Как обезопасить свою компанию в эпоху больших данных и облачных сервисов
На вопросы редакции отвечает Владимир Ливинский, продакт-менеджер компании «ТИОНИКС».
Зачем данные хранят в облаке?
Хранение данных в облачных сервисах несет ряд преимуществ как для компаний, так и для обычных пользователей. Самый простой пример из повседневной жизни – внезапно сломался компьютер или потерялся телефон. Если данные хранились не только на конкретном физическом устройстве, а имели резервные копии, например, на Google-диске или Яндекс.Диске, на Dropbox или подобных сервисах, то восстановить их не составит проблемы. Этими данными удобно делиться. Люди пользуются облачными сервисами практически каждый день. Для небольших компаний облачные сервисы позволяют организовать централизованное хранение и управление данными (что существенно повышает их доступность и простоту администрирования, а также сохранность). Во время пандемии необходимость отправить сотрудников работать из дома, сделало размещение документов в облаке очень эффективным инструментом: отчеты, бланки документов и презентации можно размещать в папках с регулируемым доступом. Сервисы дистанционного образования предлагали своим студентам доступ к библиотеке учебных материалов и лекций, которые хранятся в облаке. Облачными сервисами давно и успешно пользуются команды разработчиков, работающих из разных стран. Это только самые очевидные области применения.
Безопасно ли хранить персональные данные в облаке?
Крупные компании организуют собственные облачные платформы именно потому, что это позволяет им хранить персональные и конфиденциальные данные внутри самих компаний при этом используя все плюсы облачных сервисов. Хранение данных в облаке позволяет настраивать доступ к информации в зависимости от уровня допуска сотрудника, а также передавать данные по закрытым каналам, параллельно защищая всю инфраструктуру от внешнего вмешательства. Защита облака, по сути своей, мало чем отличается от защиты традиционного ЦОД, используются те же средства защиты профессионального уровня, а это практически исключает DDoC-атаки, взлом серверов, потери данных из-за сбоев и т.д. Безусловно, построение физической инфраструктуры для создания внутреннего корпоративного облака – это дорогостоящий проект. Это требует покупки оборудования и найма штата специалистов, которые смогут ее обслуживать, а также увеличит затраты на энергию и аренду площадей для размещения оборудования. Поэтому собственные облака создают только очень крупные компании или компании, имеющие отношение к гостайне, которые не могут пользоваться доступом в Интернет и внешними облачными сервисами.Компании поменьше, как правило, пользуются сторонними облачными сервисами как услугой, без необходимости обеспечения сложной и дорогостоящей инфраструктуры. Все более стремительный переход на облачную инфраструктуру, начиная от небольших компаний и заканчивая IT-гигантами, наглядно говорит о целесообразности использования данной технологии.
Чем отличается подход в обеспечении персональных и корпоративных данных?
Тут есть несколько аспектов – формальный юридический, технологический и тот, что проистекает из практики. С формальной точки зрения, можно обратиться к 152-ФЗ о персональных данных, который регламентирует как само понятие «персональные данные», так и их контроль. Вопрос корпоративных же данных – скорее о конфиденциальности и регулируется 149-ФЗ. Согласно закону получается, что регламент работы с персональными данными декларирует государство на законодательном уровне, а работу с конфиденциальными данными внутри компании регламентирует сама компания. С точки зрения используемых технологий разницы нет, одинаковые технологии применяются как для защиты персональных данных отдельных пользователей, так и корпоративных данных. Существуют, однако, значительные различия в объеме и качестве средств защиты. Из практики же мы выносим неутешительный вывод: какой бы совершенной ни была технология защиты, она пасует перед человеческой глупостью и корыстью. Последние события подарили нам отличные примеры. Аккаунт тик-ток звезды Дикси Д'Амелио с 46 млн подписчиков похитили, потому что она пользовалась паролем dixie123. Это широко распространенное явление – ежегодно выходит рейтинг самых взламываемых паролей, например от DeviceLock. Если внутри облачного хранилища настроить пароли аналогичной сложности, то результат предсказуем. Это – элементарная глупость. В случаях же с громкими утечками баз данных госучреждений или крупных банков виновата алчность. В качестве и надежности технологической стороны защиты данных в этих организациях сомневаться не нужно, однако утечки происходят регулярно. Чтобы понять, как это работает, можно внимательно прочитать материалы Bellingcat, в которых они рассказывают, откуда получили данные для нашумевших расследований: в так называемом даркнете можно приобрести базы данных и контактов людей за сходную цену, а торгуют ими инсайдеры – люди, которые работают в этих организациях. Тем не менее, по статистике, корпоративные данные оказываются утеряны куда реже, чем пользовательские, что в целом говорит о качестве защиты.
О сохранности данных должны беспокоиться компании, которые с ними работают или сами пользователи? Что нужно сделать, чтобы хранить персональные данные в облаке стало безопасно?
Сохранность данных – проблема, которая касается каждого. И компании, и пользователи должны со всей серьезностью подходить к обеспечению сохранности данных, соблюдению регламентов, правил использования и хранения, и лишь тогда сохранность будет обеспечена. В случаях с рядовыми пользователями нужно учитывать особенности облачных хранилищ – как правило, люди пользуются бесплатными сервисами, не читая соглашения. Все, что может сделать пользователь бесплатного облачного сервиса, чтобы обеспечить сохранность своих данных в облаке, – задать хороший сложный пароль, никому и нигде его не сообщать, регулярно его менять, настроить многофакторную аутентификацию. Можно выбрать и платный облачный сервис, но это не избавляет от необходимости соблюдения цифровой гигиены. В отношении корпоративного сектора – нужно доверить создание облачной инфраструктуры и её администрирование профессионалам. В какой-то момент развития технологий компании сами создавали внутренние облака, потому что облака – это удобно и эффективно, но быстро столкнулись со сложностями: дороговизна исполнения, невозможность быстро масштабировать систему в случае необходимости, сложность в поиске на рынке достаточного количества специалистов для обслуживания облачной системы. Как отмечают аналитики IDC, в последние пару лет отмечается рост интереса со стороны крупных компаний именно к платформенным решениям с поддержкой непрерывности бизнеса, хотя всего несколько лет назад их интересовали преимущественно решения в области построения инфраструктуры. То есть стать потребителем уже существующего облачного сервиса намного эффективнее. Как выбрать качественного провайдера облачного сервиса? Необходимо проверить наличие у компании собственного дата-центра, наличие лицензий ФСТЭК и ФСБ, наличие договоров о поставке и обслуживании оборудования с одним из крупных вендоров, длительность присутствия компании на рынке, ну и, конечно, удобство их системы и приемлемость стоимости услуг. Тут важно подчеркнуть, что сейчас есть российские решения, которые полностью готовы обеспечить построение облачного сервиса (от виртуализации серверов и до обеспечения их безопасности). Создание облачного сервиса инхаус или через аутсорс – это только половина дела, техническая. Вторая половина – организационная. Если сотрудник напишет пароль от защищенного облака на бумажке и приклеит ее к монитору – данные могут оказаться под угрозой. Вопрос сохранности данных – это постоянная, ежедневная работа как для самой компании, так и для ее сотрудников. Необходимо воспитывать корпоративную и персональную культуру работы с данными.
Может, вообще отказаться от хранения персональных данных в облаке?
Тут вопрос лежит в области целеполагания – зачем отказываться? Отказаться можно и от Интернета, и от мобильной связи и мобильных устройств, но станет ли жизнь от этого лучше? Развитие информационных систем и систем связи неизбежно приводит к необходимости решать проблемы защиты данных, безопасности каналов связи: в старину изобретали шифры, чтобы шпионы, отловив гонца с депешей, не могли ее прочесть, с появлением радио появилась необходимость создания закрытых каналов связи, а не только шифрования, то же продолжается сейчас. До тех пор пока существуют данные будет существовать необходимость ее защиты. С развитием информационных систем передавать данные становится все проще и удобнее, а это в свою очередь влияет на развитие всего общества. Общество у нас информационное. Облачные технологии – шаг вперед в области хранения и передачи данных. Без облачных технологий немыслим текущий уровень развития, поэтому отказаться от использования облака можно только в персональном порядке – удалившись от мира в лес!
Опубликовано 01.04.2021