Zaštita tajnih i poverljivih informacija nikada nije bila važnija za organizacije
Da bi opstale, kompanije ne mogu da izbegnu digitalnu transformaciju. Uz dugi niz prednosti koje donosi – povećanu efikasnost, poboljšano korisničko iskustvo, veću fleksibilnost, održivi rast i pristup globalnom tržištu – digitalna transformacija takođe može dovesti do većih bezbednosnih rizika.
Lagana nepažnja ili greška u upravljanju tokenima, sertifikatima ili API ključevima dovoljna je da napadač neovlašćeno „uđe” u interne servise kompanije. Rezultat je sve veće „curenje” tajnih podataka.
Čak i najmanja greška je dovoljna da tajni podaci – ključevi za šifrovanje, API tokeni, akreditivi i sertifikati – dođu u pogrešne ruke, što otvara put ka internim resursima. Jednom otkrivena, tajna može postati ozbiljna pretnja kompanijama.
M2M (machine to machine) autorizacija, odnosno komunikacija i razmena podataka između različitih uređaja bez ljudske intervencije, svakodnevno dovodi do bezbednosnih izazova. Upravo akreditivi koji su ukradeni tokom ovog procesa daju napadačima pristup internim servisima. Prema istraživanju, više od 60 odsto svih neovlašćenih ulaza u resurse kompanije uključuje ukradene pristupne podatke. Jasno je da zaštita takvih podataka, kao i drugih koji spadaju u kategoriju tajni, postaje bezbednosni prioritet.
Da bi funkcionisale nesmetano, kompanije moraju da obezbede nesmetanu komunikaciju između različitih aplikacija, mikroservisa i radnih okruženja (workflow). Protokoli koji stoje iza takve komunikacije spadaju u kategoriju tajni i moraju biti zaštićeni po svaku cenu.
Disperzija poverljivih informacija je neizbežna. Naime, podaci svakodnevno putuju iz jednog okruženja u drugo – na primer, iz jednog oblaka u drugi. Tako danas nalazimo tajne podatke na nivou CI/CD cevovoda, u slack kanalima i na mnogim drugim mestima. Stoga je jasno da upravljanje tajnama treba da bude centralizovano.
Kako broj DevOps timova raste, raste i softverska kodna baza. Bez efikasne zaštite, njihovo funkcionisanje je ugroženo. Naime, bez pravilnog upravljanja tajnama, jedini način na koji softverski sistemi mogu da dobiju pristup jedan drugom jeste ručno deljenje tajni unutar timova i njihovo ugrađivanje u kod. Možemo pretpostaviti da će se u praksi ovo završiti upotrebom veoma slabih lozinki – i to za niz različitih sistema. Zaštita tajni je, naravno, zbog toga teža.
Upravljanje tajnama je od suštinskog značaja
Neki od najvažnijih razloga zašto je upravljanje tajnama od suštinskog značaja i treba da postane prioritet kompanija su:
• Količina podataka stalno raste
Neki analitičari predviđaju da će se Global DataSphere (IDC-jev sistem za kvantifikaciju i analizu količine podataka stvorenih, snimljenih i repliciranih u bilo kojoj godini širom sveta) udvostručiti do 2026. Ova informacija je posebno značajna ako znamo da tek nešto više od 50 odsto kompanija zna gde se njihovi podaci čuvaju.
• Broj propisa i zakona raste
Zaštita podataka je već dugi niz godina u fokusu zakonodavaca i regulatornih tela, pa shodno tome raste i broj propisa kojih kompanije moraju da se pridržavaju u svakodnevnom radu. Međutim, više od 40 procenata osetljivih podataka uskladištenih u oblaku ostaje nešifrovano.
• Upravljanje postaje sve složenije
Složenost je tradicionalno glavni izazov u zaštiti podataka. Dodatni problem predstavlja činjenica da je više od polovine podataka unutar preduzeća neklasifikovano.
• Broj napada se povećava
Povećava se broj neovlašćenih pristupa internim servisima i poverljivim informacijama kompanija. Samo nešto više od polovine kompanija ima potpunu kontrolu nad ključevima za šifrovanje i pristupom šifrovanim podacima u oblaku.
Kompletna zaštita uz Thales CipherTrust Secrets Management
Thales CipherTrust Secrets Management omogućava efikasno upravljanje, skladištenje i pristup tajnama. Rešenje obezbeđuje automatizovanu rotaciju tajni i poštovanje propisa.
Ključne funkcije CipherTrust Secrets Management-a uključuju:
• centralizovano upravljanje tajnama,
• bezbedno skladištenje sa šifrovanjem,
• kontrolu pristupa,
• automatsku rotaciju tajni i
• praćenje svih aktivnosti i generisanje izveštaja.
