• Новости
• Блоги
• Аналитика
• Новости компаний
• В СНГ и в мире
• Анонсы

С. ЧЛЕК: "Репутация сервиса как надежного и доступного перекрывает аспект безопасности"

Корпоративные заказчики давно уже мотивируют свои отказы от использования облачных сервисов соображениями безопасности. Насколько они обоснованы?

Читайте полную версию Дискуссионного клуба «ИКС», №3`2013, «Сервис в облаке: предложение ищет спрос».

Часть VI.

? ИКС: Проблема информационной безопасности в облаке стала уже притчей во языцех. Не считаете ли Вы, что ее серьезность преувеличивается?

Федор ЕЛЬЦОВ, руководитель проектов, Digital Design: Обеспечение ИБ для публичных облаков – существенная проблема. К собственности у нас пиетета не выработано, поэтому и отношение к информации (собственности) клиента нередко «так себе». Существуют также проблемы  доступности сервисов, скорости. Зачастую провайдеры хотят продать больше, чем есть ресурсов.

Виктория НОСОВА, консультант по безопасности, Check Point Software Technologies: Задачу обеспечения информационной безопасности можно назвать главной проблемой. Все-таки круглосуточная доступность ресурсов или сервисов критична для бизнеса не всех заказчиков , а вопрос безопасности коммерческих данных важен для каждого. И в случае успешного решения этой проблемы число заказчиков, с удовольствием воспользующихся услугами облаков, резко возрастет.

Светлана ВРОНСКАЯ, директор по корпоративным коммуникациям, Рексофт: Вопрос информационной безопасности все равно постоянно возникает, когда заказчик думает о переходе в “облака”. Однако есть смысл говорить не столько о проблемах, сколько о специфике облачных сервисов и возможностях, которые они могут предоставить конкретному клиенту. Возможно, реальным препятствием к повсеместному переходу на “облака” является то, что потенциальные клиенты понимают, что миграция «в облака» - не самоцель. И если в организации уже есть решение бизнес-задачи, основанное на собственной «необлачной» инфраструктуре и оно выполняет свою функцию, то непонятно, зачем его на что-то менять. 

Антон САЛОВ, директор по облачным сервисам и ИТ компании MegaLabs: Миграции в «облака» до сих пор мешает ложная уверенность в том, что данные клиента будут в большей безопасности на офисном сервере,

нежели в ЦОДе провайдера. Но ситуация активно меняется в лучшую сторону, хотя и не так быстро, как хотелось бы самим провайдерам облачных сервисов.

Сергей ЧЛЕК, технический директор Siemens Enterprise Communications Россия и СНГ: Хочется отметить, что часто происходит смешивание таких терминов, как «информационная безопасность» и «надежность» или «постоянная доступность». Это абсолютно неправильно. Сама по себе информационная безопасность, в смысле средств противодействия краже персональных данных или коммерческой тайны, не так важна, как постоянная доступность сервиса. Если посмотреть насколько охотно те же руководители компаний размещают данные в облаках Apple, Google, Microsoft и т.д., пользуясь смартфонами и планшетами, то становится очевидным, что репутация сервиса как «надежного» и «постоянно доступного» перекрывает аспект его «защищенности» от внешних вторжений, хотя этот момент воспринимается как само собой разумеющийся.

Артем ГАРУСЕВ, исполнительный директор компании CDNvideo: На мой взгляд, важность проблем ИБ для облаков сильно преувеличена. На практике, более серьезным препятствием является желание технических специалистов компании самостоятельно контролировать всю технику и реализовывать проект своими силами.

Рустэм ХАЙРЕТДИНОВ, CEO компании Appercut Security: Для малого и среднего бизнеса безопасность данных в коммерческих облаках уже выстроена более эффективно, чем в самих компаниях. Крупные провайдеры могут себе позволить гораздо больше инвестировать в безопасность, как внешнюю, так и внутреннюю, а также - в непрерывность бизнеса. Поэтому недостаток безопасности в облаках - миф, который строится на сравнении готового облачного решения с некоторым гипотетическим решением в частном облаке, которое себе могут позволить только компании из Forbes 500. Проблемы использования облачных сервисов психологические, сродни желанию держать деньги "в чулке", а не в банке, поскольку каждый день их можно трогать.

Антон ЖБАНКОВ, руководитель направления облачных инфраструктур, EMC Россия и СНГ: Обеспечение информационной безопасности представляет собой проблему в целом, а не только для облака, поскольку не факт, что внутри компании с безопасностью лучше. Да, меняется модель угроз, но в остальном именно перемещение в облако может общий уровень безопасности как снизить, так и поднять. По опыту общения с многочисленными клиентами, могу сказать, что многие до сих не провели у себя классификацию данных.Сложно говорить об уровне безопасности, если компания сама не понимает, сколько ей стоит потеря той или иной части данных. Необходимо вспомнить, что информационная безопасность стоит на трех китах – конфиденциальность, целостность и доступность. Традиционно обсуждая безопасность мы фокусируемся лишь на первом, а оставшиеся два ничуть не менее важны. Для начала нужно классифицировать данные, и только потом строить политики защиты. Зачем тратить 100 миллионов денег на защиту данных, если их полная потеря встанет компании лишь в 100 тысяч? И с другой стороны, зачем экономить 100 тысяч на защите, если реальная стоимость 100 миллионов? После определения стоимости потери данных, временной недоступности данных и простоя бизнес-процессов уже можно думать о том, что именно и куда выносить. Ведь совершенно необязательно уезжать в облако целиком. Можно отдать часть данных и часть систем, не являющихся ключевыми для компании, оставив у себя самое важное.

Алексей СЕВАСТЬЯНОВ, заместитель генерального директора DataLine: Обеспечение информационной безопасности действительно является основным препятствием перехода крупного бизнеса в публичное облако. Но, на мой взгляд, им и не надо этого делать. Наилучшим выходом для крупного бизнеса является использование частных облаков, размещенных в специализированных коммерческих дата-центрах, которые имеют соответствующую сертификацию с точки зрения информационной безопасности (hosted private cloud). Либо использование коммунальных облаков (community cloud), опять же защищенных с точки зрения ограничения к ним доступа извне.

? ИКС: Что кроме проблем информационной безопасности мешает миграции компаний в облака?

Борис КНЯЗЕВ, зам.начальника отдела сетей и телекоммуникаций ОАО Банк ВТБ: Да, проблема информационной безопасности является ключевой проблемой публичных облаков, никто не может гарантировать сохранность корпоративных данных в облаке. Однако и некоторые другие проблемы ещё не решены. Одной из них является распределение ответственности между заказчиком, провайдерами связи и провайдером облачных услуг. Заказчику неинтересно выяснять в какой зоне ответственности наступила проблема доступа к услуге, а провайдеры услуг облачных сервисов часто становятся заложниками проблем линий связи промежуточных провайдеров. Для заказчиков появляются дополнительные риски неподконтрольности работы облачного сервиса. Миграции в облака препятствуют также некоторые юридические аспекты принадлежности инфраструктуры облачных сервисов сторонним организациям.

Алексей ШУМИЛИН, старший менеджер, ООО «ТБинформ», ГК «ТНК-BP»: Думаю мешает уверенность заказчиков в том, что собственными силами дешевле создавать и управлять ИТ активами и ИТ системами. Отсутствие у заказчиков четкого понимания совокупных затрат на ИТ не позволяет сравнить стоимость услуг на рынке и собственные затраты. 

Руслан ЗАЕДИНОВ, заместитель генерального директора, руководитель направления центров обработки данных и облачных вычислений компании КРОК: В «облаках» очень важно качество связи, потому что это сервис, который реализуется более-менее централизованно, а значит удалённо от потребителя. А у нас в стране в целом не решена проблема «последней мили». Согласно статистике, Россия обогнала Германию по подключению домохозяйств к Интернету и продолжает наращивать темпы, но при этом средняя скорость на два порядка ниже, чем в Европе. Получается, что возможности, которые мы можем дать заказчику через этот канал, намного хуже, чем в Европе. Рассмотрим, например, крупное производственное предприятие в Московской области: современное оборудование, новейшие технологии, квалифицированный персонал. Но для того, чтобы обеспечить производство ИТ-сервисами, ИТ-департаменту пришлось преодолеть множество преграды: заплатить баснословные суммы за каналы связи и строительство трасс. И при этом пропускная способность настолько мала, что не может обеспечить даже резервирование данных, не говоря уже об облачных сервисах. В такой ситуации компания не может перейти в «облака» даже при сотрудничестве с самым лучшим провайдером, т.к. работоспособность сервисов зависит от канала передачи данных. 

Вячеслав МЕДВЕДЕВ, системный архитектор компании «Инфосистемы Джет»: Помимо информационной безопасности основными препятствиями на пути облачных технологий являются: отсутствие высокоскоростных каналов связи и необходимость организационных изменений. С каналами связи все ясно: хорошая связь на просторах России доступна далеко не всегда. Что касается организационных изменений, использование облачных технологий подразумевает глубокую модернизацию существующих в компании процессов эксплуатации ИТ. Требуется формализация этих процессов, формирование требований к их качеству, централизация функций по управлению ИТ. Далеко не все заказчики к этому готовы. 

Артем СОКОЛОВ, заместитель технического директора компании «Техносерв»: Помимо безопасности крайне важным фактором является доступность. На нее влияют как каналы связи, так и защищенность ЦОД

провайдера от валяния различных факторов. И если с каналами ситуация налаживается, по крайней мере в крупных городах, то со вторым вопросом все еще много неясностей: от  электричества до законодательства. А значит, бизнес должен принимать решение о переходе к облаку в условиях невозможности точной оценки рисков.

Михаил ШТАРЕВ, руководитель отдела инфраструктурных решений, ИНЛАЙН ГРУП: Важна психологическая проблема – инерционность мышления. Подход ИТ-руководителя: если все работает – не трогай! Очень важно убедить заказчиков на положительных примерах, что перенос ИТ-инфраструктуры в облачную среду не приведет к большим рискам, чем традиционный подход. Еще существуют проблемы каналов связи: их наличия, стоимости, надежности и доступности. При переносе корпоративных данных на площадку провайдера каналы связи до этой площадки приобретают очень большое значение. Широкому применению рекламируемой последнее время концепции гибридного облака мешают трудности с оперативной передачей больших объемов данных на временные внешние вычислительные ресурсы. 

Дмитрий ХОРОШИХ, менеджер по развитию бизнеса в секторе ЦОД, Cisco: На мой взгляд – основными тормозящими факторами являются неготовность внутренних ИТ-подразделений клиентов к передаче части своих функций сторонней компании и недостаточная подготовленность провайдеров к предоставлению услуги высокого качества. Можно долго спорить, что должно случиться раньше, это напоминает спор о курице и яйце. Но факт остается фактом – как только у заказчика получается четко структурировать бизнес-процесс, определить перечень сервисов для передачи на аутсорсинг и найти провайдера, готового качественно оказывать услуги по обеспечению работоспособности этих сервисов, все проблемы с информационной безопасностью и еще десяток других, о которых мы постоянно слышим, очень быстро решаются.

В. НОСОВА: Конечно же, миграция в публичные облака имеют много нерешенных вопросов. Это и гарантия постоянного доступа к ресурсам по каналам связи и по времени. Сюда же можно отнести и отказоустойчивость каналов связи и самого файлового хранилища, а также системы резервирования и восстановления.  К одной из пока еще решаемых проблем можно отнести определение и реализацию открытого стандарта  для взаимодействия как между компонентами внутри облака, так и между облаками.  Использование такого открытого стандарта облачными провайдерами обеспечит возможность менее затратного по времени и архитектурным изменениям перехода системы заказчика на платформу другого провайдера при необходимости. Несмотря на привлекательность снижения затрат или на доступность ресурсов отовсюду, которыми заманивают облачные технологии, многие заказчики понимают, что нельзя допустить снижение уровня защищенности тех данных, которые они помещают в облака. Т.к. на данных ресурсах может храниться информация, относящаяся к их коммерческой тайне, например. И в случае кражи или утраты бизнес-критичной информации, финансовые потери могут превышать полученную экономию.  Может пострадать и репутация компании заказчика, что также может повлечь за собой денежные затраты.

Ася ВЛАСОВА, PR-директор ГК «КОРУС Консалтинг»: Вопрос защиты корпоративных данных – краеугольный для всего сегмента SaaS-решений. Опасения топ-менеджеров здесь носят скорее психологический характер. Как правило, «облачные» решения размещаются на площадках хостинг-провайдеров, обладающих серьезными техническими мощностями, дата-центрами, оснащенными суперсовременными средствами, в том числе в  части сохранения данных. Защита в этих дата-центрах и на уровне техники, и на уровне несанкционированного доступа извне и изнутри, моделей угроз и пр. – очень серьезная. Обеспечение безопасности данных решается комплексом технологических и организационных мер. Существует другая реальная проблема – перебои с доступом к сервису (например, из-за каналов связи). В соглашении на использование сервиса (SLA) провайдеры «облачных» решений определяют максимально допустимое время простоя сервиса. Но если программный продукт критичен для бизнеса (например, связан с обслуживанием покупателей на кассе или отправкой товаров со склада), то компания предпочитает либо дублировать систему и все данные на своей стороне, либо вообще не размещать такое ПО в «облаке».