God save the Cloud

За последние 3 года я посетил десяток мероприятий, посвященных хранению персональных данных в облаке. Если они организовывались облачными провайдерами, то выступающие объясняли, почему размещение данных в облаке полностью соответствует всем законам. Если их организовали различные некоммерческие ассоциации, то можно было услышать истории в стиле Сноудена: вся информация в опасности, а в облаке – вдвойне, а уж размещение там персональных данных – это просто безумие.

Автор: Леонид Аникин Руководитель направления облачной инфраструктуры Softline

В каких случаях компании поднимают вопрос безопасности персональных данных в облачных проектах?

1. Наиболее редкая причина – компания действительно беспокоится, что данные о клиентах или сотрудниках в облаке будут более уязвимы, чем на собственных серверах.

2. Второй и наиболее распространенный случай – организация волнуется насчет проверок регулятора.

3. И, наконец, компании могут поднять тему персональных данных, чтобы формально обосновать свое решение не идти в облака. Вместе с плохими каналами персональные данные  –  наиболее популярные объяснения отказа от рассмотрения облачных проектов.

Я хочу подробно рассмотреть только вторую группу.

Законный вопрос

Законодательство о персональных данных регулирует то, как организации оперируют данными. В большинстве стран это, прежде всего, вопросы политик и процедур: как собирать, кому передавать, кто имеет доступ и т.п. В некоторых государствах есть также требования к использованию определенных технологий и средств защиты. В России у таких средств должна быть российская сертификация. В результате, многие международные компании не могут в нашей стране использовать системы, с помощью которых они обрабатывают такой тип данных у себя на родине.

Все эти требования осложняют жизнь, но неважно, в облаке расположены ваши данные или нет. Более того, для многих организаций перенос персональных данных в облака позволяет проще обеспечить соответствие требованиям, т.к. крупные облачные провайдеры уже внедрили необходимые средства защиты у себя.

Намного более серьезный барьер  –  это требование хранить персональные данные внутри страны. Кстати, оно существует не только в России, но и, например, в Казахстане, так что казахские облачные провайдеры получили дополнительных клиентов.

Большинство нормативных актов о персональных данных не выполняются в полной мере. В каждой стране сложился свой консенсус по поводу того, что регуляторы должны действительно контролировать, а что носит преимущественно декларативный характер. Так, разъяснения Роскомнадзора к закону о персональных данных намного проще принять к исполнению, чем непосредственный текст закона.

Что волнует ИТ-директора

За годы продаж облаков я слышал множество возражений против них. Одно из наиболее популярных  –  неочевидная безопасность.

Забавная вещь, что безопасность является одновременно и барьером для одних, и причиной для миграции в облако для других…

Во время мероприятий для потенциальных клиентов у меня было много дискуссий с ИТ-директорами средних и даже небольших организаций. Люди выражали свою озабоченность по поводу того, что облачный провайдер не сможет обеспечить им нужный уровень безопасности данных. Какие угрозы они упоминали?

• Конкуренты могут получить доступ к данным в облаке и причинить ущерб организации.
• Технический персонал провайдера может оказаться коррумпированным.
• Власти (например, налоговая служба) могут найти что-либо нежелательное об организации, анализируя данные в облаке.
• И отдельно от госорганизаций: ЦРУ, ФСБ, МОССАД (в зависимости от страны) могут «взломать» данные в облаке.

А что на деле?

Действительно, все, что перечислено выше, может случиться. Никто в провайдере не будет останавливать полицию, когда она придет с законным предписанием на изъятие данных, никто не сможет гарантировать, что персонал провайдера нельзя подкупить. Конкуренты и вправду могут нанять хакеров и найти дырку в защите. Единственный вопрос: как это связано непосредственно с облаком? Не является ли это всеобщими угрозами для любых ИТ-систем вне зависимости, в облаке они или нет?!

В таких дискуссиях я обычно прошу рассказать мне, как все эти угрозы контролирует компания сейчас, в собственной инфраструктуре. Часть клиентов говорит о DLP, DMZ, SSL, CASB и других средствах безопасности, о команде профессионалов, которая следит 24 часа в сутки за всеми подозрительными активностями и т.п. Но таких организаций немного.

Вторая группа признается, что они «в начале пути». Ни физической защиты оборудования, ни специализированных средств безопасности (не говоря уж о сотрудниках), все конкуренты знают их ключевых специалистов, с которыми теоретически можно «договориться». И при этом ИТ-директор обеспокоен, что DLP-система у облачного провайдера недостаточно совершенна, чтобы отразить все утечки!

Выбирайте грамотно

Конечно, облачные провайдеры  –  это не Форт Нокс. Они должны находить баланс между безопасностью, производительностью и ценой. Это профессиональные игроки, и безопасность – составная часть их бизнеса. Команда поддержки не знает, с какой стороны и какой тип атаки им ждать. Они должны защищать свою крепость от осаждающих со всех сторон врагов. В результате, ИТ-инфраструктура облачного провайдера в среднем более безопасна, чем инфраструктура компании-клиента. Для большинства организаций перенос данных в облако делает их более защищенными.

Но, если вам нужен больший уровень защиты, и если вы готовы тратить на безопасность большие ресурсы и строить защищенную инфраструктуру самостоятельно, то, возможно, вам просто не стоит идти в облако.