Облачная безопасность нуждается в доверии
Лента новостей
Информационная безопасность потерялась в «облаках» — такой вывод можно сделать, если познакомиться с мнениями экспертов в области безопасности, высказанными на конференции IDC IT Security RoadShow 2011
Информационная безопасность потерялась в «облаках» — такой вывод можно сделать, если познакомиться с мнениями экспертов в области безопасности, высказанными на конференции IDC IT Security RoadShow 2011. При этом они покусились даже на некоторые облачные мифы.
Так, директор по информационной безопасности Портлендского университета (Portland State University) Крейг Шиллер отнес к мифам утверждение о том, что «облака» облегчают жизнь — компаниям не приходится самостоятельно заниматься поддержкой или обеспечением тех или иных IT-процессов. По его мнению, это не всегда так: «При запуске «облаков» компании одномоментно не избавляются от прежних IT-инфраструктуры и приложений, которые все равно надо обслуживать, а еще и интегрировать с приложениями, размещенными в «облаках». Поэтому, как считает Шиллер, расхожее мнение, что «облака» экономят пользователям деньги, — это миф.
Также американский специалист указал на ряд проблем, с которыми сталкиваются пользователи облачных сервисов. По сути, они те же, что и в прежних технологиях, — и безопасность данных, и целостность информации, и права на интеллектуальную собственность, и опасность потери контроля над информацией. Для их решения, по оценке Крейга Шиллера, не у всякой компании может хватить ресурсов. И здесь главное, по его мнению, понять, что именно важно компании при использовании «облаков», и акцентироваться на решении именно этих вопросов.
Что касается вопроса информационной безопасности в «облаках», то здесь суть проблемы не в технологиях, а в доверии. То есть заказчик должен доверять провайдеру облачных услуг, а последний — его завоевывать. А это не всегда удается, особенно в случае с крупными компаниями и организациями. Кстати, по мнению Крейга Шиллера, на Западе с этим дела обстоят проще — для провайдеров репутация не пустой звук, как и курс их акций, который может упасть в случае инцидентов с безопасностью. Тем не менее, в настоящее время основными пользователями облачных сервисов остаются небольшие компании — «с маленькими ресурсами, но большими идеями».
Российские эксперты в целом признают, что основная проблема в деле обеспечения облачной безопасности лежит не в сфере технологий, а в доверии, а то и просто юридической грамотности. «Технически с безопасностью «облаков» проблем нет. Вся проблема в юридических аспектах, — считает менеджер по развитию бизнеса Cisco Алексей Лукацкий. — В России сложность не с технологиями, а с доверием, которого нет. Поэтому заказчикам следует правильно составлять договоры и грамотно прописывать соглашения об уровне обслуживания (SLA)». Пока же, по мнению сотрудника Cisco, в нашей стране нет доверия к провайдерам облачных услуг, и поэтому крупные игроки только присматриваются к облачным технологиям. Зато малый бизнес успешно осваивает новые сервисы.
Впрочем, среди экспертов встречаются и другие точки зрения, причем порой диаметрально противоположные. Так, например, некоторые из них считают, что в России проблемы облачной безопасности вообще нет. По их мнению, большинство компаний и организаций даже у себя не могут обеспечить защиту данных на должном уровне: «И часто гораздо надежней передать данные провайдеру, где за ними будут присматривать специалисты, а не студенты».
В свою очередь, директор по технологической политике департамента по работе с государственными и общественными организациями российского представительства Microsoft Олег Сютин считает, что сегодня проблема информационной безопасности в «облаках» стоит перед всеми. «Вопросы в области облачной безопасности только-только начали задавать и пытаться решать, — полагает Сютин. — Поскольку «облака» — распределенные вычисления, то многие начали работать над задачей распределенного же шифрования данных».
В то же время Олег Сютин отметил, что компании зачастую переоценивают важность и объем секретных данных, которые обращаются в их информационных системах. Особенно если вспомнить легкодоступность конфиденциальной информации и персональных данных, которые сегодня можно даже бесплатно получить в Интернете.
Генеральный директор компании Group-IB Илья Сачков, в свою очередь, отметил, что в России IT-аутсорсинг, и, в частности, аутсорсинг информационной безопасности, не пользуется популярностью по двум основным причинам. «Во-первых, отечественные компании откровенно опасаются передавать сторонним организациям такую «щепетильную» часть IT-инфраструктуры. Во-вторых, на российском рынке аутсорсинга безопасности крайне мало качественных предложений, — рассказал Сачков. — Поэтому компании возлагают свои надежды в первую очередь на собственные службы информационной безопасности». Это приводит к тому, что в нашей стране все сводится к проектированию, аудиту и управлению системами информационной безопасности.
Впрочем, по словам Ильи Сачкова, российский рынок услуг аутсорсинга информационной безопасности все же развивается. «Постоянный рост количества внутренних и внешних инцидентов, с которыми приходится сталкиваться организациям, демонстрирует, что зачастую собственных сил среагировать, предотвратить и расследовать случай нарушения информационной безопасности не хватает, — говорит Сачков. — Попытка создать внутреннюю группу реагирования приводит к значительным финансовым издержкам. Минимальные затраты без учета стоимости специализированной техники составят более полмиллиона рублей в месяц». Также руководитель Group-IB отметил, что в России набирают обороты услуги по реагированию и расследованию инцидентов информационной безопасности, вплоть до аутсорсинга профессиональной команды реагирования, которая обеспечит круглосуточную оперативную защиту.
В целом можно сказать, что в нашей стране неоправданно много внимания уделяют вопросам информационной безопасности при предоставлении облачных услуг, которые могут быть решены грамотной юридической службой и правильным выбором сервис-провайдера.
Рекомендуем:
Рекомендуем:
