Переходим в облака: как превратить страхи в объективную оценку рисков
Шкуропат руководитель направления защиты информации ООО "НУБЕС" (Nubes)
Бизнес все активнее использует облачные технологии. Вместе с ростом интереса у компаний возникают вопросы и опасения, связанные с безопасностью и устойчивостью российских платформ. Руководитель направления защиты информации ООО "НУБЕС" (Nubes) Дмитрий Шкуропат разбирает основные страхи, которые волнуют российский бизнес при переходе в облака.
Страх № 1. Облака "сдует" санкциями
Нарастающее санкционное давление привело к усложнению цепочек поставок оборудования как для облачных провайдеров, так и для клиентов ЦОД. Кроме того, возникли сложности с обновлениями и продлением лицензий иностранного ПО. Как следствие, бизнес, использующий cloud-сервисы, опасается снижения уровня защищенности российских облаков.
Мнение игрока отрасли
В 2022 году, когда история с санкциями только началась, российский рынок испытал ряд трудностей. Но к 2024 году образовались новые устойчивые цепочки поставок, большинство компаний адаптировались к изменившимся реалиям.
Цепочки поставок стали сложнее, и это приводило к затягиванию сроков. Но надежность и прогнозируемость сроков пришли в норму. Просто теперь закладывается больше времени и, если с планированием у компании все хорошо, кардинальной проблемы это не вызывает.
Более того, санкционное давление выступило драйвером роста как для облачных провайдеров, так и для различных отечественных поставщиков и вендоров, в том числе в области средств информационной безопасности.
Один из примеров — рынок межсетевых экранов нового поколения (NGFW). В 2022 году большую часть российского рынка NGFW занимали иностранные вендоры: CheckPoint, FortiGate, Palo Alto, Cisco и другие. Сейчас на рынке их практически не осталось, зато появились десятки российских поставщиков.
Аналогичная ситуация складывается и с точки зрения поставки оборудования. Российские игроки активно начали развивать собственные линейки производств — и средств защиты, и иного ИТ-оборудования.
Резюме
Бизнес тяготеет к стабильности и прогнозируемости. Если в 2022 году санкции были "черным лебедем", то на сегодняшний день это просто один из множества факторов, с которым все научились работать. Появляется все большее количество замещающих ИБ-решений, поэтому говорить о снижении уровня защищенности российских облаков не приходится. Речь идет скорее о повышении надежности отечественных облачных сред. Более того, с определенным недоверием, и не без основания, российские компании уже относятся к западным решениям, даже от тех вендоров, которые остались на российском рынке.
Страх № 2. В облаках нас поджидают хакеры
Следом за бизнесом в облака идут и злоумышленники. Растет количество атак, направленных на облачную инфраструктуру, развиваются инструменты для проведения взломов — они становятся все более массовыми и опасными.
Мнение игрока отрасли
Важно понимать, что кибератаке подвержена любая система: с использованием облаков или без них, с любым стеком технологий или аппаратной частью — главное, чтобы киберпреступнику это было выгодно. Если затраты на атаку покрываются возможной добычей, то хакеры обязательно заинтересуются. Атаки на российские компании в последнее время часто имеют политическую мотивацию, жертвой может стать абсолютно любая организация.
Поэтому вопрос не в облаках — абсолютно безопасных технологий не существует. Вопрос в конкретных поставщиках, провайдерах и других подрядчиках: если они уделяют достаточно времени и сил для того, чтобы повысить информационную безопасность продуктов, то риски инцидентов у их заказчиков будут кратно ниже.
Резюме
Нет смысла отказываться от технологий (не конкретных технических решений) из-за страха перед киберпреступниками. Важно знать и понимать риски, работать над собственной информационной безопасностью и учитывать уровень организации ИБ при выборе подрядчиков, в том числе — облачных провайдеров.
Страх № 3. В облаках ничего не видно — мы потеряем контроль
Некоторые компании воспринимают облако как "черный ящик": находящуюся вне зоны контроля область, непонятно как устроенную. Неясно, что происходит с данными и как идут бизнес-процессы компании. Сложно оценить качество работы провайдера.
Мнение игрока отрасли
Это один из самых старых страхов, связанных с облаками, — он появился, как только облачные технологии начали развиваться, в том числе и на российском рынке. С тех пор прошло много времени, вырос общий уровень знаний потенциальных клиентов и пользователей. Огромное количество информации об облачных средах можно найти в Сети, причем для разных аудиторий — от технических специалистов до топ-менеджеров и CEO. Сами провайдеры активно продвигают принцип открытости и готовы к обсуждению с заказчиками любых аспектов работы.
Также, существует несколько разных сертификаций и аттестатов, которые позволяют оценить уровень прозрачности провайдера еще до первого взаимодействия. Например, PCI DSS. В рамках этого стандарта есть отдельный документ, который можно условно назвать матрицей разграничения зон ответственности. В нем расписано, что относится к зоне ответственности провайдера, а что находится в зоне ответственности клиента.
Резюме
Отрасль понимает опасения бизнеса и готова идти навстречу своим клиентам: разъяснять, работать с обратной связью и предоставлять технические консультации.
Страх № 4. Не в облаках, так на земле: ненадежность физической инфраструктуры
Многие заказчики опасаются за физическую безопасность самого ЦОД облачного провайдера в контексте сохранности своих данных. Их пугают возможные сбои в работе, которые приведут к замедлению или остановке бизнес-процессов.
Мнение игрока отрасли
Деятельность облачного провайдера — это бизнес. Если в дата-центре провайдера произойдет инцидент, который серьезно повлияет на бизнес заказчика, то второго инцидента уже не будет, потому что клиенты от такого провайдера уйдут.
Все необходимые значения по физической безопасности и непрерывности работы закладываются в ЦОД еще до фундамента, на этапе проектирования. Все ключевые системы, от энергопотребления до охлаждения, дублируются.
Помимо этого, существуют общепризнанные международные стандарты. Самый известный — Tier. Классификация отказоустойчивости по уровням надежности от Uptime Institute. Для соответствия этим стандартам провайдер обязан резервировать для клиента дополнительные мощности на случай возможных сбоев: в штатной ситуации они не задействуются, в случае инцидента — активируются.
Резюме
ЦОД, особенно если речь идет о Tier III и Tier IV, — это одно из самых безопасных мест в городе, оснащенное на случай любой возможной нештатной ситуации, которую можно спрогнозировать — от стихийных бедствий до влияния времени года на инфраструктуру.
Страх № 5. Страх первого полета: мы не готовы подняться в облака
ИТ-инфраструктура ряда компаний в силу специфики отрасли, регуляторных особенностей и по иным причинам зачастую не приспособлена или слабо готова к использованию облаков как инструмента для ведения бизнес-процессов. Это приводит к неготовности работать в облаке и опасениям по поводу защищенности данных.
Мнение игрока отрасли
Важно разделять невозможность и нежелание. Действительно, в ряде компаний по самым разным причинам некоторые процессы и данные нельзя размещать именно в публичном облаке. Но всегда можно начать с малого. Например, с резервного копирования, когда компания арендует у провайдера часть мощностей для создания внешних бэкапов. В формате рабочих задач сотрудники знакомятся с тем, что собой представляет внешняя облачная инфраструктура и какие преимущества она предлагает.
После начального ознакомления можно рассмотреть и другие опции. Если это экономически целесообразно и не связано, например, с регуляторными ограничениями, которые затрагивают отдельные процессы, а не всю деятельность, то любые технические сложности можно преодолеть. Хороший пример в этом отношении показывает государственный сектор, многие регионы используют облака для тех или иных нужд.
Резюме
Первостепенное значение имеет желание начать работать с облаками. Вопрос перевода инфраструктуры может быть сложен, в том числе и технически, но всегда решаем. И хороший провайдер окажет любую поддержку.
Страх № 6. Нам виднее: у провайдера нет компетентных специалистов
Многие компании склонны считать, что их инфраструктура уникальна, и эффективно работать с ней могут только штатные сотрудники с опытом. Этот же тезис справедлив и для обеспечения кибербезопасности: заказчики не уверены, что специалисты провайдера достаточно компетентны.
Мнение игрока отрасли
Компетенции провайдера достаточно легко проверить. Например, на тендерах заказчики вправе выдвинуть свои требования — как по наличию у специалистов провайдера профильных сертификатов, так и по количеству специалистов и инженеров определенной квалификации, которые работают в штате.
Вопрос компетенций имеет и обратную сторону. Штатный специалист действительно может хорошо знать свою "домашнюю" инфраструктуру. При этом у специалиста провайдера есть опыт работы с сотней разных инфраструктур таких же уникальных компаний. Они не конкурируют, а дополняют друг друга, каждый на своем рабочем месте, в рамках своих задач.
Резюме
Рынок облачных провайдеров достаточно конкурентный, любая компания заинтересована в том, чтобы подтвердить соответствие требованиям заказчиков и предоставить доказательства своих компетенций. Все инструменты для получения информации о компетенциях на стороне заказчиков есть, важно правильно подобрать критерии под нужды конкретной компании.
Страх № 7. Нерегулируемые облака: отсутствие достаточной нормативной базы при работе с облачными провайдерами
"Облачная" регуляторика сегодня не проработана в достаточной степени, как с точки зрения законодательных норм, так и в части доверенной среды аудиторов или ассоциаций, а также стандартов и требований.
Мнение игрока отрасли
Действительно, как и с любой технологией, регуляторика не всегда поспевает за интеграцией облачных сервисов в бизнес-среду. Это создает определенные трудности, большая часть которых актуальна только для самих провайдеров, но практически не затрагивает их клиентов.
Важно, что государство заинтересовано в развитии облаков, поскольку они помогают бизнесу расти. Рано или поздно будет достигнут "регуляторный баланс", который позволяет компаниям развиваться и при этом учитывает интересы государства — в первую очередь, связанные с безопасностью.
Возникновение регуляторных прецедентов, связанных с появлением новых нормативных актов, возможно, но вероятнее всего это будут локальные доработки на ранних этапах, а не общий тренд развития.
Резюме
Отрасль сама идет навстречу регуляторам. Например, все чаще в России обсуждается возможность создания аналога западного Cloud Security Alliance (CSA), который объединит участников рынка для совместной разработки добровольных стандартов, которые могут затем лечь в основу регуляторных требований.
Страх № 8. Провайдер не сможет обеспечить соблюдение регуляторных требований
Вопрос соответствия требованиям для многих компаний стоит достаточно остро, поскольку может привести к серьезным последствиям, вплоть до приостановки деятельности или отзыва лицензий. И закономерно вызывает опасения.
Мнение игрока отрасли
Провайдер должен соответствовать общепринятым международным стандартам. Они охватывают весь пласт вопросов, в том числе работу с персональными данными и другие регуляторные нормы. Это не просто "диплом в рамочке". За ним — серьезная проверка, которая проводится периодически, и всегда есть риск отзыва сертификата с тяжелыми последствиями для бизнеса провайдера.
Аттестационная компания, а их очень немного и они внимательно следят за репутацией, выступает гарантом того, что провайдер с их сертификатом обладает достаточным уровнем компетенций.
Резюме
Регуляторные нормы в области облачных технологий во многом опираются на стандарты, поскольку они созданы на базе лучших практик отрасли. Поэтому вопрос знания и понимания регуляторных аспектов в контексте облачного провайдера стоит на пьедестале рядом с безопасностью и непрерывностью работы.
Стоит ли бояться облаков?
Страхи иррациональны, они мешают трезво принимать решения. Чтобы превратить их в трезвую оценку рисков и целесообразности, важно вести просветительскую работу. Многие облачные провайдеры проводят разноформатные мероприятия и рассказывают о том, как безопасно и эффективно использовать облака. В то же время важно, чтобы бизнес тестировал новые для себя технологии. Всегда можно начать с небольших проектов: переводить в облачные среды какие-то отдельные некритичные процессы, чтобы оценить удобство и безопасность работы в облаках. А в итоге — прийти к чему-то большему.
