версия для печати
Безопасность «облачных» услуг: взять барьер зрелости

Безопасность "облачных" услуг: взят барьер зрелости

Поставщикам облачных сервисов уже удалось убедить бизнес в том, что хранящаяся вовне информация находится под надежной защитой. В итоге сейчас этот сектор показывает небывалый рост, однако критические данные "облакам" все еще не доверяют.

Рынок "облачных" услуг в России, несмотря на то, что растет довольно быстрыми темпами, находится на несколько более ранней стадии развития, чем в США и Европе. Доверие со стороны российских заказчиков постепенно растет, хотя проблема безопасности передачи критичных данных в "облако" остается одним из сдерживающих факторов. На данном этапе, когда отечественные поставщики "облачных" услуг готовы гарантировать безопасность на уровне международных стандартов, наиболее актуальными остаются вопросы, связанные с упорядочиванием законодательства и стандартизаций моделей в сфере "облачных" услуг.

Зарубежный и российский рынки

По данным IDC, общий объем рынка облачных вычислений в России за год вырос на 417,3%. Компании все больше доверяют "облакам" и используют их на практике, в том числе меняется отношение к "облаку" как к возможности повысить защищенность данных. 41% специалистов считают, что передача ИТ-сервисов в "облако" позволяет усилить защиту компании. Однако, несмотря на позитивную динамику, вопрос безопасности данных продолжает оставаться одним из ключевых, как для потребителей, так и для поставщиков "облачных" сервисов.

Например, на сегодняшний  день частные "облака" преобладают над публичными в соотношении приблизительно 70% к 30%. Эта пропорция примерно отражает соотношение крупного бизнеса к среднему и малому. По оценкам компании Orange Business Services, крупный бизнес особенно заинтересован в максимальной безопасности, которая доступна с использованием частных "облаков". Гибридная модель в настоящее время не пользуется популярностью у нас в стране, поскольку большинство компаний, приходя к необходимости "облачных" вычислений, выбирают одну из основных моделей в зависимости от своих требований к безопасности и от размера бюджета.

"Сейчас пользу от перехода в "облака" видят все. Основными тормозящими причинами я считаю две вещи: во-первых, компании пока не доверяют "облакам" в вопросах безопасности данных. Во-вторых, нужен регулятор этого рынка, который сможет создать соответствующие условия, когда частным и госкомпаниям будет выгодно строить ИТ в "облаке"", — прокомментировал Игорь Хомков,  генеральный директор "Альтера Лаб" - представителя Compuware INC.

Тот, кто пользуется "облаками", должен быть уверен, что информация надежно защищена. Тот, кто предоставляет "облака", должен сделать все для защиты и гарантировать сохранность и конфиденциальность. Однако, несмотря на то, что сегодня российские "облака" готовы обеспечивать такой же высокий уровень ИБ, как и зарубежные, проблема с доверием не решена и немногие российские компании готовы отдать данные в "облака", - считает Алексей Альбин, руководитель направления Cloud Services ГК "МЕГА-НН".

Зарубежные компании в странах с так называемой развитой экономикой уже накопили большой опыт по обработке и защите персональных данных. "Например, для нашей компании, которая является "дочкой" Deutsche Telekom и работает по немецким стандартам, стало практикой прохождение регулярных внутренних и внешних аудитов как по безопасности информации в целом, так и по защите персональных данных в частности. Подобные аудиты являются необходимой частью процесса получения сертификатов ISO. Кроме того, практикой стало заключение специальных договоров на защиту информации (Data Protection Agreement - DPO)", — прокомментировал Александр Власов, руководитель подразделения телекоммуникаций и ICTO T-Systems-CIS, глава московского офиса Deutsche Telekom.

Отсутствие законодательной базы

Основные проблемы для российских поставщиков "облачных" услуг сегодня связаны с отсутствием четкой законодательной базы как внутри страны, так и на международном уровне. Кроме того, компании обладают недостаточным объемом практики правоприменения существующих законов и испытывают нехваткусертифицированных специалистов в области защиты данных и формализации ИТ-процессов. Не все предприятия могут корректно собрать у своих сотрудников и клиентов необходимые документы, подтверждающие их согласие на обработку персональных данных.

По мнению Руслана Заединова, руководителя направления центров обработки данных компании "Крок", в России и других странах есть ряд нормативных актов, которые фиксируют перечень мер, необходимых для обеспечения безопасности информации. Проблема в том, что в России пока что нет документов, которые определяли бы степень применимости этих мер к "облачной" модели предоставления ИТ-услуг, то есть отсутствует набор стандартов информационной и физической безопасности для "облачных" сервисов. Кроме того, для правильного выстраивания отношений между облачным провайдером и потребителем, в том числе в сфере защиты данных, необходима законодательная база, которой пока что в России нет. В частности, нужны механизмы, которые позволяли бы в электронном виде устанавливать отношения между субъектами и подтверждать факт предоставления услуг с последующей оплатой.

В связи с законодательными ограничениями, по словам  Дмитрия Митрофанова, заместителя директора сервисного подразделения "Ай-Теко", компании разрабатывают комбинированные решения: оставляют у себя персональные данные, а в "облако" передают обезличенные данные и их обработку.

Формализация ИТ-процессов в "облаке"

В целом объем передаваемых в "облако" данных увеличивается, но доля особо критичных данных растет медленней. Российские компании теоретически готовы передавать персональные данные в "облака", так как на рынке представлены все необходимые для этого аппаратные и программные средства. Но не каждая организация сможет перенести критические данные в "облака", потому как существует барьер зрелости в части соблюдения стандартов работы с конфиденциальными данными.

То, что система, перенесенная в "облако", становится ближе к интернету, предполагает более глубокий подход к информационной безопасности. Формализация ИТ-процессов и приведение их в соответствие с политикой безопасности, как правило, сложный и долгий процесс, который заставляет заказчика задуматься о правильности применения антивирусных систем, систем защиты от несанкционированного доступа и т.д. Поэтому, как считает Вадим Стеценко, старший вице-президент группы компаний MAYKOR, для начала нужно выполнить формализацию всех ИТ-процессов компании, выявить "тонкие места", организовать правильную политику безопасности, а затем уже переносить критические данные в "облако". Основная проблема заключается в разработке правильной защиты виртуальной инфраструктуры или сервисов.

Защиты периметра сети и самой облачной инфраструктуры, которую обеспечивает провайдер, по словам Руслана Заединова, недостаточно: необходима также безопасность прикладных систем заказчика и определенная зрелость компании в части соблюдения стандартов работы с конфиденциальными данными. Например, возможна ситуация, когда администратор заказчика по неосторожности дает к системе, расположенной в "облаке", доступ через интернет, а пароль на вход оставляет "простым". В этом случае взломщик может с 1-2 попыток подобрать пароль и проникнуть в прикладные системы заказчика. И защита, обеспеченная провайдером, ему не помешает: "облако" посчитает взлом обычным входом пользователя, имеющего пароль.

Кроме того, угрозой могут стать компании, разместившие свои виртуальные мощности в этом же дата-центре; например, "сосед", который занимается атаками на внешние ресурсы из "облака". Наконец, теоретически возможна ситуация, когда провайдер может завладеть данными заказчика. Можно минимизировать эти риски, например, зашифровать данные собственными ключами при передаче. И все же техническими средствами в "облаке" в конечном счете, управляет провайдер. Поэтому важно, чтобы он был не только поставщиком услуг, но и надежным партнером.

Гарантии?

На сегодняшний день основными гарантами безопасности данных в "облаке" выступают не сервис-провайдеры, у которых практически нет собственных ЦОДов, а организации, которые содержат ЦОДы. И они готовы отвечать за защиту данных в "облаке", используя базовые практики безопасности: зашифрованные разделы, на которых размещаются данные, шифрование каналов от заказчика до провайдера "облачных" услуг, использование современных антивирусных систем, отслеживание действий пользователей. Использование новейших практик безопасности, по словам Вадима Стеценко, позволяет снизить риск кражи информации.

Аудит консалтинговой компании – еще одно развивающееся направление, позволяющее дать дополнительные гарантии провайдеру. Этот аспект, по мнению Руслана Заединова, особенно важен, например, для финансовой отрасли, где компании несут ответственность за сохранность конфиденциальных данных клиентов. Оценка независимого аудитора – это подтверждение того, что "облако" соответствует всем требованиям безопасности.

Кроме  аудитов, гарантировать защиту информации могут такие методы, сертификация по различным стандартам, а также заключение соглашений о защите данных, которые включают применение штрафных санкций и предоставление финансовых гарантий возмещения ущерба, возникшего из-за утечки данных, считает Александр Власов.

Только вверх

По мере того, как все больше компаний начинают переводить свою ИТ-инфраструктуру в "облака" и передавать важные корпоративные данные, у злоумышленников появляется больше поводов "подобраться" к этой информации. Это, в свою очередь, должно стать стимулом для производителей ПО, заставляя ихповышать степень защищенности своих продуктов.

Защита данных в "облаке", по мнению экспертов,  ближайшие годы будет развиваться по целому ряду направлений, связанных с обеспечением ИБ персональных данных и баз данных, а также шифрованием видео. Будут совершенствоваться антивирусные системы, повышаться контроль за действиями пользователей (защита от несанкционированного доступа), передачей данных между виртуальными ресурсами, обменом данными между провайдером облачных услуг и клиентом и т.д.

Внимание государства к сертификации "облачных" платформ и прикладных систем позволит создавать "облачные" решения с документально подтвержденной конфиденциальностью корпоративной и персональной информации. Очевидно, что значительные усилия будут направлены на усовершенствование законодательства.

Также важными трендами станут повышение культуры пользователей, проведение регулярных аудитов и сертификация поставщиков. По мере роста зрелости рынка бизнес будет двигаться в сторону формализации ИТ. По мнению Руслана Заединова, сейчас повсеместному переходу в "облако" мешает отсутствие формализации ИТ-процессов. Передавая ИТ-системы в "облако", организация должна обладать набором метрик, необходимых для проверки качества работы облачного провайдера. Эти метрики могут иметь техническую и организационную специфику и должны быть согласованы с бизнес-задачами потребителя.

Техноблог | Форумы | ТВ | Архив
Toolbar | КПК-версия | Подписка на новости  | RSS