20 Ноября, 2013

Перспективы защиты информации в облачных системах

Журнал "Персональные данные"
Сколько копий уже сломано и сколько еще предстоит их сломать на поприще информационной безопасности в облачных сервисах, известно, наверное, только высшим силам. На страницах журнала на эту тему уже выступало множество экспертов. Но что думают об облачных системах регуляторы? Своим мнением о защите информации в облаках поделился первый заместитель начальника Центра ФСБ России Алексей Кузьмин.

- То, что наше общество вступило в эпоху облачных сервисов – свершившийся факт. Деваться, как говорится, уже некуда. А если мы это безобразие не способны остановить, то его нужно возглавить – чтобы потом не исправлять те недостатки, которые сейчас можно достаточно просто определить на начальном этапе. В целом проблема заключается в том, что происходит все большее отчуждение средств реализации услуг от потребителя. У него остается все меньше возможностей проконтролировать, как выполняются его заказы. И именно поэтому одним из условий широкого применения облачных вычислений является решение вопроса защиты информации в них, защиты интересов как пользователя, так и провайдеров, потому что здесь ситуация обоюдоострая.
С другой стороны не все так печально, существует много аспектов деятельности, где можно использовать облачные технологии совершенно спокойно, и это не приведет ни к каким негативным последствиям, а выигрыш очевиден. Как правило, это те вопросы, которые не касаются правовых взаимоотношений, в которые могут вступать пользователи или организации. Как только начинают затрагиваться чьи-то интересы, то здесь сразу возникает вопрос «А как осуществлять это взаимодействие»?

Если мы берем публичные облака, то субъектов там неограниченное число, и они все совершенно разные по своим возможностям и отношению к выполнению каких-то общих правил. В тоже время количество сервисов постоянно растет, появляются новые услуги. У нас получается система, которая неопределенна в обоих направлениях. Выстроить систему защиты тут очень сложно. Простой пример – когда мы сейчас строим защищенную информационную систему, я, по крайней мере, могу, потратив определенные ресурсы, провести проверку того программного обеспечения, которое используется в этой системе. Хотя бы на наличие недокументированных возможностей.
Если же я даю заказ оператору сформировать мне определенную вычислительную среду, то откуда я знаю, какое программное обеспечение он включит в состав этого комплекса? Насколько оно поверенное и не проявятся из-за него у меня негативные последствия? И таких вопросов возникает довольно много. Я не говорю, что они не имеют решений, но надо четко понимать, что при использовании облачных технологий нам добавляются новые проблемы. Как говорится, к нашим безоблачным угрозам добавились облачные.

Теперь поговорим немного о защите интересов пользователей. В первую очередь надо подумать, как обеспечить оператору доверие со стороны клиентов, что бы они могли верить полученному результату.

Во-вторых, вопрос достоверности получаемой от провайдера информации. Это уже, скорее, правовой момент. Допустим, я могу «бросить» в облако задачу, получить ответ и на основе его принять решение, которое будет иметь, в том числе, и правовые аспекты. А если оно окажется противозаконным, то кто несет ответственность – я или провайдер? Я обязан перепроверять полученную информацию? Я ведь не знаю, какими источниками информации он пользовался.

В-третьих, если я предоставляю для обработки свои данные, то я хочу рассчитывать, что они будут соответствующим образом защищены. Да, это можно прописать в договоре, что оператор обязан это делать. Но чем, собственно, они отвечают за нарушение? Если вдруг я обнаружу эти данные в свободном доступе, то как я смогу доказать, что это вина оператора или, наоборот, оператор сможет доказать, что он тут не причем? Нужен тут какой-либо третий арбитр или нет? Существует ли достаточная нормативная база? Эти вопросы необходимо решить на нормативном уровне.

И с обратной стороны: пользователи бывают разные, и провайдер тоже должен быть защищен от таких клиентов, ведь в ряде сервисов он предоставляет доступ к своей инфраструктуре и своим ресурсам. Он должен быть уверен, что обращения пользователей к ним идут в корректных границах. Мне кажется, сейчас разработчикам и операторам, которые работают в этой сфере, нужно внимательно посмотреть на уже прописанные требования и посмотреть, готовы ли они их реализовать в своих средах. Например, опубликованы требования ФСБ России и ФСТЭК России о защите персональных данных. Возможно, надо каким-либо образом вырабатывать новые механизмы и соглашения, а может быть, и требования. Хорошо бы услышать мнения со стороны облачных операторов – насколько требования выполнимы, чего нахватает, какие проблемы возникают при реализации и т.д.

И последнее. Сейчас сложилась достаточно интересная ситуация, когда у нас фактически разработчики и техника готовы для создания соответствующей среды функционирования с точки зрения функционала, существует какая-то нормативная база, хотя и требующая доработки и развития, но что сказать о потребителе? Ведь потребитель, как правило, очень плохо осведомлен, какими возможностями он может пользоваться у конкретных операторов и что ему нужно там делать. Как мне кажется, он еще не готов к широкому использованию предоставляемых возможностей, выходящих за рамки очевидных вещей.

Например, обмена информацией или игр. Да, это большой сегмент рынка, но это несерьезные приложения, задачи, не требующие особых усилий для своего решения. А если всерьез развивать облачные технологии, так, чтобы они пронизывали все сферы жизни общества, то здесь будет нужна достаточно серьезная работа с потребителем, что бы он действительно понял, что облака могут приносить ему существенную пользу и не требовать серьезных усилий в эксплуатации. Если человеку для пользования облачными сервисами потребуется образование на уровне IT-специалиста, то вряд ли это все будет востребовано.

Как мы видим, проблемы есть, их много, но хорошо, что мы их четко видим. Мне кажется, мы сейчас можем более-менее четко сформулировать если не требования по средствам и механизмам защиты информации, то, по крайней мере, определить те угрозы, которые должны быть учтены при создании облачных систем.

Информационно-аналитический журнал "Персональные данные"
или введите имя

CAPTCHA