Облачные технологии: как сохранить свои данные в безопасности? Основные правила
Что такое облачные технологии? Знает ли провайдер, какие данные вы загрузили в его хранилище? Какую информацию в облаке в принципе держать нельзя? На эти и другие вопросы совместного проекта БЕЛТА и компании А1 “В теме. Технологии” ответил Михаил Есипов, начальник отдела продаж цифровых решений.
– Подскажите, можно ли с ними в принципе работать? Какие есть плюсы и минусы для обычного гражданина в этих технологиях? А для небольшого бизнеса?
– Если сказать кратко, основной принцип облачных технологий – это сервисная модель потребления услуги. Что это значит? Когда мы включаем свет, мы не задумываемся, откуда берется электричество. Можем включить и выключить, а платим только по мере потребления, и счет приходит один за месяц. Основной принцип облачных технологий такой же, мы платим ровно за то, что потребили. Плюс облачных технологий прежде всего в гибкости: нужно – потребляете, не нужно – перестали. В масштабируемости – нужно больше, потребляете больше, в обратную сторону – такой же принцип. Доступ к вашим данным и системам может быть из любой точки мира. Сейчас наши компании работают в гибридном, удаленном формате. Сотрудники могут находиться в любой точке страны, мира, и в это же время быть доступными, работать и оказывать услуги, поддерживать ваших клиентов, стимулировать развитие экономики.
Если говорить о минусах, до недавнего времени считалось, что данные более защищены, когда они находятся у вас в руках, в вашем эксклюзивном пользовании. Но в последнее время это не так. Скорее, в большей безопасности данные, которые хранятся у облачного провайдера, ведь он обладает компетенциями, нужной сертификацией, его деятельность соответствует нормативно-правовым актам. Провайдера ежегодно проверяют аудиторы и наши регуляторы. Так данные защищены больше, чем те, которые находятся у вас.
Один из рисков – это каналы связи к тем данным, которые хранятся у облачного провайдера. Поэтому надо выбирать его очень ответственно и вдумчиво. Если провайдер может обеспечить вам каналы связи к вашим данным и системам, которые находятся у него, и это единый контракт с одной точкой и одним провайдером, он может обеспечить вам сквозное качество услуг. Поэтому выбор зависит не только от цены, гибкости, но и от доступности бизнеса.
– Простые граждане хранят в облаке фотографии, видео. У многих таким образом там оказывается вся жизнь. Какие плюсы и минусы в этом?
– Есть четкие законодательные требования к хранению коммерческих, чувствительных данных на территории Беларуси. Если ваши данные подпадают под какую-то категорию, важны и нужны вам, следует правильно выбирать место хранения и то, что вы храните. Могут быть данные, которые вообще не подлежат удаленному хранению вне организации. Таким образом, организация должна четко провести границу, посмотреть, что и где должно находиться и соответствует ли это законодательству.
– Что не стоит хранить в облаке?
– Каждый принимает решение для себя. Сейчас все больше ужесточаются требования, допустим, в части медицинской информации. И наши медучреждения начинают этим требованиям соответствовать. Поэтому у нас есть проект, где в облаке хранятся данные медицинских центров. Они полностью защищены, взаимодействие разных систем происходит по защищенным каналам связи, это постоянно контролируется нашими регуляторами. Можно сказать, что в принципе, кроме данных, составляющих государственную тайну, любые можно хранить у облачного провайдера. Но еще раз хочу заметить: надо правильно подходить к его выбору.
– А стоит ли обычным гражданам хранить в облаке какие-то документы?
– Я бы все-таки рекомендовал придерживаться принципа, что желательно все яйца не хранить в одной корзине. То есть любые данные, которые вам важны и нужны, должны быть резервированы. Есть индустриальный принцип, когда хранятся три копии, одна – вне периметра, вне системы клиента. Поэтому я бы рекомендовал делать резервные копии, в том числе документов. Гораздо проще их восстановить, если у вас есть фотокопия, которая занимает не так много места.
– То есть на компьютере, в облаке и где-то на жестком диске на полочке?
– Да. Сейчас носители информации достаточно дешевы, поэтому можно купить переносной диск или флеш-диск и держать копии там, где вы храните документы.
– Есть ли статистика по компрометации облачных хранилищ за последнее время?
– Надо четко понимать, что взаимодействие клиентов и облачного провайдера строится на принципах партнерства. Часть ответственности несет клиент, часть – облачный провайдер. У нас не было таких случаев, когда по нашей вине происходила утечка данных клиентов. Они бывают, но в 80% случаев это человеческий фактор. Наверное, где-то возможны не до конца прописанные процедуры у клиента, обычная человеческая ошибка. Порой один и тот же пароль используют для нескольких систем. Злоумышленники могут применять методы социальной инженерии – фишинговую рассылку, когда приходит письмо про то, что вы что-то выиграли и, чтобы получить приз, нужно перейти по ссылке и ввести свои данные. Такое неизбежно, потому что все люди и все ошибаются, могут что-то сделать не так.
– Получается, для клиентов нужно проводить обучение, чтобы люди понимали, что можно, а что нет, трезво оценивали ситуации.
– Конечно. У нас с подписанием закона “О защите персональных данных” все больше внимания уделяется как раз персональным данным граждан. Даже говорится, что данные – это кровь экономики. Если вы их потеряли, кто-то использовал ваши данные, чтобы негативно на вас воздействовать, вы уязвимы, в опасности.
Очень важны профилактика, обучение и самообучение, причем чтобы это был не разовый подход. О мерах противопожарной безопасности у нас говорят постоянно, и мы знаем, что делать, если звучит сирена. Программа на случай нарушения информационной безопасности должна быть прописана так же четко. Первый шаг – максимальная изоляция систем. Второй – уведомление наших регуляторов. В Беларуси создан Национальный центр кибербезопасности, есть законодательство о том, как это все должно передаваться. Третий шаг – восстановление. На этом этапе важно, как и где хранятся резервные копии, как часто их делают. Раз в месяц скопировать какие-то данные недостаточно. После восстановления обязательно расследование. Есть команда по расследованию киберинцидентов, которая исследует, что стало корневой причиной инцидента, кто и что сделал неправильно. После расследования обязательна профилактика, предполагающая доработку внутренних документов, разъяснения и дополнительные обучения, обновление ПО, если использовалась какая-то уязвимость.
Это рутинный постоянный процесс. Мы не можем сказать, что защищены сейчас, потому что завтра могут появиться новые вызовы, уязвимости или техника по работе с данными. Следовательно, готовыми нужно быть всегда. Именно поэтому Президент подписал указ о кибербезопасности, а в стране создаются соответствующие центры, которые направлены на то, чтобы защищать не только себя и крупных игроков, но и наш небольшой и средний бизнесы, людей, для которых информационно-коммуникационные технологии не главное в их бизнесе. Тех, кому надо оказывать услуги населению, создавать что-то на производстве, кормить людей и перевозить их. Для таких организаций информационные технологии – не основа, а часть бизнеса, но она все равно важна. Если мы что-то сделаем неправильно, потеряем данные, то в один “прекрасный” момент не сможем поддерживать наших собственных клиентов.
В стране создаются центры кибербезопасности, которые помогают нашим клиентам из разных индустрий. Поэтому надо работать с профессионалами, трезво оценивать собственные риски и быть готовыми тратить бюджет на то, чтобы их снизить.
– Что вы можете посоветовать обычным пользователям и бизнесу при работе с облачными технологиями?
– Начнем с бизнеса. В безопасность можно вкладываться бесконечно, и все равно стопроцентной надежности системы не достигнешь. Нужно разграничивать, какие данные важны, критичны, а какими можно пожертвовать. Для работы с критически важными данными следует разработать четкую стратегию: они остаются у вас или вы их передаете, если второе – кому и на каких условиях. Какое качество обслуживания может обеспечить оператор, которого вы выбрали? Какими законами он руководствуется? Где находится? Также важно создать внутреннюю политику работы с данными. Принцип один – наименьшего доверия, то есть работник должен иметь доступ или возможность его получить ровно к тем данным, которые ему нужны, не более. Чем уже круг потенциальных пользователей, тем они надежнее защищены с точки зрения социальной инженерии.
Когда бизнес это поймет, было бы неплохо задать еще один вопрос: а что случится, если я эти данные потеряю, сколько стоит час моего простоя? Никто не говорит о косвенных и репутационных затратах, но прямые потери посчитать можно. Зная цифру, можно понять, сколько нужно потратить денег на то, чтобы эти данные защитить. После этого принимается чистой воды бизнес-решение, как дальше действовать, куда и как идти, на каких принципах взаимодействовать.
Немного проще, если речь идет о частном лице. Но все равно есть данные, которые вы не хотите потерять, значимые для вашей памяти. Их тоже нужно систематизировать, потому что не имеет смысла хранить все. Наверное, есть люди, которые не выбрасывают даже чек из магазина, но таких немного. Составьте для себя “программу”, как вы будете работать с данными. Семейные фотографии, документы на машину или паспорта – нужно понимать, как их хранить и кто к ним имеет доступ. Для цифровых копий документов в обязательном порядке используйте шифрование, защиту паролем, чтобы данные не ушли к злоумышленникам и их не использовали против вас и ваших близких. Сложно будет объяснить родственникам, друзьям или коллегам, что вы совершили ошибку, если из-за нее пострадают они. Поэтому повторюсь, что важные данные лучше резервировать.
Закрывать в сейфе то, что вам может срочно понадобиться, не слишком удобно с точки зрения оперативности. Поэтому важно правильно классифицировать данные, где возможно – использовать шифрование либо пароли. Настоятельно всем рекомендую применять многофакторную аутентификацию, когда помимо пароля на личный телефон приходит пароль с кодом. Это дополнительный периметр защиты. Важна и длина пароля. Я понимаю, что сложно, когда в нем много символов, разные регистры, знаки и спецсимволы. Но реальность такова, что короткие пароли очень быстро подбираются. Может быть, стоит составить для себя памятку или историю, чтобы легче запомнить длинную комбинацию.
В принципе стоит дисциплинированно относиться к тому, на какие сайты вы заходите, какую информацию передаете другим людям, в связи с чем и как ее у вас запрашивают. Нужно помнить, что наши специальные органы не звонят в мессенджерах. Если сомневаетесь, просто выдохните и возьмите паузу. Все злоумышленники стараются поставить человека в ситуацию цейтнота: если что-то прямо сейчас не сделать, будут проблемы. Такого не бывает в общем виде, если скорая помощь не нужна конкретно вам. Положите трубку, перезвоните родственнику сами и спросите, все ли в порядке. Наберите детям или внукам, которые больше в теме, чтобы они вам что-то посоветовали.
К сожалению, никто на сто процентов не застрахован от мошенничества. Поэтому желательно давать себе паузу, чтобы подумать, и только потом принимать решение, как действовать.
– Компания А1 предоставляет услуги облачных технологий для физических лиц?
– К сожалению, нет. Но такого рода предложения есть в планах.
Крайне важно сказать: мы как облачный провайдер не имеем доступа к данным наших клиентов. Мы не можем посмотреть, что вы положили на наши системы хранения. Это проверяется, мы каждый год проходим внешний аудит, чтобы наши клиенты были убеждены в том, что мы никоим образом не можем иметь доступ к их данным. Нам доступна только инфраструктура. Задача – обеспечить каналы связи, чтобы данные хранились, с нужной скоростью обрабатывались, резервное копирование проводилось вовремя. Чтобы данные наших клиентов были доступны только для них. У нас четкие политики и регламенты работы с данными, прописан и регламентирован даже физический доступ в дата-центр.
Юридические лица отвечают за свои данные и информационные системы перед регулятором, нашим законодательством. С частными лицами сейчас по-другому: они могут делать все что угодно. Мы оператор связи, у нас почти 5 млн абонентов – мы отвечаем перед ними, государством и экономикой за то, что происходит в нашей сети. Поэтому над вопросами частного доступа к каким-то услугам стоит побольше подумать.
– Как мы уже говорили, перед тем, как что-то сделать, #Подумайте5секунд. А1 как раз проводит такую кампанию.
| Подготовлено по видео БЕЛТА. Скриншоты видео.
Читайте также:
“Угроза приватности – сам человек!” Какие данные нельзя хранить в мессенджерах?
Что будет, если использовать ИИ постоянно? Эксперт рассказал о возможностях и рисках
Что делать, чтобы Wi-Fi работал хорошо? Устанавливаем роутер правильно
Источник: www.belta.by