Файл: Облачные сервисы.pdf

2.2. Особенности защиты персональных данных в облачном сегменте киберпространства

Характерно, что согласно исследованиям основным мотивом отказа клиентов от облачных услуг на рынках СНГ является именно неудовлетворительный - свободный уровень безопасности данных^[15], и эти опасения имеют под собой почву, поскольку фундаментальным недостатком облачных сервисов действительно есть высокие риски их использования.

Выводы экспертов Еврокомиссии вполне подтверждаются имеющимися цифрами и фактами. Результаты глобального исследования Avoiding the Hidden Costs of the Cloud, осуществленного компанией Symantec в начале 2013 г., свидетельствуют о значительном проценте недобропорядочных игроков на рынке облачных услуг. Так, 77 % опрошенных в ходе исследования организаций как минимум один раз имели дело с мошенническими сервисами, а 40 % из этого числа стали жертвами кражи конфиденциальных данных^[16].

Рисунок 2. Проблемы сектора облачных технологий на 2018 год

В контексте прогнозов относительно значительного увеличения объемов и масштабов использования виртуальной информации (освоение так званных больших данных) облака становятся критически важным ресурсом благодаря возможности хранения в них фактически неограниченных объемов данных, доступных онлайн для личного и/или корпоративного пользования. Между тем, тренды ИТ-индустрии уже сейчас делают такие «мегахранилища» очень актуальными для пользователей.

Между тем глобальный мониторинг (2016 г.) британской компании Icomm Technologies засвидетельствовал, что сейчас облачные сервисы хранения данных в основном не соответствуют как элементарным требованиям безопасности, так и нормам законодательства. На запросы субъектов и владельцев относительно физического местоположения их персональных данных (страна, точное расположение) и, соответственно, относительно их текущей юрисдикции 70 % провайдеров не смогли дать ответа или всячески пытались его избежать. В материалах мониторинга отмечается, что, поскольку найти самые выгодные условия для физического размещения данных, большинство провайдеров практикуют аренду площадей и мощностей в отдаленных странах, нередко с несовершенным законодательством в сфере киберзащиты и защиты персональных данных.

Понятно, что в аспекте безопасности данных такое положение создает существенные риски как минимум по двум направлениям:

1) нормативно-правовой (конфликт юрисдикций в части регулирования трансграничной передачи данных и ограничений по их защите);

2) технологичный (ситуации, когда (а) чрезмерная удаленность сервера может привести к задержкам транспортировки данных и критических ошибок в работе программ; (б) один мощный дата-центр обслуживает большое количество потребителей по всему миру)^[17].

Красноречивым подтверждением недостаточной надежности современных облаков для размещения и хранения личных данных является осторожное отношение к ним самих разработчиков. По данным исследованиям компании Lieberman Software, более половины (51 %) ИТ-специалистов, которые имеют непосредственное отношение к разработке и обслуживанию облачных сервисов, отказываются хранить в них свои личные данные, а 86 % – критически важную корпоративную информацию ^[18]. В ноябре 2017 г. компания опросила участников всемирного конгресса Cloud Security Alliance (CSA) и выяснилось, что 88 % из них считают опасным хранения данных в облаке из-за высокого риска их утери и/или кражи^[19].

Судя по некоторым сведениям, свою роль здесь играет и определенная парадоксальность восприятия массовым интернет-пользователем «плюсов» и «минусов» облачных технологий. Так, согласно исследованию, проведенному в 2016 г. в США и Канаде компанией CA Technologies, в 2017г. более половины американских организаций планируют использование облачных сервисов для реализации своих бизнес-стратегий. Основной процент тех опрошенных, кто использует для этого частные облака (84 %), и большинство тех, кто пользуется сервисами публичными (73%), убеждены, что именно эти технологии надежно защищают их данные. При этом все без исключения респонденты заявили, что имели дело с потерей и/или оттоком корпоративных и личных данных и в 76 % случаев это было связано с «отказом ИТ-систем» (то есть, в основном – тех же облачных сервисов)^[20]. Абсолютное же большинство (91 %) участников упомянутого всемирного конгресса Cloud Security Alliance, критикуя облачные сервисы, все же признала, что сейчас они являются одним из наиболее эффективных, удобных и экономных бизнес-решений^[21].

В общем, сейчас весь комплекс проблем, связанных с соблюдением безопасности персональных данных в облаках, можно несколько условно разделить на две группы.

Системные, то есть обусловленные самой архитектурой облака как технико-технологического решения. Здесь, по большому счету, не решенным окончательно является вопрос о:

а) безопасности ПД как таковой, то есть принципиальной способности сервисам гарантировать хранение и обработку данных согласно закону;

б) физического размещения ПД и их трансграничной передачи, поскольку содержание дата-центра в любой выгодной провайдеру точке Земли полностью соответствует самой идее облака, но может быть опасным для пользователя;

в) доступа пользователя к своим ПД, поскольку объективно он не контролирует этот доступ.

Ситуативные, то есть обусловленные текущими обстоятельствами (финансовое и экономическое положение, конъюнктура рынков, несовершенство законодательств, стихийные бедствия, доступ к оборудованию и т. п.). Из приведенных фактов видно, что в условиях формирования рынка и бурного роста, который сейчас переживает облачная индустрия, значительное количество игроков – через сознательную недобропорядочность, или по другим причинам – не обеспечивает достаточного уровня защищенности потребителей и их ПД. В отличие от объективных, эти проблемы в основном не имеют системного характера, и можно ожидать, что с дальнейшим развитием ИТ и установкой единых правил игры на рынке отрасли они в значительной степени будут решены.

В частности, постоянно совершенствуется их безопасная составляющая, однако из изложенного понятно, что сейчас, применяя облачную модель хранения и обработки информации, достаточно проблематично гарантировать пользователю:

а) постоянный и стабильный доступ к его данным;

б) неприкосновенность этих данных;

в) контроль за их обработкой;

г) точные сведения об их местонахождении, – иначе говоря, проблематично гарантировать его фундаментальное право на «прайвеси».

В то же время нельзя отрицать, что в организации и архитектуре облачного сервиса исходят звенья, способные стать потенциальной основой мощной и эффективной системы защиты данных. Более того, их вполне можно рассматривать как преимущества безопасности по сравнению с технологической веб-средой предыдущего поколения.

Во-первых, в современных облачных сервисах все данные и трафик обязательно шифруются (обычно с использованием протокола SSL – Secure Sockets Layer). Следовательно, у персонала облачных дата-центров, как и у любых других третьих лиц, нет прямого доступа к персональным данным – без ввода уникального пароля они являются просто набором символов. К тому же потребителю всегда доступна дополнительная степень защиты – шифрование информации с помощью электронной цифровой подписи, что, кроме пароля, предусматривает введение особого электронного ключа, размещенного на физическом носителе – специальной флешке, которая есть только у субъекта ПД. Все это делает прямой несанкционированный доступ к данным пользователя, размещенных в удаленных хранилищах, достаточно проблематичным.

Во-вторых, профессиональному хакеру гораздо проще получить доступ к информации на локальном компьютере (например, отправивши по электронной почте программу - троян), чем пытаться взломать системы защиты облачного дата-центра, где он, в частности, имеет дело с противодействием специалистов – системных администраторов.

В-третьих, в случае утери данных вследствие чрезвычайной ситуации в современных дата-центрах, как правило, делается резервное копирование информации на другие серверы.

В-четвертых, сейчас на уровне глобальных ИТ-предприятий ведется постоянная и масштабная работа по разработке каждый раз более совершенных аппаратно-программных комплексов защиты данных в облаках. Менеджер Cisco по маркетингу сетевых вычислений и виртуализации Джеймс Уркхарт констатирует: «Крупные поставщики облачных услуг, такие как Amazon, CSC, HP, IBM, Salesforce.com Verizon Business и другие, создали мощные механизмы безопасности. Они работают не только на прикладном, но и на инфраструктурном уровне и включают в свой состав такие инфраструктурные средства, как межсетевые экраны и системы шифрования"^[22]. Эксперт Cisco утверждает, что сейчас уже существуют решения для достаточно эффективной защиты любых облачных услуг.

Среди современных высокоэффективных систем защиты данных можно назвать семейство специализированных аппаратно-грамотных решений CloudSpan от компании Layer 7 (CloudConnect, CloudProtect и CloudCont-rol), а также JaxView for Cloud Management от компании Managed Methods.

Такие компании, как Altor Networks, Catbird Networks и Reflex Systems, также адаптировали свои продукты для безопасности центров обработки данных к работе в облачной среде, которая позволяет им обеспечить безопасность использования облачных сервисов. Платформа Symantec O3 Cloud Iden-tity and Access Control создает единую точку доступа к любым облачным решениям и сервисов, применяя при этом трехуровневую защиту: контроль доступа, информационная безопасность, управления информацией^[23].

Вообще, системы безопасности становятся все более странными и гибкими.

Так, архитектура Cisco для облачной безопасности позволяет организациям задавать системе сложные индивидуальные настройки. В документах компании приводится пример такой настройки: «Вице-президент по продажам имеет право на доступ к глобальным прогнозам продаж, но если он попытается получить такие данные через смартфон с территории страны имярек с помощью неизвестного протокола и при этом двумя часами ранее он выходил в сеть с полной аутентификацией из Калифорнии – запрос должен быть отклонен»^[24]. Интересно, что сейчас облачные технологии уже сами по себе используются для создания сверхмощных и сверхскоростных антивирусных сетей – например распределенной сети Kaspersky Security Network^[25].

Итак, если основой идеологии первых систем защиты данных в облаках была идея защиты корпоративных сетей с помощью брандмауэров, то большинство современных решений в этой области ориентированы, прежде всего, на защиту точек доступа за счет сочетания межсетевых экранов и средств шифрования данных на уровне пользователя. Как результат – каким бы устройством не пользовался абонент доступа к облаку, данные будут защищены на всех стадиях их обработки.

Все изложенное – это типичный набор аргументов производителей и вендоров облачных решений в пользу безопасности их использования. Они единодушно уверяют, что уже на данной фазе развития технологии вероятность потери персональных данных, размещенных в облачных дата-центрах, гораздо ниже, чем когда они хранятся в традиционном персональном компьютере «под столом».

В любом случае не подлежит сомнению, что средства защиты данных в облаках быстро эволюционируют и совершенствуются. Этот факт заметно увеличивает уровень оптимизма среди экспертов. Один из известных ИТ-специалистов, член наблюдательного совета консорциума Intecracy Group Антон Марреро, например, уверен, что «новейшие разработки в области безопасности облаков должны полностью развеять опасения клиентов». По словам эксперта, в настоящее время ведущие поставщики облачных услуг хранят у себя на серверах петабайт конфиденциальных данных, и за все время не произошло ни одной значительной потери/ утечки данных^[26].

Вместе с тем трудно не согласиться с Ричардом Стинноном, аналитиком компании GigaOM Pro и учредителем фирмы IT-Harvest, которая исследует проблемы информационной безопасности: «до сих Пор мы не видели ни одного серьезного взлома систем безопасности в облаке, но рано или поздно это обязательно произойдет. Это только вопрос времени "^[27].

Существенно повысить уровень защиты данных в облаке возможно, тщательно соблюдая, так сказать, определенные правила производственной гигиены. Резюмируя соображения экспертов, можно разделить ряд условий, необходимых для достижения приемлемого (хотя и не стопроцентного) уровня безопасности современного облачного сервиса для персональных данных пользователя. Сейчас это возможно при наличии таких обязательных составляющих.

• Аппаратная (физическая, хардверная) составляющая:

а) оборудование, на котором реализована облачная ИТ-инфраструктура, должно находиться в защищенном помещении, с климат-контролем, бесперебойным питанием, эффективной противопожарной защитой;