Теневые ИТ становятся серьезной проблемой: сотрудники государственных органов и служб массово переходят в облако для решения повседневных задач. Согласно результатам исследования Skyhigh Networks, в среднем, государственная организация использует 742 облачных сервиса, что примерно в 10 раз превышает ожидания ее ИТ-отдела. Исследование основывается на анонимизированных фактических данных более 200 000 пользователей из госсектора США и Канады об использовании облачных сервисов.
Самая популярная категория некорпоративных облачных сервисов — совместная работа (например, Microsoft Office 365), затем следует разработка (Sourceforge, GitHub), общий доступ к файлам (Dropbox) и публикация контента (YouTube). Помимо корпоративных сервисов многие сотрудники используют обычные пользовательские ресурсы, в первую тройку которых входят Twitter, Facebook и YouTube.
И хотя сотрудники исходят из лучших побуждений, несанкционированное использование публичных ресурсов становится серьезной проблемой для государственного сектора. Исследование показало, что, согласно оценкам правительственных агентств США, примерно треть имеющихся данных нельзя помещать в облако из соображений безопасности и цифрового суверенитета данных. Аналогичная ситуация с безопасностью данных наблюдается и в ЕС.
Несоответствие базовому уровню безопасности
Пугающее количество облачных сервисов не отвечает даже базовому уровню безопасности, необходимому для промышленного использования. Специалисты Skyhigh проверили более 10 000 облачных сервисов по оценочной системе, разработанной Cloud Security Alliance, и пришли к неутешительным выводам: только 9% сервисов оказались пригодными для корпоративного использования (Enterprise-Ready CloudTrust). Некоторые облачные службы отличались высоким уровнем риска; в числе первой десятки по объему загружаемых данных — Smallpdf, LiveLeak and FilePi.
«Сервисами с высочайшим уровнем риска названы те, что расположены в странах с ограничениями на экспорт товаров и технологий. Они удерживают права на загруженные объекты интеллектуальной собственности, сохраняют данные после удаления учетной записи пользователей либо сталкивались с утечкой данных», — говорится в отчете.
Утечка данных ставит под угрозу не только конфиденциальную информацию государственных органов, хранящуюся на взломанном сервисе. Проблема заключается в том, что пользователи нередко применяют одни и те же логины и пароли для входа на различные ресурсы. Таким образом, если будет взломана «учетка» на одном сервисе, за этим с высокой вероятностью последует взлом и других учетных записей.
Исследование также сопоставляет украденную личную информацию из даркнета и попытки несанкционированного доступа к учетным записям пользователей. Это дает представление о том, сколько правительственных организаций США оказались под угрозой. Полученные цифры пугают: в 96% организаций были скомпрометированы учетные записи пользователей; в среднем у 6,4% их сотрудников была взломана хотя бы одна учетная запись.
Медлить нельзя
Ясно, что госсектор должен незамедлительно принять меры, чтобы предотвратить угрозу серьезного нарушения безопасности из-за несанкционированного использования сотрудниками ресурсов и служб. ИТ-отделы госслужб должны радикально изменить отношение к облачным сервисам, поскольку, несмотря на энтузиазм высших эшелонов власти, 89% ИТ-специалистов из госсектора настороженно относятся к переходу в облако.
Очевидно, что пользователи обращаются к облачным сервисам потому, что, по их мнению, государственные системы обработки данных обновляются слишком медленно. Согласно результатам исследования, 54% федеральных агентств США заявили о невозможности оперативного получения требуемых ИТ-ресурсов.
Если ИТ-отделы не позаботятся о том, чтобы обеспечить сотрудников необходимыми ресурсами с надлежащим уровнем безопасности, то несанкционированное использования ресурсов и служб так и останется серьезной проблемой.