«Кто-то имеет доступ к вашим данным». ИТ-руководители об опасности клауда

Кирилл Голуб, венчурный инвестор, сооснователь, экс-СЕО Aheadworks

— Говоря о том, какие данные хранить в облаке безопасно, а какие нет, мы немного лукавим, потому что без хранения данных в облаках мы уже не можем обойтись. Простой пример: индивидуальную почтовую переписку многие ведут на Gmail — это хранение в облаке или нет? Ответ, очевидно, «да», хотя в этом случае мы используем нестрогое определение облака. 

Чтобы решить для себя эту дилемму, надо ответить на несколько вопросов. Первый: храним ли мы в облаках свои данные или данные, которые доверили нам наши клиенты? 

Как правило, мы храним не только собственные данные, но и чужие: бизнес-контакты, переписку с клиентами в CRM и т. д. Сегодняшний уровень интеграции информационных систем настолько высокий, что мы зачастую и не догадываемся, где хранятся наши данные и как сервисы обмениваются ими друг с другом. Яркий пример — обработка платёжной информации, которая включает в себя много промежуточных сервисов. 

Второй вопрос: идёт ли речь об общеиспользуемом облачном хранилище или о специальном решении из области private clouds? В последнее время большую популярность набрали компании, которые предоставляют услуги частных облаков. С одной стороны, это вроде бы облачное хранение. С другой стороны, серверы, на которых хранятся данные, могут принадлежать самому клиенту. 

Третий вопрос: насколько наши данные ценны для кого-то, кроме нас? Это стандартная дилемма для тех, кто сталкивался с хакерскими атаками: если тратить все ресурсы на защиту от них, то в какой-то момент расходы начинают превышать стоимость этих данных. 

Нужно найти баланс «брони и снаряда». Каждая компании должна взвесить, насколько её данные принадлежат именно ей, насколько они ценны для неё и для конкурентов (которые захотят купить эти данные), а также для злоумышленников (которые захотят их украсть и перепродать конкурентам). Кроме того, следует оценить, что произойдёт с вашим бизнесом и бизнесом ваших клиентов, если эти данные каким-то образом утекут. 

То, что любые данные подвержены утечке, подтверждает история. Если облачный сервис утверждает, что никто посторонний никогда не сможет получить доступ к вашим данным, то это, мягко говоря, маркетинговое преувеличение. Стопроцентно невзламываемой криптозащиты не существует, другой вопрос, сколько времени и вычислительных ресурсов понадобится злоумышленнику, чтобы её взломать. Тем не менее потенциальная слабость безопасности любых данных лежит не в области криптографии, а в области психологии и социальной психологии. Нет смысла платить десятки тысяч долларов хакерам, если можно принести шоколадку недобросовестному сэйлз-менеджеру и «заглянуть через плечо» в его монитор. Параноикам лучше априори свыкнуться с мыслью, что данные рано или поздно окажутся у злоумышленников: вопрос лишь в том, когда это произойдёт и насколько они чувствительны к утечкам. 

Когда вы посчитаете все «за» и «против», то найдёте персональный ответ на вопрос, что вам выгоднее — прятать данные на собственных серверах и недоступном ПО, использовать private cloud или же общедоступное облачное хранилище типа Dropbox или Gmail (которые стоит недорого, при этом имеют достаточно высокий уровень защиты).  

А сделав выбор, решите также вопрос внутренней безопасности. Потому что какая разница, где хранятся ваши данные, если их захочет увести собственный сотрудник? 

Надежда Ручанова, старший руководитель проектов STAARTER (Латвия), бывший директор компании — облачного провайдера, называет себя «апологетом облачных технологий»

— Я убеждена, что на сегодня нет таких данных, которым было было противопоказано хранение в «облаке» из соображений безопасности. 

Знаю, у белорусов часто возникает вопрос: читают их данные или нет? Опасения обычно высказывают люди, которые не очень хорошо понимают, как устроена облачная платформа и технологии провайдеров в целом. Они устроены так, что ни сам облачный провайдер, ни какие-то третьи лица, пусть даже на легальных основаниях, не могут получить доступ к вашим данным изнутри. Так построена инфраструктура, так работают средства виртуализации.

Опасения по поводу облачных технологий очень похожи на отказ от использования безналичных платежей 15 лет назад. Сомневающимся я всегда привожу в пример интернет-банкинг: там тоже кто-то имеет доступ к вашим данным и вашим деньгам, но вас же это не беспокоит. Конечно, если вы отдаёте кому-то пароль от своего аккаунта или карту с ПИН-кодом, то не удивляйтесь печальным последствиям. 

То же и с данными компании: если пароли от ваших облачных серверов записаны на офисной стене крупным шрифтом, рано или поздно произойдёт что-нибудь нехорошее. Один из самых тяжёлых случаев в моей практике имел место в небольшой компании семейного типа: дочь с правами администратора из мести родителям удалила всю облачную инфраструктуру, включая записи о клиентах за последние 15 лет. Такой риск исключать нельзя. 

Что провайдер знает о данных пользователя? Только то, что у клиента Васи в облачной инфраструктуре располагается три виртуальных сервера и подключена услуга резервного копирования. Вот и всё. Физически провайдер никогда не имеет доступ к той информации, что хранится внутри. Только если сам Вася не даст службе техподдержки логин-пароль, чтобы ему с чем-то помогли. 

Доступа к данным нет ни у провайдера, ни у производителя оборудования, ни у организации, по чьим кабелям бегут биты и байты информации, ни у другого третьего лица. Самого же клиента никто не может принудить отдать логин и пароль. Конечно, если использовать горячий паяльник, вы, вероятно, сообщите пароль, но это уже совсем другая история.

У меня есть небольшой стартап, и 100% его информации хранится в облаке. Мои личные данные — тоже. Раньше, меняя ноутбук, я тратила много времени, чтобы сделать резервную копию, сохранить данные на съёмном жёстком диске и положить его на хранение. Теперь времени это вообще не отнимает. Уже несколько ноутбуков подряд я просто ввожу логин-пароль и получаю доступ к облачным данным: пока пью кофе, они синхронизируются, так что в любой момент можно продолжить работу с того места, где я остановилась на предыдущем устройстве. Со своего рабочего компьютера я могу получить доступ к своим студенческим работам 15-летней давности или недописанной диссертации. Ну, это же классно! 

Где и как хранить — это, скорее, вопрос цены. Я допускаю, что у компании может быть персональный кейс: архивные данные за много лет либо специфическая информация, которая плохо поддается сжатию, так что проще и дешевле её хранить на своих ресурсах. Но, во-первых, это исключение. А во-вторых, облачные технологии стремительно дешевеют, и с каждым годом ситуация меняется в их пользу.

Наконец, ещё один аргумент: услуги ИТ-специалистов очень дороги. Представим среднее юрлицо: 20 сотрудников, маленькое производства — кто там будет сколько-нибудь профессионально заниматься вопросами системного администрирования? В лучшем случае приходящий сын-студент. Нанять полноценного специалиста в штат такое предприятие не сможет. И где гарантия, что у вас будет установлена последняя версия ПО (это важно, потому что обновления призваны устранять уязвимости в части безопасности, а не просто добавлять новые фичи). А на стороне облачного провайдера работают квалифицированные, высокооплачиваемые люди, которые доступны 24/7. Вам всегда в любое время дня и ночи оперативно окажут поддержку. Это важно.

Роман Оголихин, руководитель.NET отдела SoftTeco

Когда мы говорим о рисках при хранении данных, имеем в виду их потерю и утечку.

Сейчас даже Пентагон, несмотря на высокую секретность своей информации, намерен мигрировать в облако, это лишний раз демонстрирует надежность технологии и позволяет сказать: хранить в клауде можно всё что угодно. Другое дело, что облако Пентагона наверняка будет контролироваться самим Пентагоном. 

Понятно, что обычный бизнес такую роскошь, как собственное облако, позволить себе не может, поэтому вынужден использовать сторонние сервисы. Это, казалось бы, увеличивает риск утечки. Но, на самом деле, чтобы раскрыть ваши данные, собственник облака должен сильно постараться: технически это непросто. Да и ему это абсолютно не нужно: если выяснится, что чьи-то данные утекли, на провайдере можно ставить крест. Поэтому, думаю, владелец мелкого и среднего бизнеса может абсолютно безопасно держать свои данные в облачном хранилище.

Если же бизнес крупный, возможны варианты. Один из них — развернуть собственный дата-центр, как это делают мобильные операторы. Тут нужно считать, что выгоднее: отдать обработку данных на аутсорс либо закупить инфраструктуру и нести расходы на амортизацию и зарплату системным администраторам. 

А вот риск потери данных однозначно выше у тех компаний, которые хранят их у себя.

Представьте, сгорело здание, в котором находился сервер, а с ним и вся ваша информация. У облачных провайдеров эти риски на порядок ниже: данные реплицируются по всему миру, и если сгорит один дата-центр, то где-нибудь на другом континенте данные выживут. 

Из двух рисков — потери и утечки данных — первый, безусловно, более серьёзен.

Помогаете devby = помогаете ИТ-комьюнити.

Засапортить сейчас.