65 айтишников задержаны.
32 — неизвестно где.
21 вышли на свободу.

«Кто-то имеет доступ к вашим данным». ИТ-руководители об опасности клауда

Хранение данных в облаках для современных компаний — скорее, вопрос выбора провайдера, чем доверия к технологии. Мировой облачный рынок, по прогнозу аналитиков из IDC, к 2023 году достигнет $500 млрд. Тем не менее каждый имеет право сомневаться и беспокоиться о защите данных. Вместе с MTC Cloud мы спросили у руководителей ИТ-компаний и их отделов, какие данные, по их мнению, стоит отдавать клауд-провайдерам, а какие — нет.

13 комментариев

Хранение данных в облаках для современных компаний — скорее, вопрос выбора провайдера, чем доверия к технологии. Мировой облачный рынок, по прогнозу аналитиков из IDC, к 2023 году достигнет $500 млрд. Тем не менее каждый имеет право сомневаться и беспокоиться о защите данных. Вместе с MTC Cloud мы спросили у руководителей ИТ-компаний и их отделов, какие данные, по их мнению, стоит отдавать клауд-провайдерам, а какие — нет.

Кирилл Голуб, венчурный инвестор, сооснователь, экс-СЕО Aheadworks

— Говоря о том, какие данные хранить в облаке безопасно, а какие нет, мы немного лукавим, потому что без хранения данных в облаках мы уже не можем обойтись. Простой пример: индивидуальную почтовую переписку многие ведут на Gmail — это хранение в облаке или нет? Ответ, очевидно, «да», хотя в этом случае мы используем нестрогое определение облака. 

Чтобы решить для себя эту дилемму, надо ответить на несколько вопросов. Первый: храним ли мы в облаках свои данные или данные, которые доверили нам наши клиенты? 

Как правило, мы храним не только собственные данные, но и чужие: бизнес-контакты, переписку с клиентами в CRM и т. д. Сегодняшний уровень интеграции информационных систем настолько высокий, что мы зачастую и не догадываемся, где хранятся наши данные и как сервисы обмениваются ими друг с другом. Яркий пример — обработка платёжной информации, которая включает в себя много промежуточных сервисов. 

Второй вопрос: идёт ли речь об общеиспользуемом облачном хранилище или о специальном решении из области private clouds? В последнее время большую популярность набрали компании, которые предоставляют услуги частных облаков. С одной стороны, это вроде бы облачное хранение. С другой стороны, серверы, на которых хранятся данные, могут принадлежать самому клиенту. 

Третий вопрос: насколько наши данные ценны для кого-то, кроме нас? Это стандартная дилемма для тех, кто сталкивался с хакерскими атаками: если тратить все ресурсы на защиту от них, то в какой-то момент расходы начинают превышать стоимость этих данных. 

Нужно найти баланс «брони и снаряда». Каждая компании должна взвесить, насколько её данные принадлежат именно ей, насколько они ценны для неё и для конкурентов (которые захотят купить эти данные), а также для злоумышленников (которые захотят их украсть и перепродать конкурентам). Кроме того, следует оценить, что произойдёт с вашим бизнесом и бизнесом ваших клиентов, если эти данные каким-то образом утекут. 

«Нет смысла платить десятки тысяч долларов хакерам, если можно принести шоколадку недобросовестному сэйлз-менеджеру»

То, что любые данные подвержены утечке, подтверждает история. Если облачный сервис утверждает, что никто посторонний никогда не сможет получить доступ к вашим данным, то это, мягко говоря, маркетинговое преувеличение. Стопроцентно невзламываемой криптозащиты не существует, другой вопрос, сколько времени и вычислительных ресурсов понадобится злоумышленнику, чтобы её взломать. Тем не менее потенциальная слабость безопасности любых данных лежит не в области криптографии, а в области психологии и социальной психологии. Нет смысла платить десятки тысяч долларов хакерам, если можно принести шоколадку недобросовестному сэйлз-менеджеру и «заглянуть через плечо» в его монитор. Параноикам лучше априори свыкнуться с мыслью, что данные рано или поздно окажутся у злоумышленников: вопрос лишь в том, когда это произойдёт и насколько они чувствительны к утечкам. 

Когда вы посчитаете все «за» и «против», то найдёте персональный ответ на вопрос, что вам выгоднее — прятать данные на собственных серверах и недоступном ПО, использовать private cloud или же общедоступное облачное хранилище типа Dropbox или Gmail (которые стоит недорого, при этом имеют достаточно высокий уровень защиты).  

А сделав выбор, решите также вопрос внутренней безопасности. Потому что какая разница, где хранятся ваши данные, если их захочет увести собственный сотрудник? 

Надежда Ручанова, старший руководитель проектов STAARTER (Латвия), бывший директор компании — облачного провайдера, называет себя «апологетом облачных технологий»

— Я убеждена, что на сегодня нет таких данных, которым было было противопоказано хранение в «облаке» из соображений безопасности. 

Знаю, у белорусов часто возникает вопрос: читают их данные или нет? Опасения обычно высказывают люди, которые не очень хорошо понимают, как устроена облачная платформа и технологии провайдеров в целом. Они устроены так, что ни сам облачный провайдер, ни какие-то третьи лица, пусть даже на легальных основаниях, не могут получить доступ к вашим данным изнутри. Так построена инфраструктура, так работают средства виртуализации.

Опасения по поводу облачных технологий очень похожи на отказ от использования безналичных платежей 15 лет назад. Сомневающимся я всегда привожу в пример интернет-банкинг: там тоже кто-то имеет доступ к вашим данным и вашим деньгам, но вас же это не беспокоит. Конечно, если вы отдаёте кому-то пароль от своего аккаунта или карту с ПИН-кодом, то не удивляйтесь печальным последствиям. 

То же и с данными компании: если пароли от ваших облачных серверов записаны на офисной стене крупным шрифтом, рано или поздно произойдёт что-нибудь нехорошее. Один из самых тяжёлых случаев в моей практике имел место в небольшой компании семейного типа: дочь с правами администратора из мести родителям удалила всю облачную инфраструктуру, включая записи о клиентах за последние 15 лет. Такой риск исключать нельзя. 

Со своего рабочего компьютера я могу получить доступ к своим студенческим работам 15-летней давности.

Что провайдер знает о данных пользователя? Только то, что у клиента Васи в облачной инфраструктуре располагается три виртуальных сервера и подключена услуга резервного копирования. Вот и всё. Физически провайдер никогда не имеет доступ к той информации, что хранится внутри. Только если сам Вася не даст службе техподдержки логин-пароль, чтобы ему с чем-то помогли. 

Доступа к данным нет ни у провайдера, ни у производителя оборудования, ни у организации, по чьим кабелям бегут биты и байты информации, ни у другого третьего лица. Самого же клиента никто не может принудить отдать логин и пароль. Конечно, если использовать горячий паяльник, вы, вероятно, сообщите пароль, но это уже совсем другая история.

У меня есть небольшой стартап, и 100% его информации хранится в облаке. Мои личные данные — тоже. Раньше, меняя ноутбук, я тратила много времени, чтобы сделать резервную копию, сохранить данные на съёмном жёстком диске и положить его на хранение. Теперь времени это вообще не отнимает. Уже несколько ноутбуков подряд я просто ввожу логин-пароль и получаю доступ к облачным данным: пока пью кофе, они синхронизируются, так что в любой момент можно продолжить работу с того места, где я остановилась на предыдущем устройстве. Со своего рабочего компьютера я могу получить доступ к своим студенческим работам 15-летней давности или недописанной диссертации. Ну, это же классно! 

Где и как хранить — это, скорее, вопрос цены. Я допускаю, что у компании может быть персональный кейс: архивные данные за много лет либо специфическая информация, которая плохо поддается сжатию, так что проще и дешевле её хранить на своих ресурсах. Но, во-первых, это исключение. А во-вторых, облачные технологии стремительно дешевеют, и с каждым годом ситуация меняется в их пользу.

Наконец, ещё один аргумент: услуги ИТ-специалистов очень дороги. Представим среднее юрлицо: 20 сотрудников, маленькое производства — кто там будет сколько-нибудь профессионально заниматься вопросами системного администрирования? В лучшем случае приходящий сын-студент. Нанять полноценного специалиста в штат такое предприятие не сможет. И где гарантия, что у вас будет установлена последняя версия ПО (это важно, потому что обновления призваны устранять уязвимости в части безопасности, а не просто добавлять новые фичи). А на стороне облачного провайдера работают квалифицированные, высокооплачиваемые люди, которые доступны 24/7. Вам всегда в любое время дня и ночи оперативно окажут поддержку. Это важно.

Роман Оголихин, руководитель.NET отдела SoftTeco

Когда мы говорим о рисках при хранении данных, имеем в виду их потерю и утечку.

Сейчас даже Пентагон, несмотря на высокую секретность своей информации, намерен мигрировать в облако, это лишний раз демонстрирует надежность технологии и позволяет сказать: хранить в клауде можно всё что угодно. Другое дело, что облако Пентагона наверняка будет контролироваться самим Пентагоном. 

Понятно, что обычный бизнес такую роскошь, как собственное облако, позволить себе не может, поэтому вынужден использовать сторонние сервисы. Это, казалось бы, увеличивает риск утечки. Но, на самом деле, чтобы раскрыть ваши данные, собственник облака должен сильно постараться: технически это непросто. Да и ему это абсолютно не нужно: если выяснится, что чьи-то данные утекли, на провайдере можно ставить крест. Поэтому, думаю, владелец мелкого и среднего бизнеса может абсолютно безопасно держать свои данные в облачном хранилище.

Если же бизнес крупный, возможны варианты. Один из них — развернуть собственный дата-центр, как это делают мобильные операторы. Тут нужно считать, что выгоднее: отдать обработку данных на аутсорс либо закупить инфраструктуру и нести расходы на амортизацию и зарплату системным администраторам. 

А вот риск потери данных однозначно выше у тех компаний, которые хранят их у себя.

Представьте, сгорело здание, в котором находился сервер, а с ним и вся ваша информация. У облачных провайдеров эти риски на порядок ниже: данные реплицируются по всему миру, и если сгорит один дата-центр, то где-нибудь на другом континенте данные выживут. 

Из двух рисков — потери и утечки данных — первый, безусловно, более серьёзен.

Облачный провайдер МТС 

Разработал комплексные решения для бизнеса на базе трех облачных платформ — VMware, Huawei, RedHat. Ресурсы размещены в надежном ЦОДе класса Tier3. Сервис гарантирует 99,98%-й уровень доступности и 24-часовую техподдержку. 

Как телеком-оператор, компания МТС может организовывать каналы мобильной и фиксированной связи под каждого клиента индивидуально с учетом требований, предъявляемых к скорости и надежности передачи данных, а также заключать сквозной SLA, гарантирующий параметры доступности не только облачной инфраструктуры, но и каналов связи.

Хотите сообщить важную новость?

Пишите в наш Телеграм

Читайте также

~260 BYN за восстановление CRM. Резервное копирование и восстановление на базе Veeam
~260 BYN за восстановление CRM. Резервное копирование и восстановление на базе Veeam
~260 BYN за восстановление CRM. Резервное копирование и восстановление на базе Veeam
«Падения — это больно, но не смертельно». 6 неудобных вопросов о клауде
«Падения — это больно, но не смертельно». 6 неудобных вопросов о клауде
«Падения — это больно, но не смертельно». 6 неудобных вопросов о клауде
Падения, технические неполадки, молчание техподдержки — темы, которые любят обсуждать пользователи, но не любят провайдеры. dev.by задал неудобные вопросы Артёму Максименко, начальнику управления инновационных решений МТС, а он не побоялся честно на них ответить. 
8 комментариев
Как выбрать облако? Советы от провайдера
Как выбрать облако? Советы от провайдера
Как выбрать облако? Советы от провайдера
Зачем компаниям «клауд»? Облачные технологии стали одной из самых быстроразвивающихся сфер ИT-рынка за последние пять лет. По оценкам Gartner, в этом году суммарная выручка публичных облачных сервисов вырастет на 17%, достигнув отметки 266,4 миллиарда долларов. К 2022 году пользоваться услугами поставщиков по управлению облачными сервисами будет до 60% организаций. Представители компании А1 — провайдера телекоммуникационных, ИКТ- и контент-услуг — рассказали про основные моменты, которые следует учитывать при выборе облака.
1 комментарий
В чём разница между IaaS, PaaS и SaaS? Пройдите тест и выясните, что вы знаете об облаках
В чём разница между IaaS, PaaS и SaaS? Пройдите тест и выясните, что вы знаете об облаках
В чём разница между IaaS, PaaS и SaaS? Пройдите тест и выясните, что вы знаете об облаках
2 комментария

Обсуждение

8

"Подальше положишь - поближе возьмешь".
Лучше хранить данные просто на гуглдиске, чем у местечковых "суперкрутых" "облаков", которые будут сливать любые данные даже местному участковому (всё по закону, по запросу, не подумайте).

8

Кста, девбай, чем кончилось дело по запросу органов на деанон сливателя "корпоративной этики" ?

Anonymous
Anonymous
0

Кто начинал админить в 2000-х годах, даже корпоративную почту на gmail никогда не допустит в своей конторе.
И еще слышал печальную историю, когда кто то позарился на дешевое облако с 1С бухгалтерией. Но когда решил слезть с него, то за перенос данных такую сумму запросили, что можно было в штате содержать одного программиста.

Anonymous
Anonymous
0

А что мешает шифровать и/или делить данные по разным хранилищам?

arseniy-zuev
arseniy-zuev Платный тролль и фанат Прокопени в dev.by
0

Провайдер может офигенно зашифрованные данные например попросту "потерять", по договору кстати им ничего за это не будет

0

Некоторые аргументы за облака с примерами позабавили своей простотой и наивностью.
Пример про банки - если кого-то не беспокоит возможность полного мониторинга их денежных потоков или перспектива потерять деньги из-за технических сбоев, кражи и тп с последующим устранением банка от решения проблемы, то тогда конечно же бел. банки - это ок.
Пример про дочу, удалившую всю инфраструктуру - просто лол. Про бэкапы и/или многофакторную аутентификацию похоже там не слышали.

0

Партнерский материал же

0

Храните данные одновременно в облаках нескольких провайдеров.

9

Типичное местное облако: ваши данные будут предоставлены всем по первому запросу или даже раньше. Если вы просрочили платёж - мы в тот же день грохнем ваш сервер, ваши данные будут проданы конкурентам, а домен выставлен на продажу. ЦОД временно недоступен, потому что у хозяев прошла любовь, завяли помидоры и они делят имущество. ЦОД недоступен потому что впереди выборы. ЦОД недоступен потому что подсетка ЦОДа попала во все возможные спам-листы. ЦОД недоступен потому что один спец на субботнике, второй в колхозе, а третий спился.
Только сегодня скидки, всего в 4 раза дороже чем у любого европейского хостера.
В смысле резервный источник питания? Это же дорого.

0

Сегодня всю информацию о конкуренте можно и в наложке купить.
Они и отчёт могут составить, где почем у кого берёт сырье, почем и кому продает.

0

Пока кто-то живёт с паранойей другие запускают более продвинутые решения в клауде.

0

Думаю, всегда необходим баланс. Держать внутреннюю бухгалтерию предприятия или ответственные бизнес-данные - скорее нет, чем да. Раздавать налево и направо контент или использовать вычислительные ресурсы + обработка оперативной информации - да. Если вы небольшая компания и вам необходим быстрый старт (а денег на IT инфраструктуру кот наплакал) - да. Если с головой подходить к вопросу - все возможно.

arseniy-zuev
arseniy-zuev Платный тролль и фанат Прокопени в dev.by
0

А в чем прикол называть чужие сервера облаками? Звучит не так пугающе? Или это просто мода такая, как называть малый бизнес или сайт стартапом, кексы маффинами, а чайный гриб - камбучей?

Спасибо! 

Получать рассылки dev.by про белорусское ИТ

Что-то пошло не так. Попробуйте позже