Алексей БЕЛОВ: «Об облаках, уязвимостях и вопросах культуры защиты данных»

Алексей БЕЛОВ: «Об облаках, уязвимостях и вопросах культуры защиты данных»

На вопросы обозревателя IT News Евгения Курышева отвечает Алексей Белов, генеральный директор компании ТАЛМЕР.

Расскажите, пожалуйста, как, на ваш взгляд, сегодня меняется рынок ИБ-решений для облаков – точки роста, динамика, заинтересованные стороны процесса?

Облака, как вы знаете, бывают разные. Так, частное облако, построенное, как правило, по принципу on premise, – это один подход к обеспечению безопасности, мало чем отличающийся от тех принципов,
что используются сейчас для защиты ИТ-инфраструктуры. Если говорить о публичном облаке, тогда перед нами встает вопрос: мы рассматриваем мероприятия по защите информации с точки зрения провайдера
услуг или конечного заказчика? С одной стороны, провайдер услуг должен обеспечить информационную безопасность собственной ИТ- и инженерной инфраструктуры, которая нужна для предоставления услуг. С
другой стороны, необходимо предоставить решения, обеспечивающие информационную безопасность конечного заказчика. Последний выступает здесь потребителем услуг, причем зачастую симплифицированным –
не представляющим, каким образом строится работа по обеспечению ИБ, покупающим услуги по защите через приложение на мобильном телефоне и настраивающим их путем нескольких нажатий на экране.
Реальность, конечно, лежит в другой плоскости.

В какой именно?

Несмотря на развитие облачной инфраструктуры и преимущества XaaS-схем, все равно останутся заказчики, строящие приватные облака. ИБ-службы таких компаний, в дополнение к уже имеющимся обязанностям
вроде борьбы с утечками конфиденциальной информации, вынуждены будут решать задачи по мониторингу и предотвращению противоправных действий, направленных на инфраструктуру, обеспечивающую работу
облака. Заказчики же, которые предпочтут перенести часть своей ИТ-инфраструктуры в публичное облако, вынуждены будут рассматривать стык с облаком как потенциально уязвимую область и предпринимать
меры по уменьшению объемов данных, мигрирующих из/в облако и увеличению дополнительного контроля. И провайдеры облачных услуг, как мне кажется, будут развивать только те услуги, которые
потенциальный заказчик действительно хочет увидеть в облаке. Среди них, например, защита от DDoS-атак – это решение логично и структурно соответствует концепции облачной услуги. Таким образом,
можно ожидать роста услуг по консалтингу, защите частных облаков и инженерной инфраструктуры, а также развития продуктов, предоставляющих некоторые услуги ИБ в облаке.

Как распределяется ответственность за обеспечение ИБ и защиту данных в облаках между сервис-провайдером и заказчиком?

Как я уже сказал, наиболее уязвимое место при прочих равных условиях – стык между инфраструктурой заказчика и облаком. Отвечают за этот стык конкретные специалисты как на стороне провайдера услуг,
так и на стороне самого заказчика. Передать только одной стороне ответственность за сохранность данных невозможно. Однако бóльшую ответственность за выбор решения несут специалисты заказчика – они
разрабатывают и согласовывают использование облачной архитектуры, принимают решение о переходе в облако, понимая сложность задач, которые придется решать. Таким образом, возвращаясь к первому
вопросу, ни о какой симплификации конечного заказчика речи не идет. Заказчик по-прежнему должен понимать, что конкретно защищает и зачем, какие методы и средства у него есть, и самостоятельно
выбрать, что и как использовать.

Современная геополитическая ситуация и изменения в области законодательства по защите персональных данных существенно влияют на рынок облачных технологий и услуг. Какие вызовы, проблемы вы отметили
бы в первую очередь?

Вопрос очень сложный и глобальный. Безусловно, импортозамещение на данный момент выходит на передний план. За облаком стоит разного рода инфраструктура как ИТ, так и обеспечивающая работу в части
энергетики, вентиляции, кондиционирования, пожаротушения. Если в инженерной инфраструктуре уже есть элементы, полностью созданные в РФ, например, системы пожаротушения, то в части ИТ-инфраструктуры
мы зависимы от иностранных производителей процессоров, памяти, коммутационных устройств. В части программных продуктов по ИБ в России есть примеры удачных решений, которые являются
конкурентоспособными по отношению к зарубежным аналогам, например, решения российского разработчика «Гарда Технологии». Вызов, стоящий перед отраслью, – максимальная независимость от иностранных
компонентов и возможность реализации проектов любой сложности с использованием разработок отечественных производителей «железа», инженерных компонентов и ПО.

Базируясь на собственном опыте работы с заказчиками, что вы можете сказать: готовы ли компании уходить в облако?

Приведу пример реализации проекта по обеспечению информационной безопасности облачной инфраструктуры. Один из наших заказчиков принял решение построить гибридное облако, когда уже построенное
приватное облако интегрируется с публичным. И мотивировал это несколькими аргументами: а) для хранения в публичном облаке некритических данных в случае недостаточности ресурсов в частном облаке и
б) как стратегический резерв на случай выхода из строя критичных элементов частного облака и переноса в публичное облако части бизнес-критичных приложений. Мы отвечали как за строительство
приватного облака, так и за реализацию гибрида. По сути, заказчики готовы уходить в облако, но пока только с «парашютом» в виде собственной ИТ-инфраструктуры.

Что вы вкладывает в термин «облачные вычисления»?

Здесь нам стоит немного отвлечься от задаваемых вами практических вопросов и немного углубиться в историю. На заре развития сети Интернет был модный тренд, связанный с распределением вычислений
каких-либо сложных научных задач среди пользователей глобальной сети.

Выглядела задумка очень изящно: людям от науки не хватает вычислительных мощностей, при этом в мире огромное количество персональных компьютеров, в большинстве своем тратящих вычислительные ресурсы
очень неэффективно. Статистика может различаться, но большой процент времени персональный компьютер не делает ничего, кроме поддержания работы операционной системы. По сути – греет воздух.

Идея заключалась в том, что большая и сложная вычислительная задача дробилась на маленькие порции и отдельные задания рассылались по компьютерам по всему миру, обрабатывались и результат сходился в
одной точке. Отличный пример из области распределенных вычислений.

Сейчас, конечно, термин «облачные вычисления» может трактоваться гораздо шире. Мы, как эксперты, постоянно имеющие дело с бизнес-требованиями, рассматриваем этот термин в следующем ключе. Любой
заказчик уже имеет, строит, либо модернизирует вычислительную инфраструктуру, которая в упрощенном понимании представляет собой серверы, системы хранения данных, коммутационное оборудование и
программное обеспечение для управления этой инфраструктурой.

Все заказчики используют вычислительную инфраструктуру в своих производственных процессах. Даже если заказчик не имеет сложных АСУТП, систем управления предприятием, все равно он как минимум ведет
учет в «1С», то есть использует вычислительную инфраструктуру как основное средство, добавляя его в себестоимость продукции. Таким образом мы приходим к понятию стоимости вычислительных ресурсов, и
к тому, что это не отвлеченное понятие, а четко рассчитываемая цифра, увеличивающая себестоимость продукции или услуг.

И что это дает на выходе?

Мы часто сталкиваемся с ситуациями, когда бюджет заказчика на ИТ никак не связан с понятием себестоимости, и, по нашему мнению, это показывает отсталость ИТ-службы, непонимание самой ее роли.

В своей работе мы настраиваем заказчика на то, что любой вычислительный ресурс – будь то IOPS, место на жестком диске, в системе хранения или передаваемый трафик – стоит денег. И что ИТ-стратегия
должна в первую очередь предусматривать подходы как в верной оценке стоимости этих ресурсов, так и минимизации их стоимости.

А теперь позвольте вернуться к вашему вопросу. Облачные вычисления, по нашему мнению, это некий пул вычислительных ресурсов, разнесенных географически, имеющих дифференциации в технологической
составляющей, но, несмотря на это, представленных как единая сущность, которая способна назначать отдельно выделенные ресурсы, исчисляемые в точных цифрах, например, в объеме памяти или количестве
ядер. И именно такой подход дает возможность заказчику четко понимать структуру себестоимости, пути по ее оптимизации, превращая стойки, серверы и другие компоненты в эффективный инструмент
производства.

Не так давно компании, предоставляющие облачные услуги, переживали, что финансовые организации не будут мигрировать в облака из-за опасений по направлению ИБ. Однако сегодня доля представителей
финансового сектора, пользующихся облаками, растет. Что вы думаете по этому поводу?

На самом деле процесс «клаудификации» идет полным ходом, и это означает только одно: облако из модного тренда превратилось в рабочий инструмент, заказчики перестали его бояться, а значит, научились
верно оценивать риски и готовить инфраструктуру к переходу в облако, ну или гибридное облако.

Многие компании не задумываются на тему защиты данных до первых серьезных проблем из-за взлома или утечки. Как, на ваш взгляд, нужно решать проблему отсутствия «культуры защиты данных»?

Вопрос про культуру очень хороший, и ответить на него всеобъемлюще в рамках одного интервью вряд ли возможно. У человечества не было опыта жизни в условиях глобальной cети, и оно было вынуждено
приспосабливаться на ходу. По сути, за последние 15–20 лет на наших глазах происходило очередное подтверждение теории Дарвина.

Человечество порождало разные культурные аспекты работы в сети – вспомните «олбанский», посмотрите, как обмениваются сообщениями современные подростки. Все то же самое касается не только общения,
но и защиты личных данных. О защите данных никто не задумывался в ходе развития сети Интернет. Сейчас человечество сталкивается с массой угроз, связанных с мошенничеством, терроризмом. Культуру
защиты данных люди нарабатывают прямо сейчас, и задача участников рынка, имеющих компетенцию, равно как и регуляторных органов, – создать инфраструктуру не только в части оборудования, но и
инфраструктуру в широком смысле – законодательную, исполнительную, образовательную, способствующую привитию культуры.

Источник: http://www.it-world.ru/it-news/thoughts/144765.html