Bezpečnost cloudových služeb

Podobné dokumenty
Cloud Slovník pojmů. J. Vrzal, verze 0.9

Identifikátor materiálu: ICT-3-16

VÝBĚR CLOUDU, ANEB JAK ZVOLIT TEN NEJLEPŠÍ

Není cloud jako cloud, rozhodujte se podle bezpečnosti

CLOUD COMPUTING PRO MALÉ A STŘEDNÍ FIRMY

PROVOZOVÁNÍ PRIVATE CLOUD VE VEŘEJNÉ SPRÁVĚ

Budování a využívání cloudových služeb ve veřejné správě. leden 2015

Fenomén Cloudu v kontextu střední a východní Evropy. Petr Zajonc, IDC pzajonc@idc.com

1. Organizace dokumentu. 2. Zabezpečení jako priorita. 3. Cloudová infrastruktura Hybrid Ads

ISVS v cloudu? ANO! Ing. Václav Koudele, Ing. Zdeněk Jiříček

Dopad legislativních změn v informační bezpečnosti na interní audit Tomáš Pluhařík

Dopady GDPR a jejich vazby

Implementace systému ISMS

Veřejné cloudové služby

DOBRÉ PRAKTIKY ŘÍZENÍ INFORMATIKY APLIKOVATELNÉ VE VEŘEJNÉ SPRÁVĚ

ehealth Day 2016 Jak zavést účinná organizační a technická opatření pro řízení bezpečnosti

Představení služeb DC SPCSS Státní pokladna Centrum sdílených služeb

10. setkání interních auditorů v oblasti průmyslu

Bezpečnostní politika společnosti synlab czech s.r.o.

Security. v českých firmách

Security. v českých firmách

VOIPEX Pavel Píštěk, strategie a nové Sdílet projek ts y práv, I né PEX inf a.s orm. ace se správnými lidmi ve správný čas

CLOUD ZLÍNSKÝ KRAJ. Obchodní akademie, Vyšší odborná škola a Jazyková škola s právem státní jazykové zkoušky Uherské Hradiště

Cloudová Řešení UAI/612

Cloud. historie, definice, modely a praktické využití Ing. Karel Stýblo K2 atmitec s.r.o.

2. setkání interních auditorů ze zdravotních pojišťoven

O autorech 13 O odborném korektorovi 13. Poděkování 15 Úvod 17. Cílová skupina této knihy 17 Témata této knihy 17

Virtualizace jako nástroj snížení nákladů. Periodické opakování nákladů nové verze Licence na pevný počet klientů

ANALÝZA RIZIK CLOUDOVÉHO ŘEŠENÍ Z POHLEDU UŽIVATELE. Václav Žid

Outsourcing & Cloud. v českých firmách

ISO 9000, 20000, Informační management VIKMA07 Mgr. Jan Matula, PhD. III. blok

Informace, lidské zdroje a technologie: Klíčové faktory pro zajištění kybernetické bezpečnosti

GDPR & Cloud. Mgr. Jana Pattynová, LL.M

CHECK POINT INFINITY END TO END BEZPEČNOST JAKO ODPOVĚĎ NA GDPR

2012 (červen) Microsoft Sharepoint Portal Server. Microsoft Live Communications Server 2003 Řešení pro online komunikaci. Microsoft Exchange

Výčet strategií a cílů, na jejichž plnění se projektový okruh podílí: Strategický rámec rozvoje veřejné správy České republiky pro období

Mobile Device Management Mobilita v bankovním prostředí. Jan Andraščík, Petra Fritzová,

Outsourcing v podmínkách Statutárního města Ostravy

Výčet strategií a cílů, na jejichž plnění se projektový okruh podílí:

Informační bezpečnost. Dana Pochmanová, Boris Šimák

Mgr. Jana Pattynová, LL.M. 1. února Ochrana osobních údajů a bezpečnost dat novinky v GDPR

Služby datového centra

Dopady Průmyslu 4.0 na kybernetickou bezpečnost. Ing. Tomáš Přibyl Ing. Michal Kohút

ČESKÁ TECHNICKÁ NORMA

Digital Dao, Jeffrey Carr

Průzkum PRÁCE NA DÁLKU 2013 v ČR 708 respondentů, leden duben 2013

Z P Ů S O B P Ř Í S T U P U K Z A J I Š T Ě N Í S O U L A D U S E Z Á K O N E M O K Y B E R N E T I C K É B E Z P E Č N O S T I V C L O U D O V É M P

Služby datového centra

Název prezentace 1. Poskytovatel garantovaných služeb NDC včetně kybernetické bezpečnosti ve státní správě

GOOGLE APPS FOR WORK. TCL DigiTrade

Výhody a rizika outsourcingu formou cloud computingu


Bezpečností politiky a pravidla

Jarní setkání

Návrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB

P2P nebo PON? Jaké služby budou nabízené prostřednictvím sítě? Klíčová otázka na kterou si musí odpovědět každý FTTx poskytovatel

Současné problémy bezpečnosti ve firmách

Publikujeme web. "Kam s ním?!"

MEZINÁRODNÍ NORMY A DIGITÁLNÍ KONTINUITA. Tomáš Bezouška Praha,

BEZPEČNÁ SPRÁVA KLÍČŮ POMOCÍ HSM. Petr Dolejší Senior Solution Consultant

Zákon o kybernetické bezpečnosti základní přehled. Luděk Novák ludekn@ .cz,

Principy G-Cloudu ve Velké Británii. červen 2015

Shoda s GDPR do 4-6 měsíců! Sen či utopie?

Nástroje IT manažera

Cloud. Nebo zatím jen mlha? Workshop Day 2011 WG06 Jaromír Šlesinger, CA Technologies Bratislava, 13. október 2011

POSKYTOVÁNÍ ZÁKLADNÍCH PROVOZNÍCH APLIKACÍ VEŘEJNÉ SPRÁVY

Cloud. historie, definice, modely a praktické využití Ing. Karel Stýblo K2 atmitec s.r.o.

Registr živnostenského podnikání předchůdce cloudových řešení

Návrh zákona o kybernetické bezpečnosti. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu.

RENOMIA POJIŠTĚNÍ KYBERNETICKÝCH RIZIK

SKUPINA 6. Jitka KAZIMÍROVÁ. Lektor: Allianz pojišťovna. Téma: Zkušenosti s outsourcingem IT auditu

Strategický pohled na 3D tisk: příležitost pro další rozvoj firmy. Ing. Ivana Hrbková 31. května 2017

Praktické zkušenosti s certifikací na ISO/IEC 20000

Zkušenosti z nasazení a provozu systémů SIEM

Technická a organizační opatření Českých Radiokomunikací

1 Služby SAP Business Transformation and Plan Services Služby SAP Business Transformation and Plan Services aktuálně zahrnují:

Možnosti využití cloudových služeb pro provoz IT

GDPR compliance v Cloudu. Jiří Černý CELA

O2 a jeho komplexní řešení pro nařízení GDPR

Potřebujeme kybernetickou bezpečnost? Jak chráníme informační aktiva?

Setkání interních auditorů z finanční oblasti. Nové výzvy pro interní audit Big Data a socialní sítě

MOHOU TECHNOLOGIE ZVÍTĚZIT V BOJI S MODERNÍMI HROZBAMI?

WINCOR NIXDORF. Certifikovaný PCI DSS auditor - QSA

Dalibor Kačmář

Řízení výkonnosti nemovitostního portfolia. Integrační platforma innosys. Květen 2014

Audit ICT. KATALOG služeb. Ing. Jiří Štěrba

Zavádění PKI infrastruktury v organizaci - procesní aspekty. Vlastimil Červený, Kateřina Minaříková Deloitte Advisory, s.r.o.

Brno. 30. května 2014

ANECT, SOCA a bezpečnost aplikací

Nástroje IT manažera

EMBARCADERO TECHNOLOGIES. Jak na BYOD chytře? Možnosti zapojování různých mobilních zařízení do podnikových informačních systémů.

Enterprise Mobility Management

Déle než rok se účastníme diskusí s předními odborníky v oboru a poskytujeme našim partnerům poradenství s přípravami na GDPR.

Cloudové služby kancelářského softwaru hostované společností Microsoft Kvalitní nástroje pro firemní nasazení za přijatelnou cenu Vždy aktuální verze

Systém managementu bezpečnosti informací (ISMS) podle ISO/IEC 27001:2005

Slovenská spořitelna:

Dopady GDPR na design IT Martin Dobiáš, Digital Advisory Services

Cíle a měřitelné parametry budování a provozu egc. Příloha č. 1 Souhrnné analytické zprávy

Nasazení bezpečnostního monitoringu v praxi. Jan Svoboda AEC

Transkript:

Bezpečnost cloudových služeb 2019 www.pwc.com

2

Obsah Governance 6 Bezpečnost, rizika 12 Kontroly, bezpečnostní opatření 18 Služby PwC 24 3

Úvod Zrychlující se adopce cloudových služeb, migrace tradičních datových center do cloudu a stavba nových řešení s přístupem cloud first už teď vede k diskuzím na témata, která ještě před pár lety byla akademická nebo založená pouze na odhadech a předpokladech. Zatímco odpovědi na technologické otázky výhod a úskalí přechodu ke cloudovým službám se začínají velmi čitelně rýsovat již teď a volby mezi infrastructure as a service, platform as a service a software as a service už probíhají na racionální půdě empiricky ověřených důkazů, kybernetická bezpečnost připomíná Pandořinu skříňku. Tajemnou, zavřenou a opředenou strachem z otevření, třeba i jen přímo položenou otázkou. Rozhodli jsme se nahradit předsudky a mýty fakty a zeptat se. 4

O průzkumu Společnost PwC připravila ve spolupráci s TATE International průzkum s názvem Bezpečnost cloudu ve veřejné a soukromé sféře. Cílem průzkumu bylo zjistit, jak respondenti vnímají bezpečnostní rizika a výhody cloudových služeb oproti tradiční (on-premise) infrastruktuře. Mezi další cíle patřilo prozkoumat, do jaké míry organizace využívají, popř. plánují využívat, cloudové služby, jaké mají nasazené kontroly, a zda využívají standardy specializující se na cloud computing. Data byla sesbírána během tří příležitostí Akademie ICT Managementu organizovaná TATE International, Letního Soirée pořádaného stejnou organizací a Business Continuity Fóra organizovaného PwC. Majoritní cílovou skupinou byli manažeři. Dotazníkového šetření se zúčastnilo celkem 102 osob. Respondenti pocházeli z různých oblastí soukromého a veřejného sektoru, přičemž 55 % z nich pracovala na manažerské pozici. Pozice 7 6 27 Management Střední a nižší management 19 % Referentská /specializovaná pozice Pozice v IT bezpečnosti OSVČ 14 27 Jiná Sektory Veřejná správa, samospráva 3 3 Zdravotnictví 11 Bankovní, finanční sektor 35 30 Průmysl 14 % Energie, vodárenství Informační technologie 5 5 24 5 Poradenství Telekomunikace Other 5

6 Governance

Aktuální vs. plánované využívání cloudových služeb Do jaké míry vaše organizace používá cloudové služby? Jaký je dlouhodobý cíl vaší organizace ve využívání cloudových služeb? 20 % 18 % 15 % 15 % 15 % 15 % 16 % 14 % 10 % 11 % 9 % 10 % 4 % 6 % 5 % 5 % 5 % 4 % 3 % 0 % 1 2 3 4 5 6 7 8 9 10 1 - žádná cloudová služba 10 - pouze cloudové služby Využití cloudových služeb v organizacích nelze považovat za zanedbatelné Momentálně převládá využívání tradiční on-premise infrastruktury Pouhých 25% organizací ovšem plánuje pokračovat v majoritním využívání tradiční infrastruktury 27% organizací plánuje využívat především cloudové služby 4,1 Průměrné hodnoty 5,6 Aktuální vs. plánované využití Do budoucna lze pozorovat trend zapojování více cloudových služeb 7

Druhy využívaných cloudových služeb Z pohledu distribučního modelu Z pohledu modelu nasazení 54 % 46 % 38 % 35 % 32 % 27 % 14 % 12 % 7 % Software as a Service Infrastructure as a Service Platform as a Service Nevím Soukromý Hybridní Veřejný Nevím Komunitní 14 % resp. 12 % respondentů neví, jaký typ cloudu používá Distribuční model Určuje jaké komponenty (HW, SW) jsou doručovány v rámci služby Infrastructure as a Service (IaaS) Poskytovatel dodává IT infrastrukturu Např. úložiště, servery, síťové komponenty, virtualizace Zákazník nasazuje vlastní operační systém a aplikace Platform as a Service (PaaS) Poskytovatel dodává IaaS + operační systém, middleware, knihovny pro vývojáře a další Zákazník nasazuje vlastní aplikace Software as a Service (SaaS) Poskytovatel dodává PaaS + aplikace, nástroje, správu dat Model nasazení Určuje jakým způsobem a komu jsou služby doručovány Veřejný cloud Nejčastější typ cloudu Poskytován veřejnosti Soukromý cloud Cloud dedikován pouze pro určitého zákazníka Využíván z bezpečnostních důvodů Komunitní cloud Využíván určitou skupinou subjektů sdílející určité zájmy/cíle Hybridní cloud Kombinace dvou a více typů cloudu V posledních letech roste jeho využití 8

Z pohledu konkrétních druhů služeb/aplikací 60 % 48 % 47 % 30 % 29 % 28 % Úložiště a výměna dat Kancelářské aplikace (např. Office 365, Google Apps) Email, komunikační nástroje Infrastruktura a servery (např. DNS) Podnikové aplikace (např. CRM, ERP) Aplikace pro vlastní zákazníky Další odpovědi: Nástroje pro IT služby (např. administrace, help desk) (22%), Cloud nevyužívám(e)/nedokážu/nechci odpovědět (10%), Bezpečnostní nástroje (6%), Ostatní (4%) Uživatelé využívají cloudové služby mnohem více, než si sami myslí. Při využívání osobních emailů, internetových úložišť, kalendářů, různých dalších on-line nástrojů ve všech těchto případech využívají právě cloudové služby. Co PwC a cloudové platformy? Jako hlavní cloudovou platformu má PwC nasazeno Google Apps. Zaměstnanci zde mohou využívat služby, jako jsou Gmail, Google Drive, Hangouts, Meet, Calendar, Vault, Google Docs, Google Sheets, Google Slides a další. PwC využívá také cloudové služby Microsoftu (např. Azure, Power BI). Vedle toho má PwC nasazeny také další cloudové služby např. Salesforce (CRM systém). 60 % Úložiště a výměna dat A co další široce používané cloudové platformy? Mezi ně patří zejména Office 365, který poskytuje podobný balík služeb jako Google Apps. Jednotlivé služby jsou zde napojeny na aplikace Microsoft Office, jako je např. Word online, Excel online a PowerPoint online. Zákazníci si často pronajímají výpočetní výkon od cloudových poskytovatelů. Nejčastějšími platformami nabízející výpočetní zdroje jsou Google Cloud Platform, Microsoft Azure, Amazon Web Services a IBM Bluemix.! 9

Bariéry adaptace cloudových služeb S jakými omezeními a bariérami adaptace cloudových služeb musí organizace/uživatelé počítat? Bezpečnostní obavy Strach ze ztráty a úniku dat 51 % 63 % Ztráta kontroly Integrace se stávajícími IT prostředím 36 % 36 % Nedostatečná izolace cloudového prostředí 16 % Další odpovědi: Omezený monitoring a logování (12%), Cloud nevyužívám(e)/nedokážu/nechci odpovědět (11%), Výkonnostní omezení (6%), Ostatní (1%) Adaptace cloudových služeb Organizačně významná transformace Transformace má svoje fáze a pravidla 63 % Bezpečnostní obavy PwC využívaný rámec transformace - PwC Transformation Strategy Framework Aplikovaný na libovolnou změnu v IT Od strategie až po provoz Vytvořen na základě good practice Nad všemi fázemi jsou aktivity: Programme management office Change management Jednotlivé fáze - PwC Transformation Strategy Framework: Strategy & Assess Design Construct Implement Operate & Review Mezi všemi fázemi je kontrola kvality a hodnocení správného směřování transformace Více informací v závěru tohoto reportu. Transformace na cloudové služby je obzvláště náročným procesem, jelikož se mění celkový způsob využívání IT prostředků v organizacích. Přechází se od lokálních výpočetních komponent k integraci komponent, které jsou umístěné mimo organizaci a které nejsou pod její výhradní kontrolou. S tím přichází i požadavky na změnu smluv, politik, procedur, řízení ochrany dat, kontrol, bezpečnostního nastavení a plno dalšího. 10

Uchovávaná data v cloudu Jaké druhy dat organizace v cloudu uchovávají? Emaily Osobní údaje 46 % 43 % Další významná data (např. firemní know-how, vývoj a výzkum, smlouvy se zaměstnanci) Zákaznická data Citlivé údaje 24 % 32 % 31 % Další odpovědi: Cloud nevyužívám(e)/nedokážu/nechci odpovědět (16%), Ostatní (9%), Zdravotní záznamy (3%)! Pohled uživatele cloudové služby Posílá emaily s osobními a citlivými daty Sdílí fotky na Facebooku a Instagramu Využívá Dropbox, Google Drive nebo OneDrive k ukládání souborů Používá aplikaci pro ukládání hesel (příp. i čisel kreditních karet) Posílá partnerovi fotografie přes mobilní aplikaci (i intimní) Přeposílá si firemní věci na svůj email/ukládá na svoje internetové úložiště Je důležité si uvědomit, že uživatel téměř nikdy neví: kde jsou jeho data uložena kolik jejich kopií existuje jak jsou data zabezpečena jak je pro útočníka jednoduché/náročné napadnout poskytovatele služby a data ukrást jaké jsou právní nároky států, u nichž jsou data uložena 11

Bezpečnost, rizika 12

Bezpečnostní výhody cloudových služeb Jaké bezpečnostní výhody přináší cloudové služby organizacím? Vysoká dostupnost Efektivnější/pravidelnější aktualizace 45 % 58 % Rychlé škálování zdrojů Data v geograficky vzdálených místech Bezpečnostní benefity z rozsahu Bezpečnostní odborníci na straně poskytovatele 35 % 26 % 20 % 20 % Další odpovědi: Silné bezpečnostní prvky reputace poskytovatelů je závislá na bezpečnosti jejich služeb (15%), Cloud nevyužívám(e)/nedokážu/nechci odpovědět (12%), Izolace aplikací a sítí (6%), Ostatní (3%) 47 % Aktualizace, záplatování Tyto procesy bývají běžně podřízeny provozním a byznysovým prioritám a musí se vejít do určitých udržovacích oken. V případě cloudových služeb se zákazníci o tyto procesy nestarají, jelikož jsou prováděny na straně poskytovatele. Rychlé škálování zdrojů Cloudové služby umožňují zákazníkům, aby během okamžiku získali více výpočetního výkonu. Z hlediska bezpečnosti to může být zautomatizováno např. pro případ útoku typu Denial of Service. 35 % 26 % Data v geograficky vzdálených místech Data bývají ukládána ve více kopiích umístěných v geograficky vzdálených datových centrech. V případě poruchy jednoho centra (např. z důvodu živelné katastrofy) a zničení všech dat v něj umístěných, nedojde k celkové ztrátě dat, jelikož jejich kopie jsou uloženy v jiných datových centrech. Bezpečnostní benefity z rozsahu, bezpečnostní odborníci Poskytovatelé cloudových služeb mají zabezpečení nabízených produktů na vyšší úrovni než zabezpečení IT prostředků u běžných organizací. Zároveň zaměstnávají zpravidla větší množství bezpečnostních expertů, kteří se přímo starají o zabezpečení služeb. 20 % Poskytovatelé cloudových služeb vnímají propojení úrovně bezpečnosti služeb s jejich reputací, což je přímo typické pro poskytovatele nehmotných služeb. 13

Finanční úspory cloudových služeb V jakých oblastech vidí organizace největší úspory při využití cloudových služeb? Dostupnost dat vliv na výkonnost zaměstnanců Cena práce odborníků spravujících IT infrastrukturu organizace 38 % 37 % Nákup potřebného hardware a software Cloud nevyužívám(e) nedokážu/nechci odpovědět 28 % 31 % Náklady na energie (spojené s chodem datových center, serverů, chladících zařízení atd.) Náklady spojené s řešením IT incidentu Metoda účtování poplatků pay-per-use (platba v závislosti na míře využívání služeb) 14 % 17 % 21 % Ostatní 2 % 38 % Vysoká dostupnost ovlivňuje chod cloudových služeb. Jejich bezproblémový chod je závislý na kvalitě datových center, ve kterých jsou data uchovávána. Datová centra jsou hodnocena podle kvalifikace Tier. 14 Data Center Tiers (Vrstvy datových center) Klasifikace infrastruktur datových center Hodnocena je kvalita systémů, opatření proti vnějším vlivům, zabezpečení a další Tier 1 Základní infrastruktura, absence redundantního napájení, chlazení a většiny IT vybavení. Dostupnost 99,67 % času povolený výpadek 28,8 h za rok. Tier 2 Přidává redundanci vybraných prvků (nikoli napájení a chlazení). Dostupnost 99,74 % času povolený výpadek 22 h za rok. Tier 3 Přidává redundanci napájení, chlazení a dalších vybraných prvků Dostupnost 99,98 % času povolený výpadek 1,6 h za rok. Tier 4 - Redundance všech komponent. Výpadek libovolné komponenty datového centra nijak neovlivní chod systémů/služeb (fault tolerance). Dostupnost 99,99 % času povolený výpadek 0,8 h za rok.

Bezpečnostní překážky cloudových služeb S jakými bezpečnostními překážkami se musí organizace využívající cloudové služby potýkat při jejich používání? Compliance (legislativa, nařízení) 50 % Integrace se stávajícím IT prostředím Strach z přílišné závislosti na daném dodavateli 32 % 38 % Nedostatečná transparentnost Nedostatečná nabídka cloudových služeb 14 % 21 % Další odpovědi: Cloud nevyužívám(e)/nedokážu/nechci odpovědět (14%), Nedostatek znalostí (12%), Finance (12%), Nedostatečné přizpůsobení cloudových služeb (12%), Dostupnost (7%), Ostatní (2%) Jaké jsou naše zkušenosti? Jaké jsou hlavní problémy našich klientů? V současné má době mnoho organizací obavy z regulatoriky outsourcingu, která se týká také cloudových služeb. Regulovaný je zejména finanční sektor a kritická infrastruktura státu. Častým problémem integrace cloudových služeb je řízení identity, konkrétně federace identity mezi cloudovými službami a systémy našich klientů. Zákazníci cloudových služeb musí mít dostatečnou míru jistoty v poskytovateli služeb, jelikož ochranu dat nemají pod svojí výhradní kontrolou. 50 % Compliance (legislativa, nařízení) Federace identit, Identity as a Service Federace identit je princip, který zákazníkům umožňuje, aby jejich zaměstnanci mohli přistupovat ke cloudovým službám na základě přihlašovacích údajů do interních systémů. Federace identit je běžnou součástí typu služeb, známých jako Identity as a Service, které organizacím nabízejí nástroje a možnosti k řízení identit. Běžnou součástí Identity as a Service je princip Single Sign-On, tedy jednotné přihlášení do všech systémů v organizaci, včetně využívaných cloudových služeb. 15

Bezpečnostní rizika tradiční řešení vs cloudové služby Jsou bezpečnostní rizika více spojena s cloudovými službami, nebo s tradičním on-premise řešením? 22 % 17 % 14 % 15 % 10 % 7 % 7 % 3 % 3 % 2 % 1 2 3 4 5 6 7 8 9 10 1 tradiční infrastruktura 10 cloudové služby 5,57 Průměrná hodnota z grafu Organizace připisují bezpečnostní rizika více cloudovým službám. Nejde ovšem o razantní rozdíl. Základem zhodnocení aktuálního stavu a nastavení správných bezpečnostních kontrol je vždy analýza rizik Analýza rizik cloudových služeb v porovnání s analýzou rizik tradičních on-premise systémů Jiné kontroly Např. pouze vybraná data posílána do cloudové služby Jiná opatření Např. zavedení pravidel akceptovaného použití cloudových služeb v organizaci Jiné katalogy hrozeb, zranitelností a aktiv Např. publikace Cloud Computing: Benefits, Risks And Recommendations For Information Security od organizace ENISA Jiné scénáře rizik Publikované také v publikaci uvedené výše od organizace ENISA Jiný přístup Např. potřeba zahrnout i zabezpečení na straně poskytovatele služeb Další prvky Např. zahrnutí speciálních standardů, legislativy, proces migrace 16

Bezpečnostní hrozby cloudových služeb Co považují organizace za bezpečnostní hrozby cloudových služeb? 66 % 42 % 35 % 33 % 26 % 21 % Přístup k datům neautorizovanou osobou Únik dat Krádež účtů v cloudových službách Insider hrozba na straně poskytovatele cloudové služby Útoky na sdílené části infrastruktury Ztráta dat (např. zničení datacentra z důvodu živelné katastrofy) Další odpovědi: DoS útok (11%), Nasazení malware (10%), Cloud nevyužívám(e)/nedokážu/nechci odpovědět (9%) Top 12 hrozeb cloud computingu dle organizace Cloud Security Alliance (CSA) 1. Únik dat 2. Nedostatečné řízení identit, přihlašovacích údajů a přístupu 3. Nezabezpečené rozhraní a API 4. Zranitelnosti systému 5. Krádež účtů 6. Insider hrozba 7. Advanced Persistent Threat 8. Ztráta dat 9. Nedostatečné Due Diligence 10. Zneužití, zločinné využití cloudové služby 11. Denial of Service 12. Zranitelnosti sdílených technologií Zdroj: https://downloads.cloudsecurityalliance.org/assets/research/top-threats/treacherous-12-top-threats.pdf 17

Kontroly, bezpečnostní opatření 18

Zaručení bezpečnosti dat v cloudu Jak organizace reagují na skutečnost, že na nastavení bezpečnosti cloudových služeb mají vliv poskytovatelé těchto služeb? 35 % 35 % 30 % 29 % 18 % 15 % Atestace/ certifikace Sankce ve smlouvách Zvýšené bezpečnostní kontroly Audit Cloud nevyužívám(e)/ nedokážu/ nechci odpovědět Neřeší Co jednotlivá ujištění znamenají? Assurance obecné ujištění o určitém stavu prostředí, obvykle vydávané ve formě tzv. reasonable nebo negative assurance ověřující strana vydává potvrzení, že nic nenasvědčuje tomu, že udávaný stav prostředí neodpovídá skutečnému Audit konkrétní forma ujištění, nejčastěji spojovaná se statutárním (finančním) auditem posuzujícím validitu účetní závěrky může jít také o audit podle konkrétního standardu Atestace písemné potvrzení o provedeném testu termín, který není v mezinárodních standardech pro audit přesně definován Certifikace potvrzení, že současný stav daného prostředí odpovídá zavedenému standardu příkladem je rodina standardů ISO/IEC 27000 Ověřovací zakázky SOC (Service Organization Controls) představují konkrétní formu ujištění o souladu kontrol u dodavatelských organizací (IT outsourcing) se vzrůstajícím číslem typu reportu (SOC 1 až 3) roste míra ujištění o bezpečnosti dodavatele Akreditace forma souhlasu nadřazené strany za účelem umožnění provozování určitého informačního systému (příp. jiného objektu) v daném prostředí?19

Bezpečnostní kontroly a opatření cloudových služeb Jaké mají organizace zavedené/plánované bezpečnostní kontroly a opatření cloudových služeb? 48 % 43 % 43 % 29 % 25 % 25 % Kontrola přístupu Šifrování dat Šifrování přenosu Bezpečnostní vzdělávání Monitorování, analýza logů - cloudová služba Monitorování sítě Konfigurace bezpečnosti cloudových služeb by měla být samozřejmost Před samotným používáním cloudových služeb je velice důležitá jejich správná konfigurace, zejména co se týká bezpečnostního nastavení. Tímto krokem se optimalizuje využívání dané služby a zákazníci se chrání před útoky na služby využívající předdefinované iniciální nastavení. Příklady bezpečnostních konfigurací, které by neměly být opomenuty: Nastavit dostatečně silnou autentizaci pro uživatele Nastavit vícefaktorovou autentizaci pro administrátory Nastavit přístupová práva jednotlivých rolí/uživatelů/skupin Nastavit správnou klasifikaci dat a relevantní bezpečnostní opatření Bezpečnostní incident Případová studie: Hotelový řetězec únik dat Únik dat 600 milionů klientů tohoto hotelového řetězce jména, čísla kreditních karet, emailové adresy, čísla pasů a další. Bezpečnostní nástroje detekovaly neoprávněný přístup do databáze v roce 2019, útočník byl ovšem v systému od roku 2013. Útočníkům se podařilo nabourat databázi s rezervacemi skrze rezervační systém hotelu, který je volně dostupný na internetu. Vstup do databáze nebyl dostatečně zabezpečen, zároveň nebyla dostatečně monitorována aktivita uvnitř databáze. Mezi opatření vedoucí ke snížení možného úniku dat patří např. DLP a PAM řešení, threat hunting, kontrola vstupních dat, pravidelné přezkoumání bezpečnostních opatření. 20

Dostatečnost kontrol a opatření cloudových služeb Pokud organizace používají cloudové služby, považují zavedené bezpečnostní kontroly a opatření těchto služeb za dostatečné? 1 2 0 % 3 % 3 7 % 4 10 % 5 25 % 6 7 10 % 9 % 8 25 % 9 10 4 % 6 % 1 Nedostatečné 10 Dostatečné 5,56 Průměrná hodnota Ochrana soukromí Ochrana soukromí a zajištění souladu s regulacemi, jako je GDPR, se stává standardem a nedílnou součástí strategie cloudové bezpečnosti. Umístění datových center mimo EU s sebou nese povinnost implementace dalších opatření. Počet společností, kterým se nepodařilo veškerá opatření plně implementovat, zobrazuje následující graf. 61 % 54 % 46 % 42 % 39 % 32 % 29 % 17 % 16 % Řízení dat Přístup založený na riziku Řízení dodávatelů Bezpečnost zpracování Zpracování, zákonná východiska Organizační a governance opatření Práva subjektů údajů Mezinárodní přenos dat Oznámení o transparentnosti a ochraně osobních údajů 21

Bezpečnostní standardy cloudových služeb Jaké standardy, specializující se na cloud computing, jsou v organizacích využívány? 60 % 15 % 13 % 9 % 9 % 7 % Cloud nevyužívám(e)/ nedokážu/nechci odpovědět ISO 27017 Ostatní ISO 27018 SOC 1,2,3 reporty Z rodiny NIST SP 800 (např. SP 800 144) Příklad bezpečnostních standardů, kontrol Rodina standardů ISO/IEC 27000 Bezpečnostní standardy vydávané organizací International Organization for Standardization, která působí zejména na území Evropy. Rodina standardů NIST SP 800 Bezpečnostní standardy využívané zejména v USA. Standardy navázány na americkou legislativu. ISO/IEC 27017 Rozšíření bezpečnostního standardu ISO/IEC 27002 o specifika cloudových služeb. Zahrnuje kontroly poskytovatele i uživatele cloudové služby. ISO/IEC 27018 Rozšíření bezpečnostního standardu ISO/IEC 27002. Zaměřuje se na ochranu osobně identifikovatelných informací ve veřejných cloudech. SOC 1 report - Interní kontrola finančního reportingu, za účelem auditu finančních výkazů, interní report. SOC 2 report - Kontrola IT prostředí, bezpečnosti dat, zpracování dat, interní report. SOC 3 report - Kontrola IT prostředí, bezpečnosti dat, zpracování dat, report určen pro veřejnost. Veřejně dostupné informace o shodě s bezpečnostními standardy Některé organizace poskytují veřejné informace o shodě s různými standardy, legislativními nařízeními a dalšími. Např. Amazon Web Services (AWS) - https://aws.amazon.com/compliance/programs/ 22

23

Služby PwC 24

Nabídka služeb PwC PwC Transformační rámec Strategie & analýza Analýza rizik informační bezpečnosti, hodnocení aktuálních organizačních a technických opatření na straně uživatele i poskytovatele cloudové služby Benchmarking (srovnání s ostatními organizacemi) Identifikace nedostatků k odstranění/oblastí ke zlepšení souvisejících s cloudovými službami Posouzení shody s normami ISO/IEC 27017, 27018 Definice cílových bezpečnostně-provozních modelů Definice přechodných plánů, harmonogramů a podpora prioritních obchodních případů Návrh Návrh možných řešení, opatření a procesů zabezpečení cloudu Identifikace klíčových cloudových služeb pro náběh Vypracování podrobného plánu přechodného období Výběr poskytovatele cloudových služeb (podpora v procesu RFI/RFP) Vývoj Zajištění cloudových bezpečnostních procesů, nástrojů, rámců, politik a dalších dílčích výstupů podporujících cloudové řešení Zajištění životního cyklu vývoje zabezpečení v cloudu (jak Agile, tak i Waterfall) Přehled architektury zabezpečení ve vztahu ke cloudovým službám Hodnocení bezpečnosti poskytovatelů cloudových služeb a smluv (tj. náležitá péče) Implementace Implementace cloudových bezpečnostních procesů, nástrojů, frameworků, politi a dalších výstupů do firemního prostředí Implementace správy cloudových služeb Poskytování školení managementu a workshopů pro pochopení specifik zabezpečení cloudu Zajištění kvality při náběhu a zajištění hladkého přechodného období Den 1 připravenost k implementaci cloudu (formou dryrun, tabletop nebo funkční připravenost) Provoz & přezkoumání Průběžné monitorování zabezpečení cloudu a integrace do SOCu Pravidelný bezpečnostní audit, hodnocení zranitelností a bezpečnostní architektury Poradenství v oblasti řešení správy identit v cloudu (důvěra v digitální identitu, federace) Poskytování reportů pro správu, které podporují rozhodnutí vrcholného managementu v oblasti zabezpečení cloudu Nastavení kroků a akcí souvisejících s cloudovými službami pro zajištění kontinuity provozu Zapojení forenzního oddělení v případě vyšetřování Posouzení IT prostředí/cloudových služeb za účelem poskytnutí SOC2 zprávy Aplikovatelné pro všechny fáze Transformačního rámce: 1 Projektová kancelář Poskytování odborných znalostí v oblasti IT Projektový management 2 Řízení změn Řízení všech změn v rámci společnosti souvisejících s přechodem zabezpečení cloudu 3 QA / Atestace Včetně provedení nezávislého atestu či provedení postupů dle konkrétního auditorského standardu 25

Poděkování V první řadě chci poděkovat všem, kteří nám pomohli svými odpověďmi na naše otázky. Bez vás by náš průzkum měl jen velmi omezená nebo i žádná data a naše závěry by zůstaly v rovině dohadů a spekulací. Spolupráce s TATE International pak byla potěšením, a je nám ctí poděkovat za podporu, bez které by tento průzkum pravděpodobně vůbec nevznikl. A v poslední, ale neméně důležité, řadě, chceme poděkovat všem Vám, kteří jste dočetli až sem a doufáme, že šlo o čas zajímavě a užitečně strávený. Váš zájem o kybernetickou bezpečnost je nadějí pro bezpečnost naší společnosti a pro rozvoj našeho odvětví jako takového. 26

Neváhejte nás kontaktovat Petr Špiřík Petr je ředitelem oddělení Cyber & Privacy a má za sebou více než 15 let praxe v informační a kybernetické bezpečnosti. Petr vedl řadu týmů v globální struktuře PwC a také zastával funkci regionálního CISO. petr.spirik@pwc.com +420 774 191 101 Michal Wojnar Michal vede v rámci oddělení Cyber & Privacy tým konzultantů zaměřených na informační bezpečnost, ochranu osobních údajů a krizové řízení. Michal má za sebou více než 9 let praxe a řadu úspěšných projektů. michal.wojnar@pwc.com +420 724 726 166 Michal Čábela Michal vede v rámci oddělení Cyber & Privacy tým Cyber Resilience. Má více než 10 let zkušeností v oblasti kybernetické bezpečnosti a zaměřuje se na oblasti Enterpise Architecture, OT/ICS Security a vývoj simulačních nástrojů. michal.cabela@pwc.com +420 775 214 115 Martin Zbořil Martin pracuje jako konzultant v oddělení Cyber & Privacy. Věnuje se oblasti kybernetické bezpečnosti z technického i procesního pohledu. V rámci doktorského studia se věnuje cloudové bezpečnosti. martin.zboril@pwc.com +420 734 783 921 27

2019 PricewaterhouseCoopers Audit, s.r.o. Všechna práva vyhrazena. PwC je značka, pod níž členské společnosti PricewaterhouseCoopers International Limited (PwCIL) podnikají a poskytují své služby. Společně tvoří světovou síť společností PwC. Každá společnost je samostatným právním subjektem a jednotlivé společnosti nezastupují síť PwCIL ani žádnou jinou členskou společnost. PwCIL neposkytuje žádné služby klientům. PwCIL neodpovídá za jednání či opomenutí jednotlivých společností sítě PwC, ani nemůže kontrolovat výkon jejich profesionální činnosti či je jakýmkoli způsobem ovlivňovat.

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář