Intelligent Enterprise: Что представляет собой «Облакотека»? Кто ее заказчики?
Максим Захаренко: Мы предлагаем облачные сервисы на основе технологий Microsoft по модели IaaS (инфраструктура как сервис). Наш бизнес ориентирован главным образом на профессиональных участников ИТ-рынка. Именно от них исходил запрос на адаптацию своих сервисов к таким актуальным тенденциям, как облака и широкое использование мобильных устройств. Это мелкие и средние интеграторы, часто региональные, у которых не хватает собственных ресурсов для построения полноценной облачной инфраструктуры. Довольно много среди наших заказчиков аутсорсинговых операторов. Есть и разработчики, которым нужна тестовая среда для отладки сервисов SaaS (ПО как услуга). В свою очередь, заказчиками наших заказчиков являются обычные предприятия, учреждения и организации, как правило, относящиеся к среднему и малому бизнесу — сегменту СМБ.
Как у вас возник интерес к теме защиты персональных данных?
Думаю, это было вполне логично. Мы создаем платформу для размещения ИТ-инфраструктуры. И там неизбежно будут храниться данные, подпадающие под закон 152-ФЗ «О персональных данных», который действует в полном объеме с 1 января 2011 года. Сюда относятся все данные, хранящиеся практически в любой учетной или CRM-системе. И, естественно, закон требует эту информацию защищать.
В основном наши заказчики представляют рынок СМБ. А ситуация в этом сегменте с поддержанием информационной безопасности не очень хорошая. В том числе с обеспечением мер, которые законодательство требует применять к защите персональных данных [ПдН].
Контролирующие органы не слишком активно следят за соблюдением требований законодательства по защите ПдН в сегменте малого бизнеса. Ну а то, что российский бизнес привык решать проблемы, что называется, по мере их поступления, также не ведет к активизации мероприятий по соблюдению требований 152-ФЗ. Надо сказать, что требования этого закона действительно несколько завышены. В результате очень многие компании сознательно идут на риск, так как штрафы и прочие санкции оказываются ниже, чем стоимость мероприятий, которые нужно проводить в рамках защиты ПдН. К тому же для реализации всех необходимых мер придется привлекать серьезную компанию — интегратора ИБ, а таковые очень неохотно берутся за небольшие проекты. Хотя принципиально невыполнимых требований как в самом законе 152-ФЗ, так и в руководящих документах регуляторов нет.
При этом есть сферы, где контроль со стороны регуляторов весьма плотный. Это, например, региональные компании, оказывающие услуги ЖКХ, муниципальные органы власти уровня города, района и ниже. Они обладают довольно скромной инфраструктурой, но мероприятия по защите ПдН проводить обязаны, и регуляторы следят за этим тщательно. А в скором времени вступает в силу закон 242-ФЗ, согласно которому персональные данные российских граждан должны храниться и обрабатываться только на территории нашей страны. И если Роскомнадзор или другие контролирующие органы пойдут проверять соответствие нормам этого закона, то им ничто не помешает проверить и то, как соблюдается законодательство по защите персональных данных в целом.
Если персональные данные переносятся в облако, вполне логично предоставить защиту таких данных в режиме основной услуги. Тем самым можно закрыть этот вопрос раз и навсегда за очень небольшие деньги, разрешив для себя регуляторные риски.
Не секрет, что среди проектов по защите ПдН значительную долю составляют «бумажные». Ваш тоже был таким или вы стремились достичь реальной защищенности?
Да, соблюдение требований по защите данных и реальная их защита — не всегда тождественные понятия. Требования могут не успевать за изменениями в реальном мире. При этом по каким-то направлениям они могут быть избыточными, а по каким-то явно недостаточными.
В ходе нашего проекта приоритетным было обеспечить соответствие требованиям законодательства. Но поскольку эти требования включают внедрение целого ряда технических и организационных мер защиты, то говорить о том, что проект был из разряда чисто «бумажных», нельзя.
После проведения мероприятий системы заказчика получают гораздо лучшую защиту, чем та, что обеспечивалась при выполнении лишь организационных требований.
Помимо этого мы стремились к тому, чтобы поддержание информационной безопасности сделать процессом. Все меры в этой области исходят из анализа существующих угроз. А анализ этот, в свою очередь, формируется исходя из опыта, накопленного специалистами по безопасности. Только после создания модели угроз строится система защиты. Но угрозы со временем тоже меняются, и системы приходится изменять или в лучшем случае перенастраивать. Все это вошло в некое противоречие с доминировавшими до недавнего времени представлениями наших регуляторов, согласно которым безопасность является состоянием. Такой подход часто приводит к довольно печальным последствиям, что показывают примеры недавних громких утечек, произошедших как раз потому, что к обеспечению сохранности данных подошли формально. Ситуацию зафиксировали в некой точке, но мир вокруг меняется, и если всё оставить как есть, то такая система может просто перестать работать, а значит, ее приходится менять. Но при этом система перестает быть безопасной, хотя формально все требования регуляторов и соблюдаются. Так что регуляторы тоже начали двигаться к тому, чтобы поддержание безопасности сделать процессом, как это принято во всем мире. Но темпы этого движения пока невысоки.
Как шли работы? Какие этапы были наиболее сложными?
Свою идею обеспечения «безопасности как услуги» я пытался донести до некоторых интеграторов, которые занимаются вопросами информационной безопасности. Потратил на это немало времени, но нигде, кроме «Андэка», понимания не встретил. Везде предлагали провести некий проект по защите работ, а о небольших ежемесячных платежах не хотели даже и разговаривать. Вот так мы с «Андэком» и нашли друг друга.
Самой сложной была начальная фаза проекта. В целом задача обеспечения безопасности данных является типовой, и специалисты «Андэка» решают ее постоянно. Процесс написания документации, внедрения систем защиты буквально поставлен на поток. Но вот реализация всего этого применительно к облачным сервисам оказалась не слишком простой задачей. Прежде всего вследствие того, что целевая аудитория представляет собой разные компании, решающие разные задачи с помощью разных инструментов. В таких условиях довольно трудно достичь соответствия требованиям регуляторов. Не так просто разрешалась и проблема перераспределения ответственности между «Андэком», «Облакотекой» и ее заказчиками. Мы все вместе очень много над этим думали. Но некое решение все же выкристаллизовалось со временем.
Пришлось ли приобретать дополнительное оборудование и ПО?
Да. Как я уже говорил, проект этот не был чисто «бумажным». Наряду с организационными мерами потребовалось внедрение различного рода технических средств, как программных, так и программно-аппаратных. Причем для разных уровней услуги мы используем различные средства. Иначе невозможно добиться того, что мы хотели.
При этом те сервисы, которые мы предоставляем, весьма прогнозируемы с точки зрения нагрузки на ИТ-инфраструктуру. С волнообразным ростом и снижением загрузки, как это бывает, например, у интернет-магазинов, мы не сталкивались. Хотя некоторый запас в расчете на дальнейшее развитие, естественно, закладывали. Показатели загрузки систем отслеживает система мониторинга.
Набор тех средств, которые мы используем, не является чем-то неизменным. Мы предусмотрели пороговые значения нагрузки на защитные системы, при достижении которых будет поставлен вопрос о замене их на более производительные или о расширении конфигурации, если есть резервы по масштабированию. С сервисами, которые работают в типичном для облачных архитектур режиме multytenancy, когда к одному ресурсу обращается множество пользователей, по-другому нельзя.
При выборе средств защиты мы ориентировались на системы по минимальной цене из числа тех, что позволяют достичь соответствия требованиям регуляторов. При этом мы воспользовались тем, что большинство устройств на рынке объединяют несколько функций, например, межсетевого экрана и средства предотвращения сетевых атак. И кроме того, из соображений стоимости не стали устанавливать средства защиты на уровне приложений, по крайней мере на нынешней стадии развития нашего бизнеса. Для платформы Hyper-V таким очень доступным комплексным инструментом является 5nine, который можно использовать для защиты систем начального уровня.
Данная система не есть что-то неизменное. Ее конфигурация будет постоянно меняться по мере развития ситуации с угрозами и потребностей наших заказчиков.
Многие говорят о том, что регуляторы довольно предвзято относятся к облачным инфраструктурам. Так ли это? Насколько это повлияло на результаты вашего проекта?
Могу сказать даже больше. Очень долгое время регуляторы мыслили категориями объектов информатизации, которые надо защищать. И эти самые объекты представляли собой исключительно физические системы. А тот же сервер может быть разделен на целый ряд, до нескольких десятков, виртуальных. Причем далеко не факт, что все эти виртуальные серверы будут принадлежать одному юридическому лицу, если физический сервер установлен у хостинг-провайдера. Это часто приводило ко всевозможным коллизиям.
Но время идет, и позиция регуляторов меняется. Это хорошо видно по документам ФСТЭК, где уже регламентируются вопросы защиты и разграничения доступа между виртуальными машинами и разными виртуальными сетями. Это уже большой прогресс для сервисов, которые предоставляем мы. Хотя многие моменты до сих пор все же не находят понимания. Особенно связанные с тем, что данные могут перемещаться из страны в страну.
Насколько повышается уровень безопасности и доступности сервисов для ваших клиентов при переходе в облако по сравнению с ситуацией, когда им пришлось бы строить свою ИТ-инфраструктуру?
Как я уже говорил, ситуация с обеспечением безопасности в СМБ-компаниях обстоит не слишком хорошо. Это показывают наши, да и не только наши, наблюдения. Обычно физическая безопасность в лучшем случае сводится к использованию усиленных дверей и решеток на окнах. Так что довольно остро стоит проблема краж, в том числе и оборудования, особенно в регионах. И к нам, и к другим провайдерам облачных услуг обращались компании после того, как их серверы банально украли.
Если же говорить о безопасности информационной, то хорошо ещё, если есть антивирусные средства, и очень хорошо, если они вовремя обновляются. С резервными копиями всё обстоит гораздо хуже. Здесь, как правило, ограничиваются резервным копированием информации из учетной системы. Что же касается копирования содержимого файловых серверов, то оно уже под большим вопросом. И даже если оно и производится, то далеко не факт, что резервируются все критически важные данные. А о том, чтобы организовать процесс, предотвращающий утечку критичной информации, не может быть даже и речи. Потеря или кража ноутбука, смартфона, планшета тоже не является чем-то из ряда вон выходящим. Во многих таких компаниях нет штатных ИТ-специалистов, всё ограничивается приходящими администраторами, которые к тому же часто меняются. Квалификация таких сотрудников, естественно, оставляет желать лучшего. Тонкая настройка того же межсетевого экрана, не говоря уже о средствах предотвращения атак, для них часто представляет невыполнимую задачу. Одним словом, никто никому ничего не гарантирует. Подтверждение тому — популярность вируса-шифровальщика-вымогателя, который является просто бичом незащищенных ноутбуков и папок «Мои документы».
Дело в том, что реальная безопасность — это не теория, рассуждающая, как можно было бы всё безопасно сделать on-premise, а практика, показывающая, как безопасно сделано в реальности. Небольшие компании используют оборудование, что называется, второй свежести, которое часто выходит из строя. Так что многие задумываются о переходе в облако после физической поломки сервера или ПК, где хранится критичная информация.
В облаке все надежнее и безопаснее. По крайней мере для заказчиков из сегмента СМБ. Переход в облако позволяет решить и другие востребованные задачи, например, консолидировать учетные системы, чтобы бизнес-пользователи из всех точек могли работать в единой среде. Популярны облака и у стартапов, которые ограничены в ресурсах и не могут позволить себе развертывание собственной ИТ-инфраструктуры.
Интервью с Максимом Захаренко провёл обозреватель Intelligent Enterprise Яков Шпунт