Облачная безопасность
Обеспечение информационной безопасности IT-инфраструктуры — это ежедневная насущная задача компаний любого масштаба и сферы деятельности. При этом необходимо помнить, что постоянно появляются новые угрозы, а старые угрозы изменяются, приобретая новые качества. Поэтому задача подразделений информационной безопасности современного предприятия — как минимум, оперативно реагировать на эти изменения, а как максимум — опережать их.
В последнее время все большую популярность приобретают технологии облачных вычислений. И это вполне оправданно: владельцы облачных сред гарантируют предприятиям высокий уровень бесперебойности и доступности сервисов, предоставляемых клиентам. Ответственность за надлежащее содержание всего оборудования и инфраструктуры лежит на хозяине хостинга, что снимает с предприятия заказчика значительную часть материальных затрат. Дополни тельно владельцами облачных сред, как правило, декларируется абсолютная конфиденциальность информации, обрабатываемой в «облаке». Но если степень доступности и бесперебойности облачного сервиса можно оценить достаточно легко, то степень защиты информации становится понятна только после очередного скандала с разглашением конфиденциальных данных.
Еще более неприятна неизвестность: хотя и нет сведений об утечке информации, но и подтверждений того, что конфиденциальные данные никто посторонний не видит и, тем более, не пользуется ими, также нет. Подобная ситуация значительно сокращает привлекательность размещения ИС предприятий в «облаке», особенно тех, чья деятельность попадает под действие различных законодатель ных и иных регламентов. Все это делает очевидным тот факт, что использование облачных технологий требует четкой проработки вопросов обеспечения конфиденциальности информации и выбора средств защиты. Эти непростые задачи должны решаться силами заказчиков облачных сервисов.
Проблема обеспечения информационной безопасности в облачных инфраструктурах не всегда сводится лишь к решению технологических вопросов. Иногда важнее реализовать организационные меры и решить юридические задачи. И в этом отношении современной IT индустрии есть куда развиваться. Так, например, на данный момент не очень понятно, что происходит, когда пользователь передает свои данные в «облако». В то же время, очевидно, что клиент, доверяющий важную информацию (возможно, персональные данные) для хранения и обработки в «облаке», должен полностью контролировать каждый этап работы и знать, как хранятся файлы, как они обрабатываются и т.д.
Итак, условно всех тех, кого интересуют данные, хранящиеся в облачных средах, можно разделить на две категории: киберпреступники и, как это ни странно, регуляторы. К киберпреступникам можно отнести злоумышленников, которые используют краденые данные для обогащения, адреса электронной почты и номера телефонов для рассылки спама или конфиденциальную информацию своих конкурентов для нанесения им экономического или репутационного ущерба.