За последние 3 года я посетил десяток мероприятий, посвященных хранению персональных данных в облаке. Если они организовывались облачными провайдерами, то выступающие объясняли, почему размещение данных в облаке полностью соответствует всем законам. Если их организовали различные некоммерческие ассоциации, то можно было услышать истории в стиле Сноудена: вся информация в опасности, а в облаке - вдвойне, а уж размещение там персональных данных - это просто безумие.
В каких случаях компании поднимают вопрос безопасности персональных данных в облачных проектах?
- Наиболее редкая причина - компания действительно беспокоится, что данные о клиентах или сотрудниках в облаке будут более уязвимы, чем на собственных серверах.
- Второй и наиболее распространенный случай - организация волнуется насчет проверок регулятора.
- И, наконец, компании могут поднять тему персональных данных, чтобы формально обосновать свое решение не идти в облака. Вместе с плохими каналами персональные данные - наиболее популярные объяснения отказа от рассмотрения облачных проектов.
Я хочу подробно рассмотреть только вторую группу.
Законный вопрос
Законодательство о персональных данных регулирует то, как организации оперируют данными. В большинстве стран это, прежде всего, вопросы политик и процедур: как собирать, кому передавать, кто имеет доступ и т.п. В некоторых государствах есть также требования к использованию определенных технологий и средств защиты. В России у таких средств должна быть российская сертификация. В результате, многие международные компании не могут в нашей стране использовать системы, с помощью которых они обрабатывают такой тип данных у себя на родине.
Все эти требования осложняют жизнь, но неважно, в облаке расположены ваши данные или нет. Более того, для многих организаций перенос персональных данных в облака позволяет проще обеспечить соответствие требованиям, т.к. крупные облачные провайдеры уже внедрили необходимые средства защиты у себя.
Намного более серьезный барьер - это требование хранить персональные данные внутри страны. Кстати, оно существует не только в России, но и, например, в Казахстане, так что казахские облачные провайдеры получили дополнительных клиентов.
Большинство нормативных актов о персональных данных не выполняется в полной мере. В каждой стране сложился свой консенсус по поводу того, что регуляторы должны действительно контролировать, а что носит преимущественно декларативный характер. Так, разъяснения Роскомнадзора к закону о персональных данных намного проще принять к исполнению, чем непосредственный текст закона.
Что волнует ИТ-директора
За годы продаж облаков, я слышал множество возражений против них. Одно из наиболее популярных - неочевидная безопасность.
Забавная вещь, что безопасность является одновременно и барьером для одних, и причиной для миграции в облако для других…
Во время мероприятий для потенциальных клиентов у меня было много дискуссий с ИТ-директорами средних и даже небольших организаций. Люди выражали свою озабоченность по поводу того, что облачный провайдер не сможет обеспечить им нужный уровень безопасности данных. Какие угрозы они упоминали?
- Конкуренты могут получить доступ к данным в облаке и причинить ущерб организации;
- технический персонал провайдера может оказаться коррумпированным;
- власти (например, налоговая служба) могут найти что-либо нежелательное об организации, анализируя данные в облаке;
- и отдельно от госорганизаций: ЦРУ, ФСБ, МОССАД (в зависимости от страны) могут «взломать» данные в облаке.
А что на деле?
Действительно, все, что перечислено выше, может случиться. Никто в провайдере не будет останавливать полицию, когда она придет с законным предписанием на изъятие данных, никто не сможет гарантировать, что персонал провайдера нельзя подкупить. Конкуренты и вправду могут нанять хакеров и найти дырку в защите. Единственный вопрос: как это связано непосредственно с облаком? Не является ли это всеобщими угрозами для любых ИТ-систем вне зависимости, в облаке ли они или нет?!
В таких дискуссиях я обычно прошу рассказать мне, как все эти угрозы контролирует компания сейчас, в собственной инфраструктуре. Часть клиентов говорит о DLP, DMZ, SSL, CASB и других средствах безопасности, о команде профессионалов, которая следит 24 часа в сутки за всеми подозрительными активностями и т.п. Но таких организаций немного.
Вторая группа признается, что они «в начале пути». Ни физической защиты оборудования, ни специализированных средств безопасности (не говоря уж о сотрудниках), все конкуренты знают их ключевых специалистов, с которыми теоретически можно «договориться». И при этом ИТ-директор обеспокоен, что DLP-система у облачного провайдера недостаточно совершенна, чтобы отразить все утечки!
Выбирайте грамотно
Конечно, облачные провайдеры - это не Форт Нокс. Они должны находить баланс между безопасностью, производительностью и ценой. Это профессиональные игроки, и безопасность - составная часть их бизнеса. Команда поддержки не знает, с какой стороны и какой тип атаки им ждать. Они должны защищать свою крепость от осаждающих со всех сторон врагов. В результате, ИТ-инфраструктура облачного провайдера в среднем более безопасна, чем инфраструктура компании-клиента. Для большинства организаций перенос данных в облако делает их более защищенными.
Но, если вам нужен бОльший уровень защиты, и если вы готовы тратить на безопасность большие ресурсы и строить защищенную инфраструктуру самостоятельно, то, возможно, вам просто не стоит идти в облако.
Автор: Леонид Аникин, Руководитель направления облачной инфраструктуры Softline
