Безопасно ли в облаках

Сергей Городилов, руководитель отдела информационной безопасности АСПЕКТ СПб

— Что, на ваш взгляд, понимается под термином «информационная безопасность»?

— Традиционная трактовка этого термина сводится к состоянию защищенности интересов участников общего дела в сфере информации. Она довольно абстрактная. Однако подойдем к этому термину со стороны, с которой её редко рассматривают: корпоративная культура. Поясню глубже. Человек является постоянным потребителем информации и генератором эмоций, которые заполняют красочными интерпретациями его сознание и сны. Проводя 5 дней в неделю по 8 часов на работе, он ежесекундно потребляет информацию, которая его медленно, но верно воспитывает. Считается, что достаточно полугода, чтобы среда съела новобранца. Съедает она его именно информационно, подавая в его мозг ежедневно слухи, отношение к начальнику, к сверхурочным, к миссии компании, к новым инициативам, мотивы сопротивления, примеры поведения и так далее. Если мы не управляем этим информационным полем, то можем ли мы считать, что после навешивания замков на двери и раздачи карточек каждому, у нас будет все хорошо с информационной безопасностью? Именно поэтому традиционный подход к ИБ не работает. Более того, в современном мире более важным становится защищать опыт и культуру, которые скопировать невозможно. При том, что именно они и обеспечивают долгосрочную устойчивость и лидерство.

— Что изменилось в этой области в последние 5 лет, и существует ли на данный момент проблема нехватки доступной информации по IT-безопасности?

— Самое важное, что начало проявляться независимое сообщество экспертов, к мнению которого прислушиваются регуляторы — в частности, в области персональных данных. Достаточно сказать, что все вышедшие за последние три года нормативно-правовые документы разрабатывались совместно с независимым сообществом, которое также являлось драйвером процесса улучшений. Более того стоящая остро проблема интерпретации требований и наработки практик их применения решается главным образом независимыми экспертами в открытом обсуждении в Интернет-среде. Конечно, есть судебная практика, есть надзорная деятельность, есть возможность проконсультироваться и возможность направить запрос. Но ежедневная среда с понятным языком общения ИБ-специалистов — это блоги и форумы, в которых мы видим независимых экспертов. И хотелось бы видеть регуляторов в менее формальной среде, помимо официальных каналов. Однако при восприятии любой открытой информации нужно быть бдительным, так как любой эксперт никогда не даст исчерпывающей и именно вам подходящей консультации, и любой эксперт может ошибаться. В направлении открытости еще не всё достигнуто, но прогресс налицо.

— Большинство предпринимателей задумываются о защите корпоративных данных только после разного рода кибератак. С чего бы Вы порекомендовали начать создание комплексной системы информбезопасности?

— Для начала следует четко определить, что такое «комплексная система информационной безопасности». Если подходить непредвзято, то она есть абсолютно у всех. Исходно любой руководитель предприятия является носителем функций директора по безопасности. И эта комплексная система в терминах бизнеса присутствует в его Первый вопрос, который нужно решить именно ему, очертив свои информационные технологии: осуществлять менеджмент ИТ-безопасности самому — или выделить эту сферу в профессиональную плоскость и поручить её опытному менеджеру. Во втором варианте руководителем предприятия должна быть решена серьезная проблема: взаимопонимание. Связана она с тем, что руководитель и наёмный менеджер могут совершенно по-разному обозревать свой бизнес.

— Баланс между реальностью угроз и эффективностью защиты: насколько быстро реагируют на новые способы кражи информации IT-компании, создавая продукты, и IT-службы предприятий, внедряя их?

— Как правило, эффективны в области ИБ зрелые продукты и производители с репутацией. ИБ всегда отстает от ИТ на шаг, а квалифицированные специалисты это знают и никогда не спешат с выбором решения. При этом важно понимать, что «шаг» в различных вопросах безопасности — это абсолютно разные по длительности интервалы. Для вируса это 2 часа, для уязвимостей 1 месяц, для межсетевого экрана 5 лет. В итоге победителя и востребованное решение определяет свободный рынок. В безопасности, если говорить о ней широко, это актуально, поскольку эта сфера затратная и не повышает эффективности.

— Мир бизнеса сдвигается в сторону больших данных. Это начало новой эпохи в IT или использование «своего» сервера не уступит позиций?

Термин «большие данные» появился всего 5 лет назад, и сегодня это во многом маркетинговая фишка многих ИТ-гигантов. Существует проблема в том, что в глобальной сети, да и в локальных сетях предприятий, да и в персональных устройствах пользователей, идет взрывной рост объемов сведений. Обусловлен он доступностью и понятностью обычным людям средств сохранения информации и её публикации. К ответу на вопрос нужно подойти с точки зрения бизнеса. Ключевые задачи, которые бизнес может решить с помощью ИТ, — ускоренная обозреваемость сфер интересов бизнеса и снижение транзакционных издержек. Эти задачи решаются не только с помощью ИТ, но и адекватным менеджментом. Сбалансированный набор таких инструментов может дать выдающиеся результаты. Исходя из этих задач бизнес и формирует требования, какие данные, в какой форме и от какой аудитории он собирает. Поэтому, вначале бизнес должен в первую очередь понять своего клиента и самого себя. Зачастую для этого не нужно разбираться во всех данных, поскольку для больших данных нужны соответствующие большие расходы. Более того, никто не отменял творчески мыслящего человека, способного обозревать происходящее. Ведь в итоге любые стратегические идеи приходят в голову именно ему.

— По вашему мнению, небольшим компаниям выгоднее создавать свою сеть, хранить данные в ЦОДе или пользоваться «облаками»?

Современные потребности организаций в ИТ состоят не только в хранении информации и способности её распечатывать, но в существенной степени зависят от способности решать бизнес-задачи. Ключевыми из таких задач являются обозреваемость бизнеса и снижение транзакционных издержек. Состав бизнес-задач и бизнес-процессов разнообразен. Если организация находит для них адекватное решение в «облаке», то такая ИТ-услуга может обходиться дешевле. Чаще всего это связано со сниженными требованиями к компетентности ИТ-персонала, прогнозируемостью ИТ-затрат, четким пониманием качества услуги. Эти условия редко достигаются при использовании собственных ИТ. Иначе говоря: «Платишь за услугу — знаешь её качество».

— Кто по закону отвечает за конфиденциальность данных в «облаке»: провайдер, предоставляющий объем памяти, или компания, которая передает ему на хранение информацию? Или эти взаимоотношения вне правового поля?

— Любые отношения Заказчика и Исполнителя определяются договором между ними, содержащим также как хорошую практику соглашение по ИБ. Многие договоры, которые мы рассматриваем в рамках консультирования заказчиков сегодня, этот раздел содержат. Однако далеко не всегда он аккуратен и обеспечен достаточным вниманием к тонкостям ИБ. Мы находим, что и у крупных западных поставщиков, и партнеров местного бизнеса не всегда этот раздел содержит всё необходимое. При этом отечественное законодательство в вопросах регулирования таких отношений достаточно развито. Ключевые моменты, на которые необходимо обратить внимание: для чьих целей ведется обработка информации, кем она ведется, какие меры применяются сторонами и как они контролируются. Очень важный момент – каким образом определена ответственность. Очень часто мы видим фразу «стороны несут ответственность в соответствии с действующим законодательством». Таким образом, стороны как бы доверяют законодателю досконально разбираться в их отношениях и предусматривать все необходимые способы несения ответственности. Более того, данная формулировка не даёт сторонам критериев для упрощенной процедуры влияния на качество услуг, поскольку несение ответственности именно качеству и должно служить. Если говорить о правовом поле, то единственный путь в этом случае — доказательство нарушения обязательств через суд. Однако на практике существует метод прямых переговоров.

— О чем бы вы предостерегли фирмы, которые переходят на облачные сервисы?

— Недавно к нам обратился директор одной фирмы, пожелавший приобрести сертификат электронной подписи для участия поставщиком на площадке B2B. Изучив особенности его бизнеса, мы поняли, что он воспринимал площадку B2B как «волшебную пилюлю», которая решила бы все проблемы продвижения его продукции. В итоге предприниматель отказался от этой затеи. Поэтому в первую очередь мы предостерегли бы фирмы от «волшебного» восприятия «облачных» технологий. Очень важно, чтобы они решали конкретные бизнес-задачи. К слову сказать, современные бизнесмены в сфере малого бизнеса крайне активно пользуются облачными сервисами, серьезная доля которых — бесплатные или условно-бесплатные. Вопрос безопасности облачных сервисов очень важен, особенно в сфере защиты персональных данных. Однако не менее существенным фактором является репутация облачного провайдера.