra, một số dịch vụ vẫn có thể gây ra rủi ro cho dữ liệu nếu quyền sở hữu dữ liệu được tải lên.

2. Vi phạm điều lệ và quy định

Ngày nay, hầu hết các công ty hoạt động và chịu sự kiểm soát thông tin theo các quy định tương ứng, như HIPAA đối với các thông tin về sức khỏe, FERPA đối với hồ sơ sinh viên, và nhiều quy định khác của chính phủ và ngành. Theo các bộ quy định này, các doanh nghiệp phải biết dữ liệu của họ ở đâu, ai có thể truy cập dữ liệu đó và làm thế nào để bảo vệ các dữ liệu này. BYOC (Bring Your Own Cloud) thường vi phạm mỗi một trong những quy định này, khiến doanh nghiệp rơi vào tình trạng không tuân thủ quy định về bảo mật, dẫn đến những hậu quả nghiêm trọng.

3. Mất quyền kiểm soát hành động của người dùng cuối

Không kiểm soát chặt chẽ được việc sử dụng dịch vụ đám mây của nhân viên sẽ gây ra những sự cố không đáng có cho doanh nghiệp. Chẳng hạn, một nhân viên bán hàng sắp nghỉ việc có thể tải xuống tất cả các báo cáo về những thông tin quan trọng của khách hàng, sau đó lưu trữ những dữ liệu này tại đám mây cá nhân và sử dụng những thông tin đó bán cho đối thủ cạnh tranh hoặc sử dụng cho công ty mới chuyển tới. Đây là một trong những mối đe dọa nội bộ phổ biến đang diễn ra ở hầu hết các doanh nghiệp hiện nay.

4. Nhiễm phần mềm độc hại gây ra những cuộc tấn công có chủ đích

Các dịch vụ đám mây có thể được sử dụng như một vectơ cho việc lọc dữ liệu. Skyhigh đã phát hiện ra một kỹ thuật lọc dữ liệu mới, theo đó những kẻ tấn công đã mã hóa dữ liệu nhạy cảm vào các tệp video và tải chúng lên YouTube. Bên cạnh đó còn có một phần mềm độc hại giúp lọc dữ liệu nhạy cảm thông qua tài khoản Twitter 140 ký tự một lần. Các biến thể phần mềm độc hại Dyre giúp tội phạm mạng sử dụng các dịch vụ chia sẻ tệp để phân phối phần mềm độc hại đến các mục tiêu nhằm tiến hành các cuộc tấn công lừa đảo (phishing attacks).

5. Vi phạm hợp đồng với khách hàng hoặc đối tác kinh doanh

Hợp đồng giữa các bên kinh doanh thường hạn chế cách sử dụng dữ liệu và người được phép truy cập. Khi nhân viên di chuyển những dữ liệu vào đám mây mà không được phép, hợp đồng kinh doanh có thể bị vi phạm dẫn đến các hành động pháp lý sau đó.

6. Giảm niềm tin của khách hàng

Vi phạm dữ liệu chắc chắn ảnh hưởng nghiêm trọng đến niềm tin của khách hàng. Trong một vụ vi phạm dữ liệu thẻ thanh toán lớn chưa từng thấy, tội phạm mạng đã đánh cắp hơn 40 triệu số thẻ tín dụng và thẻ ghi nợ của khách hàng từ Target. Vi phạm khiến khách hàng tránh xa các cửa hàng Target và dẫn đến việc kinh doanh của công ty xuống dốc không phanh gây nên sự tụt dốc thảm hại với doanh thu của công ty.

7. Vi phạm dữ liệu yêu cầu phải được thông cáo và thông báo cho nạn nhân

Nếu dữ liệu nhạy cảm được đưa vào đám mây và vi phạm xảy ra, công ty có thể được yêu cầu phải tiết lộ vi phạm và gửi thông báo cho các nạn nhân của mình như đối với quy định HIPAA và HITECH. Công ty có thể đối mặt với các trừng phạt của cơ quan pháp lý và có nguy cơ bị khởi kiện bởi những nạn nhân bị ảnh hưởng.

Nếu khách hàng nghi ngờ rằng dữ liệu của họ không được bảo vệ hoàn toàn bởi các kiểm soát bảo mật cấp doanh nghiệp, họ có thể đưa doanh nghiệp của mình đi đến một công ty cung cấp dịch vụ đám mây khác mà họ có thể đặt niềm tin, có trách nhiệm cao trong việc bảo vệ quyền riêng tư của khách hàng.

8. Giảm doanh thu

Tin tức về vi phạm dữ liệu của Target đã khiến người tiêu dùng tránh xa các cửa hàng Target trong các kỳ nghỉ lễ, dẫn đến việc sụt giảm 46% lợi nhuận hàng quý của công ty. Công ty ước tính thiệt hại lên tới 148 triệu đô la. CIO và CEO của Target đều đã phải từ chức và nhiều người hiện đang kêu gọi sự giám sát của ban giám đốc đối với các chương trình an ninh mạng.

Theo nghiên cứu của Ponemon BYOC, 64% số người được hỏi nói rằng công ty của họ không kiểm soát được việc nhân viên của họ sử dụng đám mây tại nơi làm việc. Để giảm thiểu rủi ro khi sử dụng đám mây không được quản lý (unmanaged cloud), trước tiên các công ty cần có khả năng hiển thị các dịch vụ đám mây được sử dụng bởi nhân viên của mình. Họ cần hiểu dữ liệu nào đang được tải lên dịch vụ đám mây nào và của ai. Với thông tin này, các nhóm CNTT có thể bắt đầu thực thi các chính sách bảo mật, tuân thủ và quản trị dữ liệu của công ty để bảo vệ dữ liệu của công ty trên đám mây. Đám mây vẫn ở đây và các công ty phải cân bằng rủi ro của dịch vụ đám mây với những lợi ích rõ ràng mà chúng mang lại.

Theo Bizfly Cloud chia sẻ

>> Có thể bạn quan tâm: Tại sao chúng ta cần cải thiện bảo mật điện toán đám mây?