Колонка эксперта
Алексей Залецкий | Эксперт в области информационной безопасности
Переход в облака, на удивление, до сих пор воспринимается бизнесом как что-то небезопасное — как правило, из-за заблуждений и недопонимания. Попробуем развенчать пять самых популярных мифов и расскажем, почему не стоит бояться миграции в облако.
Миф №1. Утечка данных из облака неизбежна, потому что его легко взломать
Cloud-провайдеры используют арсенал средств защиты данных, а также резервное копирование, обеспечение отказоустойчивости оборудования, мониторинг, организационные меры и физическую защиту. К последним относятся видеонаблюдение, системы пожаротушения, сигнализации и бесперебойного питания, строгий контроль управления доступом в ЦОД (так просто на территорию не попасть!). Всё это находится на высоком уровне, в отличие от предприятий, которые не занимаются ИТ профильно.
Чтобы создать защищенные ЦОД или серверную комнату, облачные провайдеры вкладывают баснословные деньги и много времени – год и более. Они тратят силы на найм квалифицированных кадров и их обучение. Поэтому для большинства компаний размещение в облаке – наиболее безопасное и бюджетное решение.
Миф №2. Нельзя доверять вопросы кибербезопасности сторонним компаниям, надёжнее размещать ПО и базы данных на собственных серверах
Как показывает наш опыт, организационные меры по обеспечению кибербезопасности оставляют желать лучшего во многих компаниях. У большинства из них сотрудники не проходят инструктаж и обучение, не подписывают документы о конфиденциальности данных (или подписывают, не читая). И это не всё. Инструкции и договоры составлены плохо: в них нет описания конкретных действий сотрудников, в том ли ином случае, не прописана ответственность за нарушения. По факту сотрудники не соблюдают элементарные правила кибербезопасности.
Когда же компания размещает свои приложения в облаке, она заключает с провайдером соглашение о конфиденциальности данных. В нем чётко прописана ответственность за каждый из возможных инцидентов или сценариев. Провайдеры внимательно следят за физическим доступом к серверам и за любой аномальной подозрительной активностью со стороны пользователей. Время детектирования инцидентов и реагирования на них минимально.
Что касается дополнительного обучения, сотрудники регулярно проходят тренинги и курсы по повышению квалификации. Словом, провайдер предпринимает всё возможное для обеспечения информационной безопасности, чем не может похвастаться большинство непрофильных компаний.
Миф №3. Своя серверная комната безопаснее
Если свой ЦОД, то ещё может быть. Но в большинстве случаев уверенность в защищенности вашей серверной комнаты заключается в её расположении на территории, подконтрольной вашей компании. Это вовсе не означает, что вопросы физического доступа и информационной безопасности находятся на высоте. Скорее наоборот, возникает ложное чувство защищенности, приводящее к недостаточному вниманию к вопросам безопасности.
Миф №4. На облачного провайдера не распространяются требования законодательства о защите информации ограниченного доступа
Чаще всего при обработке информации ограниченного доступа, такой как персональные данные, с провайдером заключается соглашение о поручении обработки персональных данных, соглашение о конфиденциальности и безопасности. Эти документы требуют от облачных провайдеров обеспечить защиту для любого уровня защищенности, который определён у клиента.
Миф №5. Проще и дешевле будет разобраться самим с защитой данных, а от облачного провайдера нужны лишь вычислительные ресурсы
Выбирая такой путь, надо помнить, что разработка документов и внедрение мер защиты может занять от полугода до года, а у провайдера вы их можете получить почти сразу как услугу. Даже просто поставка средств защиты может составить до месяца. Провайдер же имеет запас средств защиты для своих клиентов.
Заключение
Не стоит принимать решения на основе мифов. Не так много ситуаций, которые могут препятствовать использованию облаков из-за вопросов безопасности. Например, системы, обрабатывающие государственную тайну, или автоматизированные системы технологических процессов. Но и при этом надо помнить, что каждый год появляются новые подходы и технологии, которые могут выполнить требования по защите даже крайне чувствительных данных в облаках.
