Недоверие отпугнуло российские корпорации от облаков
Такую оценку дал руководитель отдела продуктов клиентской безопасности ООО "Сеть дата-центров "Селектел" (Selectel) Андрей Давид на онлайн-конференции "Безопасность российских облаков". Он отметил, что детальное разграничение ответственности между поставщиком и заказчиком, необходимое для достижения полного доверия, является сложной задачей, за решение которой далеко не все готовы взяться. Отсутствие полного доверия, по мнению Андрея Давида, и ведет к тому, что облака используют для развертывания второстепенных сервисов.
Бизнес-партнер по информационной безопасности VK Иван Шубин напомнил, что данная ситуация носит объективный характер и провайдер физически неспособен обеспечивать все функции безопасности. Он привел пример услуги IaaS (инфраструктура как сервис), где в зоне ответственности пользователя находится все, что устанавливается на предоставленную провайдером виртуальную машину. В случае предоставления сервисов по другим моделям (платформа как сервис - PaaS, ПО как сервис - SaaS) зона разграничения ответственности будет меняться.
Генеральный директор ООО "Нубес" (Nubes) Василий Степаненко обратил внимание, что вопросы разграничения ответственности между поставщиком услуги и потребителем являются частью целого ряда стандартов в области ИТ и ИБ, как российских, так и международных. По его мнению, большое будущее имеют облачные платформы, размещенные внутри корпоративного контура, где вопросы разграничения ответственности решить проще.
В результате, как отметил старший вице-президент, технический директор (CTO) блока "Технологии" ПАО "Сбербанк" Андрей Белевцев в выступлении на сессии ПМЭФ "Развитие критической информационной инфраструктуры: угрозы и перспективы", ключевым преимуществом российских облаков является полное соответствие требованиям норм российского законодательства. По его мнению, проще и дешевле будет разместить во внешней инфраструктуре контур для работы с персональными данными, где все уже сделал оператор, чем добиться соответствия в локальной инфраструктуре. Также облачная инфраструктура лучше адаптируется к работе в режиме постоянных изменений.
https://www.comnews.ru/content/226834/2023-06-20/2023-w25/regulyatory-r…
Однако директор по информационной безопасности beeline cloud Егор Бигун заявил, что требования стандартов закрывают не все потенциальные конфликтные ситуации. Разработка матриц ответственности, по его мнению, необходима для каждой услуги.
По оценке Ивана Шубина, не меньшую гарантию защищенности дают программы bug bounty. Они, по его мнению, более эффективны, чем традиционное тестирование на проникновение. Егор Бигун на это возразил, что использование таких программ вряд ли найдет понимание у заказчиков.
Эксперт группы защиты ИТ-инфраструктуры "КРОК Облачные сервисы" Александр Лугов также напомнил, что сертификация и аттестация систем поставщиков облачных услуг в России является добровольной, а не обязательной. Тем не менее все основные игроки идут на процедуры сертификации и аттестации. Однако, по его оценке, грядущее ужесточение ответственности за утечки данных добавит российским облакам привлекательности для потенциальных заказчиков, и спрос на облачные услуги продолжит расти. Тем более что фактор дефицита оборудования и увеличения срока его поставок, по общему мнению участников дискуссии, тоже не будет преодолен в ближайший год, однако для поставщиков услуг он менее значим.