Rambler's Top100
 
Статьи ИКС № 05 2011
Евгения ВОЛЫНКИНА  05 мая 2011

Облакам нужен закон о защите прав потребителей

Компьютерная обработка информации в мире активно движется в сторону облачной модели. Специалисты уже почти убедили рынок в ее технологических и экономических выгодах, но опасения у нынешних и потенциальных потребителей облачных сервисов все равно остаются – и вполне обоснованные.

Программы внедрения облачных сервисов в работу государственных организаций есть уже практически во всех развитых странах, в том числе в США и Евросоюзе. Но в России, чтобы перевести обсуждения облачной модели в практическую плоскость, мало назначить «Ростелеком» главным по гособлакам, нужно решить еще целый ряд проблем, в том числе законодательных. Массового перехода корпоративных клиентов на облачные сервисы в нашей стране пока не наблюдается, однако, по данным Forres-ter Research, по позитивности отношения к развитию облаков наши компании впереди планеты всей: об этом заявляют 67% опрошенных руководителей российских фирм (против 52% в США и 22% в Японии). Кроме того, среди российских компаний 41% планирует в течение ближайшего года воспользоваться услугами предоставления ИТ-инфраструктуры по требованию (IaaS), а 49% хотят работать с облачными приложениями (SaaS). О проблемах, с которыми придется столкнуться российским облачным оптимистам из тех самых 67%, и шла речь на первой международной практической конференции Cloud Russia 2011.

Анатолий Смирнов (МИД РФ): «Уроки WikiLeaks диктуют необходимость комплекса превентивных мер по обеспечению информационной безопасности в облачных вычислениях»Самым высоким барьером на пути использования облачных сервисов специалисты называют риски, связанные с информационной безопасностью. Кроме того, ИТ-директоров волнуют проблемы интеграции облачных и обычных приложений, их совместимости, производительности, а также сильной зависимости от поставщика облачных услуг. Многие опасаются, что если провайдер не будет их устраивать, трудно будет его сменить, а если «облако» не оправдает ожиданий, уже нельзя будет вернуться обратно на «землю».

Корпоративному пользователю, обдумывающему облачное житье, следует понять и принять как данность, что безопасность облачных вычислений не хуже и не лучше традиционных, она просто другая. В системе информационной защиты в облаке нет четкого периметра безопасности, «стены» должны находиться внутри и защищать каждый компонент информационной системы.

Кроме того, как отметил Михаил Ванин (РНТ), при переходе к облачной модели предоставления ИТ-сервисов фокус смещается с обеспечения безопасности к обеспечению доверия. Провайдер облачных сервисов должен убедить клиента в том, что ему можно доверять обслуживание корпоративных информационных систем, а регуляторы должны создать условия для повышения доверия потребителей к поставщикам. На российских регуляторов надежда пока слабая, а в рекламе провайдеров всегда все красиво и замечательно, поэтому потенциальный клиент должен со всей серьезностью подойти к выбору поставщика облачных услуг. Особое внимание стоит обратить на обеспечение информационной безопасности: на то, как провайдер организует защиту данных клиента и доступ к ним, как он выполняет обработку инцидентов безопасности, как обеспечивает безопасность приложений и изоляцию друг от друга приложений разных клиентов, насколько цивилизованно происходит «развод» с клиентом. Немаловажны также соответствие деятельности провайдера законодательству и требованиям регуляторов, его финансовая устойчивость, характер его клиентской базы (несмотря на самые современные системы защиты, лучше все-таки иметь приличных «соседей» по облаку) и, наконец, столь эфемерная в наших российских условиях вещь, как репутация.

Что касается соответствия требованиям законодательства, то все специалисты признают: существующая в России нормативная база не готова к облакам. Нет у нас и регуляторных требований к поставщикам облачных сервисов, предусматривающих конкретную ответственность за предоставление услуг ненадлежащего качества. Сейчас взаимоотношения провайдера и клиента складываются на основе договора SLA, но далеко не каждый клиент имеет реальную возможность проверить его выполнение в части обеспечения информационной безопасности в облачной среде. Да и сколько-нибудь серьезной ответственности провайдера за потерю или компрометацию данных клиента в таком SLA обычно не прописывается (желание провайдера минимизировать свои риски вполне понятно).

Как отметил руководитель комитета по вопросам информационной безопасности АП КИТ Александр Соколов, облачной отрасли нужен некий аналог закона о защите прав потребителей. Иначе весьма многочисленные клиенты, для которых критична защита их данных, будут и дальше заниматься «ИТ-самообслуживанием», несмотря на все прогрессивные облачные технологии.

Поделиться:
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!