Перебои в работе представляют большую опасность, чем взломы

Вопросы безопасности – пока что остаются основным фактором замедления
распространения облачных технологий в корпоративной сфере. Один из аналитиков
компании Gartner утверждает, что главной причиной для беспокойства должна быть
не вероятность взлома облака, а возможность сбоя, который может привести к
потере данных.

Есть мнение, что наиболее серьезный риск при использовании облаков
заключается в том, что может произойти утечка важных данных, заявил Джей
Хайзер, аналитик компании Gartner в области безопасности. Но свидетельств этого
не так уж много, утверждает он. В 2011 году данные десятков миллионов
пользователей сервисов компании Sony были скомпрометированы по причине
использования облака. Есть еще несколько примеров утечки персональных данных из
облаков.

Но сбои и потеря данных на сегодняшний день – гораздо более распространенное
явление. Хайзер считает, что многие компании недостаточно подготовлены к таким
ситуациям.

Просто вспомним некоторые из самых крупных сбоев за последние пару лет.
Amazon Web Services – лидирующий провайдер облачных ресурсов за последние два
года перенес три крупных сбоя. После сбоя Elastic Compute Cloud (EC2) в апреле
2011 некоторые уровни данных были утеряны безвозвратно, заявил Хайзер. В 2010
году компания Evernote потеряла данные 6000 пользователей, а компания Carbonite
лишилась в 2009 году части пользовательских резервных данных.

Причиной таких сбоев зачастую являются ошибки, появляющиеся после апгрейда
системы, пояснил Хайзер. Amazon, например, возложила ответственность за
последний сбой на новое оборудование, установленное перед этим в
дата-центре.

Сбой привел к недоступности Reddit, Imgur и других популярных сайтов, что
вынудило Amazon выплачивать компенсации.

Такие случаи происходят постоянно, так что вероятность их повторения высока,
заявил Хайзер на вебинаре, проводившемся на этой неделе компанией Gartner.
Несмотря на то, что это одна из главных проблем для пользователей облачных
ресурсов, только у половины компаний опрошенных Gartner проработаны механизмы
оценки бесперебойности функционирования бизнес-процессов. Хайзер добавил, что
возможность прорыва системы безопасности также не должна оставаться без
внимания, однако бесперебойность функционирования – наиболее важный момент.

Индустрия облачных ресурсов постепенно обращается к этим вопросам, но
вендоры, пользователи и сторонние организации, осуществляющие попытки
произвести улучшение безопасности в облаках, могли бы прилагать больше усилий,
заявил он.

Вендоры неохотно обращаются в соглашениях об уровне обслуживания к вопросам
восстановления после потери данных. «Распространенной причиной недовольства
остается неопределенность в том, что конкретно провайдеры делают для
обеспечения безопасности пользователей», заявил Хайзер. Некоторые провайдеры
могут не распространять эту информацию, так как по их словам это может само по
себе представлять потенциальную угрозу безопасности. Провайдеры часто говорят о
высоком уровне доступности и конфиденциальности пользовательских данных, но не
предоставляют достаточных доказательств для подтверждения подобных
заявлений.

Но и клиенты, со своей стороны, могли бы делать больше. Первое, что должны
сделать пользователи – определить, какие данные действительно требуют защиты.
Отсутствие или незавершенность классификации данных – распространенная
проблема. «Если клиент не знает, каковы требования к безопасности определенного
участка данных по сравнению с остальными, определить, способен ли провайдер
обеспечить должный уровень защищенности, крайне трудно», заявил он.

Сторонние организации занимаются разработкой стандартов и сертификаций для
данной отрасли, однако Хайзер считает, что они пока далеки от совершенства.
Например, организация Cloud Security Alliance взяла на себя проведение широкого
круга мер по разработке множества вопросов, однако вопрос заключается в том,
насколько глубоко своими попытками они вникают в определенные области.

FedRAMP – программа, запущенная правительством США для разработки общей
системы критериев безопасности для всех провайдеров облачных ресурсов, с
которыми оно работает. Однако программа пока находится на ранней стадии и в
активную фазу войдет не раньше 2014 года. «Мы уже начинаем видеть намеки на то,
что нам действительно нужно», отметил Хайзер. Однако требуется еще много
работы, чтобы добиться стандартизации управления, норм оценки и всеобщего
консенсуса. Клиенты находятся в наилучшем положении, чтобы оказывать давление
на вендоров с целью добиться максимально прозрачности в этих вопросах, добавил
он.

Так что же корпоративным клиентам облачных ресурсов нужно делать? «В первую
очередь правильно выбирать цели в борьбе за контроль над данными», заявил
Хайзер. Основной тренд заключается в том, что все больше данных поставляется на
устройства конечных пользователей, что усложняет контроль над данными и
приводит к возникновению уязвимостей. При наличии схемы классификации данных,
организации могут расставлять приоритеты и определять, каким типам данным нужно
больше защиты. Для большинства организаций объем критически важных данных
составляет не более 20%, а может быть и меньше 5%. Для защиты этих данных
должны предприниматься «героические усилия»: шифрование, разметка, применение
систем предупреждения потери данных, либо хранение таких данных у себя, а не на
облачных ресурсах. Антивирусное, антивредоносное ПО и прочие способы
обеспечения безопасности должны служить для страховки остальной части данных. В
конечном счете, сегодняшняя реальность такова, что как говорит Хайзер «большая
часть данных должна будет сама себя защищать».