Автор: Майкл Визард
Перевод материала: Оганесян Анна
Для многих IT-департаментов обеспечение безопасности конфиденциальной информации о клиентах становится ключевой и очень сложной задачей из-за максимальной ориентации на потребителя.
В век облачных хранилищ IT-службы часто оказываются в затруднительном положении относительно защиты конфиденциальной информации в облаке из-за многочисленных требований безопасности. При этом именно компании ответственны за безопасность хранения данных своих клиентов. В первую очередь, эти затруднения связаны с консьюмеризацией IT. Часто сотрудники переводят информацию в облако, не задумываясь о механизмах защиты, которые будет необходимо обеспечить IT-службе. Многие мотивируют это тем, что только облако может обеспечить подобные скорость и удобство обмена информацией. Таким образом, IT-службы вынуждены искать новые методы обеспечения безопасности, которые будут соответствовать зачастую несуществующим или сугубо формальным стандартам.
«Когда облачные хранилища только появились, никто не думал, что они принесут столько сложностей», – отмечает Ларри Миллер, директор департаментов IT и электронной коммерции компании Main Gate – разработчика сайтов для спортивных команд и различных ассоциаций.
Еще один аспект, ухудшающий ситуацию: в случае нарушения требований, предъявляемых к системам безопасности, компании получают настолько несущественные штрафы, что их вполне можно считать издержками в ходе ведения бизнеса.
«Во многих случаях штрафы просто недостаточно высоки», – говорит Майк Эллсфорт, сотрудник IT-службы компании Career One Stop, федерального портала службы занятости в Миннесоте.
Вне правительственных организаций, сфер здравоохранения и ритейла требования к системам безопасности данных более чем субъективны и разнородны. Да и в случае с перечисленными выше сферами все не так однозначно: до сих пор нет единых стандартов в отношении систем защиты мобильных платежей и операций в облаке.
Недавний опрос 798 IT-специалистов, проведенный институтом Ponemon, показал, что более 80% сотрудников IT-служб не знают, сколько информации хранится на мобильных устройствах или в облаке.
Основная проблема, по словам Ларри Понемона, директора института Ponemon, в том, что даже если IT-служба найдет внешние регламенты защиты данных, непонятно, как применять их внутри компании. Это происходит потому, что сильные ограничения вызовут отрицательные эмоции у пользователей. Кроме этого, у IT-служб недостаточно времени, навыков и ресурсов, чтобы отслеживать все нарушения.
Исследование показало, что большинство организаций имеют слабый контроль «на местах». 73% опрошенных заявили, что не используют автоматизированных систем управления, делая все вручную. «В большинстве случаев IT-организации работают по принципу «если я об этом не знаю, этого нет» и пребывают в блаженном неведении», – говорит Понемон.
«Многие аудиторы не имеют технического образования, – добавляет Райн Калембер, шеф-продакт менеджер компании Watch Dox. – Они имеют привычку объявлять о победе над проблемой сразу после декларации очередного требования к системе безопасности».
Безусловно, невозможно немедленно выяснить, насколько остро стоит вопрос соответствия требованиям системы безопасности в облаке. Эмми Роланд, сотрудник юридической компании Waller, специализирующейся на соответствии стандартам, говорит: главная причина в том, что IT-инновации появляются быстрее, чем регулирующие инстанции создают регламенты и стандарты. Роланд рекомендует тщательно взвесить все «за» и «против», прежде чем перемещать свою конфиденциальную и ценную информацию в облако.
Как ни странно, интерес к проблеме соответствия систем безопасности в облаках стандартам вырос из-за громких скандалов с кражей и компрометацией информации государственных учреждений, в частности, Пентагона. С другой стороны, эти случаи показали слабость и несостоятельность IT-служб в борьбе со злоумышленниками.
Во многих компаниях IT-подразделения воспринимаются как излишне «жесткие», поэтому сотрудники других подразделений самостоятельно решают размещать информацию в облачных хранилищах. А это означает, что эти данные никак не защищены.
Чтобы в корне решить проблему, Кент Кристенсен, менеджер по визуализации IT-сервисов компании Datalink, предлагает IT-подразделениям превратить свою деятельность в сервис для пользователей. Тогда получится обеспечить облачным сервисам необходимую пользователям гибкость и соответствующий уровень безопасности.
«Понимание этих проблем растет в геометрической прогрессии, – говорит Кристенсен. – Это связано с быстрым ростом интереса к частным облачным хранилищам».
Безусловно, многие частные облака располагаются во внешних дата-центрах, что значительно снижает расходы на их обслуживание. Но пользователи не учитывают тот факт, что по стандартам безопасности облачных систем управление должно осуществляться IT-администратором компании-владельца облака. Администратор должен обязательно иметь доступ к данным в облаке.
«Важно помнить, что соответствие относится только к какому-то одному моменту времени, – отмечает Мейджор Хайден, глава службы безопасности Rackspace. – Вы не можете быть уверены, в чьих руках находятся ключи шифрования вашей системы в облаке в тот или иной момент».
По этой причине Rackspace стала клиентом компании SSH Communications, которая недавно выпустила приложение для оценки рисков, позволяющее IT-службам определить, кто имеет доступ к ключам шифрования SSH (Secure Shell).
«Большинство не задумывается об этом, но безопасность ключей SHH в облаке – огромная проблема», – подчеркивает CЕО компании SSH Communication Тату Илонен.
Безусловно, большая часть проблем соответствия стандартам безопасности в облаке была бы решена, если бы компании просто обеспечили больший уровень безопасности. Но исследование, в ходе которого было опрошено 4205 IT-специалистов, показало, что 53% организаций передают данные в облака, не задумываясь о том, зашифрованы они или нет. Еще 31% компаний собираются, несмотря на осведомленность о необходимости шифрования данных в облачных хранилищах, в течение от года до 2х переместить в облако конфиденциальную информацию, независимо от того, зашифрована ли она.
«Существует мнение, что провайдер облачных сервисов несет ответственность за безопасность информацию, которую вы там храните, – говорит Ричард Моулдс, Вице-президент Thales e-Security. – Но думать так беспечно и неправильно».
Не все данные нужно шифровать. Но когда речь идет об облаках, организации могут ошибиться, установив недостаточные пределы шифрования и этим самым подвергая информацию угрозе.
«Когда встает задача обеспечить более высокий уровень безопасности, соблюдение соответствия стандартам защищенности отходит на второй план, – отмечает Махмуд Шер-Ян, Вице-президент компании ID Expert, провайдера инструментов для оценки рисков и аналитических приложений. – Но при этом владельцы бизнеса должны понимать, что и инвестиции, направленные на приведение систем безопасности в соответствие со стандартами, являются необходимыми».
По этой причине компания ID Expert оказывает содействие развитию проекта PHI американского института ANSI, который помогает организациям, понесшим финансовые убытки в результате взлома системы защиты.
Безусловно, что для IT-служб все, что связано с проблемой соответствия, сопряжено с риском. Но также безусловно то, что задача CIO – убедиться в том, что эта проблема не возникала в компании в будущем. На первом этапе минимизировать эту проблему можно, просвещая сотрудников и объясняя, чем чревато использование сторонних IT-сервисов в отношении облачных хранилищ. Пока же IT-службы не будут в состоянии предложить адекватный набор альтернативных сервисов, недоверие к ним со стороны пользователей и, следовательно, проблема соответствия будет сохраняться.