«Рискуем потерять данные и нарушить закон» – почему компании опасаются облаков
Руководители и специалисты по ИТ рассказали, как хранят персональные данные, а эксперт по информационной безопасности прокомментировал их истории.
Материал подготовлен при поддержке #CloudMTS
Игорь Котляр, CTO цифрового медицинского сервиса «Доктор рядом»:
«Доктор рядом» централизованно хранит персональные данные на серверах одного из внешних поставщиков и следит, чтобы они не «оседали» на рабочих станциях сотрудников.
У нас не случалось ситуаций, когда мы теряли доступ к информации из-за поломки оборудования, но так произошло в Doc+ (в сентябре 2020 года этот сервис сообщил о слиянии с «Доктор рядом»). Причина — сбой в работе сетевого оборудования. Отказоустойчивая конфигурация, к сожалению, не помогла. В тот раз мы потеряли доступ ненадолго — было резервное оборудование. Но ситуация заставила нас активнее тестировать ИТ-инфраструктуру.
Облачные системы мы не рассматриваем. Считаем, что риски слишком велики: уровень защиты данных недостаточный, не исключён несанкционированный доступ со стороны персонала провайдеров.
При этом в облаке можно хранить резервные копии документов, если перед этим их шифровать.
Защищённость облачных сервисов и риски несанкционированного доступа — действительно острые вопросы.
Крупные провайдеры гарантируют, что доступ к размещённым в облаке данным имеет только сам заказчик и больше никто. Это закреплено юридически в договоре. Кроме того, провайдеры дорожат репутацией и доверием клиентов. Уровень защиты современных облачных платформ настолько высок, что позволяет хранить и обрабатывать в облаке не только персональные данные, но и государственные информационные системы (ГИС) в соответствии с законом. Например, в нашем облаке доступны специализированные сервисы для работы с персональными данными и ГИС, аттестованные по самым высоким требованиям. Для персональных данных это уровень УЗ-1, для ГИС — первый класс защищённости К1.
МТС использует для хранения персональных данных сразу несколько аттестованных сегментов облака – они расположены в разных дата-центрах независимо друг от друга. Это позволяет избежать потерь доступа к информации.
Игорь Беляков, менеджер по информационной безопасности онлайн-тревел агентства Kupibilet.ru:
Главным фактором при принятии решения об использовании облачных сервисов стала стоимость владения инфраструктурой, так как обслуживание собственного оборудования требует большего количества специалистов.
«Облако» позволяет администрировать сервисы откуда угодно в любое время. Это особенно актуально для ИТ-компании, сотрудники которой не привязаны к офису. Во время пандемии таким образом мы оптимизировали затраты на ресурсы — платили только за те сервера и сервисы, которые использовали.
Так как наша компания почти с самого начала строит бизнес на основе облачных сервисов, проблем «переезда» в облако и масштабирования ресурсов у нас не было.
Конечно, опасения по поводу того, что используемое нами облако поддерживает другая компания — есть.
Но мы понимаем, что система защиты провайдера ещё сложнее и надежнее, и мы ему доверяем. Чтобы минимизировать риски, мы действуем превентивно. Например, резервируем критические сервисы, используем дополнительное шифрование и многоуровневый контроль доступа. Как показывает практика, риск остановки онлайн-сервиса из-за облачного провайдера крайне низок.
Защищать данные должны и провайдер, и заказчик — просто они делают это на разных уровнях. Компании отвечают за размещённую в облаке информационную систему.
Провайдер обеспечивает защиту серверной инфраструктуры, которая размещена в дата-центрах. Например, наш облачный провайдер использует собственные высокотехнологичные центры обработки данных (ЦОДы) с уровнем Tier III. Защита обеспечена также на уровне платформы виртуализации. Кроме того, провайдер становится для клиента поставщиком ИБ-сервисов: можно подключить облачный антивирус, защиту от DDoS-атак, WAF, SOC.
Многие делают резервное копирование с собственных мощностей в публичное облако. Эту же схему можно применить при работе с персональными данными. Крупные провайдеры могут предложить сервис бэкапа (BaaS) компаниям, подпадающим под требования 152-ФЗ. Например, у нас есть специальное BaaS-решение на технологиях Veeam: компания может делать бэкап персональных данных со своей площадки в облако. Такой бэкап идёт по защищённому каналу с применением средств криптографической защиты информации и с учётом всех необходимых требований.
Олег Шальнов, директор Департамента управления ИТ-проектами и интеграцией, АО «Концерн Росэнергоатом»:
Наш концерн обрабатывает персональные данные и другие конфиденциальные сведения в соответствии со всеми требованиями ФСТЭК, ФСБ России и регламентирующими документами корпорации. Мы используем защищённое корпоративное облако на базе ЦОД «Калининский» (собственный дата-центр «Росэнергоатома»). Мы постоянно резервируем важные данные.
Облачное решение доступно и для внешних компаний. Если потребуется организовать инфраструктуру для работы с ГИС или аттестовать информационную систему персональных данных, то приоритет будет у тех облачных сервисов, которые наиболее полно отвечают нормативным требованиям безопасности.
Если нужной инфраструктуры у компании нет, то провайдер может помочь с её организацией и аттестацией в соответствии с требованиями закона. Заказчик получит все необходимые подтверждающие документы.
Строя ГИС на облачных сервисах, компания имеет все преимущества облачной модели: гибкость, доступность. При этом аттестация информационной системы упрощается, так как «кирпичики», с помощью которых она построена, уже имеют аттестат. Из примеров нашей практики: МФЦ Ростова-на-Дону перенёс часть информационной системы в выделенный сегмент облака, который аттестован согласно требованиям первого класса защищенности K1.
Павел Столбов, генеральный директор АСУ «Жилищный стандарт»:
Наша компания размещает свою программу в облаке российского провайдера несколько лет. Мы всегда храним сведения только в тех ЦОДах, которые полностью соответствуют требованиям закона, в частности 152-ФЗ «О персональных данных».
До этого мы хранили персональные данные в облаке в региональном ЦОДе. Перешли к крупному провайдеру, так как искали федеральную площадку. Дополнительного обучения сотрудников после перехода на новую систему не потребовалось. Расходы контролировать легко, всё прозрачно и цены конкурентные.
Компаниям важно, чтобы облачные решения работали бесперебойно. Например, ИТ-система «Жилищного Стандарта» связывает жителей с управляющими компаниями, ТСЖ, ресурсоснабжающими организациями. Облака крупных федеральных провайдеров, как правило, обладают высокой надежностью и устойчивостью. Данные остаются доступными даже в чрезвычайных ситуациях.
Этот пример подтверждает востребованность решений, которые можно получить в облаке российского провайдера для работы с персональными данными. Для размещаемой ИТ-системы используются передовые технические решения, полностью соответствующие требованиям регулятора — об этом заранее позаботился провайдер.
Советы: как выбрать провайдера для работы с персональными данными
Часто компании не рассматривают облака для работы с персональными данными или размещения ГИС. Облачные провайдеры готовы предоставить специализированные сервисы для работы с такими «чувствительными» данными. Главное – всё будет в соответствии с законодательными требованиями.
Так компания сможет снизить капитальные затраты, получить гибкость при масштабировании, упростить процедуры проверки соответствия.
Вот несколько советов, как отличить надежного провайдера:
- У провайдера есть лицензии ФСТЭК и ФСБ, аттестованные сервисы. Хорошо, если аттестат можно посмотреть на сайте компании.
- Провайдер работает только по официальному договору и с поручением на обработку персональных данных от компании. На основании этого компания сможет провести как проверку на соответствие, так и аттестацию информационной системы персональных данных.
- В облаке провайдера можно работать как с персональными данными, так и с ГИС. Чем выше уровень защиты облака — тем больше различных категорий персональных данных и ГИС можно там размещать. Уровни защиты закреплены в официальных документах (постановлениях Правительства): для персональных данных наивысший уровень это УЗ-1, для государственных информационных систем – первый класс защищенности К1.
- Облачная платформа должна быть надёжной: базироваться в нескольких дата-центрах (желательно собственных) и строиться на оборудовании известных вендоров и проверенных решениях виртуализации, например, Vmware.
- Провайдер предоставляет сервисы информационной безопасности (облачный антивирус, защиту от DDoS-атак, WAF, SOC) и готовые инструменты бэкапа для персональных данных. В том числе позволяет резервировать данные с собственной площадки в аттестованный сегмент облака с помощью специализированных BaaS-сервисов.
Как бы уважаемый эксперт прокомментировал известный кейс с Облаком Яндекса?
Можно делали?
А вы думаете, такого не бывает в собственном облаке? Бывает и ещё как. Человеческий фактор неустраним. Но чем опытнее персонал, тем меньше вероятность ошибок. Владельцы больших платформ могут позволить себе топовых сотрудников и не только потому, что готовы платить больше, просто топовых может быть, грубо говоря, десяток на всю страну и они осядут в операторах и банально не достанутся энтерпрайзу.
Если что, я не из МТС.