Генеральный директор компании Облакотека, Максим Захаренко
Объем содержащихся в интернете персональных данных пользователей стал в последнее время одной из наиболее обсуждаемых тем. В современном обществе вы едва ли найдете человека, у которого нет профиля во всемирной паутине. У большинства из нас есть страницы в социальных сетях, у некоторых их несколько. Они содержат информацию о нашей биографии, друзьях, интересах, событиях из личной жизни, даже данные геолокации — где и когда вы были. По этим фактам можно не только выстроить портрет вашей личности, но и проследить почти всю вашу жизнь, включая тех, с кем вы общаетесь. Однако вне зависимости от того, как именно будут обрабатываться персональные данные, они входят в категорию информации, требующей защиты и регулярного упорядочивания.
Особенности российского менталитета
В каждой стране есть свои особенности рынка услуг информационной безопасности. В России клиенты имеют свою специфику и требования, сформированные менталитетом, окружающей бизнес-средой и, конечно же, историей. Сперва стоит отметить, что в нашей стране очень сильно развито недоверие, это касается и облачных технологий. На облака компании переходят в тех случаях, когда собственная IT-структура не может обеспечить безопасность, качество и конфиденциальность — в ситуации крайней необходимости. Как правило, руководство компаний не уделяет достаточно времени и средств для организации безопасности персональных данных — чаще всего выделяются минимальные суммы для функционирования своей IТ-инфраструктуры, и даже периодически появляющиеся проблемы не меняют их отношения. Сравнивая эти меры с системой облачного хранения данных, которая способна гарантировать безопасность, резервное копирование, мониторинг и IT-поддержку за меньшие деньги, последняя заметно выигрывает.
Особенности бизнеса в России
Каждая организация в Российской Федерации, обрабатывающая персональные данные, действует согласно ФЗ №152 о персональных данных, которые определяются как любая информация, имеющая отношение к субъекту (ФИО, дата рождения, место проживания, члены семьи, социальный статус, образование, карьера и т.д.). Следовательно, персональные данные, представляющие собой идентифицирующую информацию, находятся в правовом поле.
В 2015 году закон претерпел изменения, согласно которым все персональные данные должны находиться на территории РФ. Это создало проблемы операторам, ранее хранившим данные за рубежом. После принятия изменений, они были вынуждены создать ЦОДы на территории России, или же обратиться за помощью к отечественным хостинг-провайдерам. Некоторые организации до сих пор приводят свою работу в соответствие с измененным законом.
Самостоятельное решение этой проблемы в собственном ЦОДе требует не только больших усилий, но и материальных затрат на приобретение «железа». Облачная структура способна предложить более выгодный вариант в кризисное время, а именно —аренду техники, безопасность и конфиденциальность персональных данных.
На этом особенности российского бизнеса не заканчиваются. Консервативность представителей бизнеса приводит к тому, что информационные инновации воспринимаются с трудом. Особенно, если организация убеждена, что «в этом нет необходимости». Несмотря на это, существуют те отрасли, которые понемногу двигают облачный рынок в массы. Это интернет-сервисы, телекоммуникации, электронная коммерция, туризм, риэлторские услуги и прочие отрасли с реальной конкуренцией.
Другое своеобразие российских компаний заключается в уникальности бизнес-процессов. Как правило, внутренние процессы компаний никогда не выстраиваются идентично. Это стремление быть уникальным в своем роде мешает развитию рынка готовых сервисов (SaaS), которые как раз настроены на стандартные бизнес-процессы.
Почему не офисный ЦОД
Российское законодательство способствует развитию облачных систем, так как они так же функционируют согласно требованиям ФЗ №152. Операторы обязуются не только обеспечивать безопасность персональных данных, но и выполнять необходимые сложные и дорогостоящие мероприятия по требованиям, предписанным государством. Организация всех необходимых мероприятий в пределах офисного ЦОДа стоит больших денег. При аренде облака компании не приходится нести все эти затраты, так как в системе облачной инфраструктуры все необходимые действия уже являются выполненными, будь то резервное копирование, политика паролирования и так далее. Остальная часть не требует дополнительных расходов, потому что выполняется за счет использования сертифицированных средств защиты. Это распространяется сразу на нескольких клиентов, что, соответственно, уменьшает стоимость услуг.
Если компания настаивает на использовании собственного ЦОДа с несертифицированными средствами защиты, то, несмотря на то, что такой метод законен, она подвергает себя рискам. Это объясняется тем, что у регуляторов может быть свое мнение относительно закона и обязательств к использованию сертифицированных средств защиты. Отсюда следует, что при выборе оператора ПДн, руководителям необходимо понимать, что существует вероятность того, что в конечном итоге они будут отстаивать свою точку зрения в суде.
Облачные компании исполняют требования приказа ФСТЭК по защите персональных данных с помощью встроенных средств используемого программного и аппаратного обеспечения. Сюда входят: контроль доступа при помощи средств операционных систем, управление доступом при помощи гипервизора Microsoft Hyper-V, фильтрация траффика внутри виртуальной инфраструктуры с помощью виртуальных межсетевых экранов, также реализованных средствами гипервизора. Кроме этого, облака используют дополнительную защиту — антивирусы, средства анализа защищенности, защиту информации при передаче по открытым каналам связи и так далее.
Любые средства защиты обязательно проходят проверку по 4-му уровню контроля отсутствия недекларированных возможностей, и должны быть сертифицированы на определенный класс, нормы которого устанавливаются и регулируются 21-м Приказом ФСТЭК.
Облачная система обработки персональных данных предоставляет клиенту сервис по поддержке оператора и помогает ему в разработке проектов по приведению обработки и защиты ПДн согласно законодательству. Специалисты консультируют клиентов по всем вопросам, связанным с персональными данными. Облачный сервис регулирует все вышеперечисленные задачи. Кроме того, мы следим за всеми изменениями в законе и подстраиваемся под нововведения.
Таким образом, компания решает сразу несколько задач: выполняет все требования законодательства, затрачивая на это минимум усилий и денег, перенося данные в облако — все это уже входит в список основных услуг.
Те, кто уже осмелился
Как небольшие стартапы, так и крупные международные организации переходят на облачную структуру — таких примеров IT-миграций много.
Одним из них служит развлекательная компания Netflix, которая свои изменения проводила поэтапно, если быть точнее — это длилось несколько лет. Сейчас управление трансляциями потоковых видео, система управления данными клиентов и менеджмент сотрудников происходят в облаке.
Два года назад всемирно известное автомобильное приложение Uber после многих лет раздумий наконец приняло решение перейти на облако.
Сервис аренды жилья Airbnb с самого начала своего функционирования работал на облачной структуре. На сегодняшний день ни один сотрудник IT-команды Airbnb не тратит свое рабочее время на обслуживание офисных серверов.
Музыкальная стриминговая площадка Spotify также заявила о своем переходе на виртуальную инфраструктуру Google. До этого сервис арендовал специальное помещение в дата-центре и покупал сетевое и серверное оборудование в разных странах, для того, чтобы быть ближе к клиентам.
После того, как Facebook приобрел популярное приложение Instagram, Марк Цукерберг принял решение перенести все пользовательские данные на инфраструктуру Facebook. Транспортировка заняла более года, так как на тот момент у сервиса было около 200 млн пользователей. Такому же примеру последовал WhatsApp — в конце прошлого года мессенджер начал миграцию данных на ту же инфраструктуру.
Компании в России также стараются не отставать за тенденцией — онлайн сервис по доставке еды Delivery Club полностью перешел на облачную систему. Представители компании утверждают, что это облегчило поддержку, увеличило надежность и упростило управление сервиса.
После того, как очередной сезон отпусков увеличил продажи авиабилетов, нагрузка на сервера в S7 Airlines выросла на 15%, что пагубно отразилось на работе сайтов. Именно этот случай подтолкнул авиакомпанию перейти на облачное обслуживание.
Многие крупные корпорации принимают решение перейти на облачные структуры из-за масштабности задач и большой нагрузки в целом. Облако более гибкое, чем офисный ЦОД, что позволяет быстрее реагировать в случае экстренной нагрузки, а следовательно — экономить на IT-поддержке.
Комментарий удален модератором