Офис без границ и без защиты

Экономическое развитие СЗФО
Москва, 17.06.2013
«Эксперт Северо-Запад» №24 (621)
Современный ИТ-рынок толкает компании к тому, чтобы сделать рабочее место сотрудника мобильным, включить в рабочую сеть персональные устройства, использовать удаленный доступ, облачные системы хранения данных. Но оборотная сторона мобильности – прогрессирующий риск потери или похищения информации

Фото: архив «Эксперта С-З»

Растет количество устройств ввода информации, рабочая сеть уходит в Интернет –  и это новые угрозы. Теоретически безопасность данных компании должна становится головной болью не только ее ИТ-специалистов, но и провайдеров виртуальной инфраструктуры, и операторов связи. Как они решают этот вопрос, эксперты ИТ-рынка обсудили на круглом столе «Облачная безопасность: миф или реальность» журнала «Эксперт Северо-Запад».

Пора всем участникам рынка задуматься о безопасности рабочих сетей, использующих удаленное хранение данных, удаленный доступ к рабочему месту, признают эксперты. Использование удаленного доступа, а также облачных сервисов хранения информации становится все более массовым. «В последние полгода мы фиксируем заметный рост запросов от компаний среднего бизнеса – они хотят размещать в дата-центрах частные облачные решения», – рассказывает заместитель директора по развитию петербургского филиала компании «ВестКолл» Вероника Балашова. Как отмечает Вероника, на рынке произошло важное изменение в восприятии ИТ-специалистами компаний облачных сервисов. «Если раньше, год-два назад многие системные администраторы считали, что обращение к провайдерам облачных услуг делает их самих ненужными (задачи, которые они выполняют, оказываются отданы другим), сегодня сисадмины этого не боятся. Все больше людей видят в использовании облачных решений удобство и выгоду: компания освобождает себя от проблем и затрат, связанных с покупкой, ремонтом и заменой оборудования, ИТ-специалисты могут сосредоточиться на главном – работе программных решений», – рассказывает Балашова.

Безопасность корпоративных систем, использующих удаленное хранение данных и удаленный доступ к рабочему месту с персональных устройств, распадается на три в определенном смысле разных рынка, три уровня защиты: безопасность самих систем удаленного хранения, то есть облаков, безопасность персональных устройств ввода информации и безопасность корпоративных сетей связи, обеспечивающих доступ к рабочему месту.

Первый вопрос

Пространство систем хранения данных, на базе которого создаются виртуальные серверы и иные облачные сервисы, очевидно, максимально готово к воздействию извне. «Это первый вопрос клиента – как организована безопасность виртуальных серверов, как они защищены от несанкционированного использования, – рассказывает генеральный директор облачного провайдера «ИТ-ГРАД» Дмитрий Гачко. – Поэтому безопасность хранения данных и доступа к ним подразумевается по умолчанию, она определяет стоимость базовой услуги так же, как и стоимость оборудования, то есть физических серверов, где разворачиваются облака». Некоторые компании, замечает Гачко, требуют не просто гарантий, но таких решений, чтобы и мы, администраторы виртуальной инфраструктуры и виртуальных систем хранения данных, не имели доступа к информации в облаке компании – облачные провайдеры могут дать и такой уровень анонимности, хотя это сложно и как следствие дорого.

Виртуальные операторы, как показывает рынок, нуждаются не только в защите систем хранения данных, на базе которых создается облако, но и каналов, соединяющих его с всемирной сетью. Главная угроза в этой области – DDoS-атаки, когда злоумышленники создают вал обращений на некий адрес, что приводит к превышению допустимой нагрузки на сервер и, следовательно, отказу в обслуживании, канал связи виртуального ресурса с внешним таким образом блокируется. Еще относительно недавно, года два назад, проблема защиты от DDoS-атак решалась с большим трудом, но потребности «облачного» рынка привели к появлению специальных решений. Генеральный директор «Комфортел» Дмитрий Петров рассказывает, что в последние два года на рынке ИТ оформился класс продуктов, дающих защиту от главной угрозы сервисов, доступ к которым идет через Интернет – DDoS-атак. «Появились операторы, готовые выступать в роли подушки для сетей связи, они имеют программно-аппаратный комплекс огромной емкости, позволяющий в случае DDoS-атаки прокачать данные через систему фильтрации и вернуть оператору очищенными от „плохих“ запросов», – объясняет он.

Две тысячи вирусов в день

Персональные устройства – более проблемный уровень защиты корпоративных сетей, отчасти потому, что они сегодня в центре внимания злоумышленников (точнее, персональные данные, пароли, сохраняющиеся на мобильных устройствах).

«За 2010 год мы зафиксировали порядка пяти тысяч случаев использования вредоносного программного обеспечения (ПО) для мобильных платформ, сегодня мы фиксируем более 5 тыс. инцидентов в день», – рассказывает региональный представитель «Лаборатории Касперского» в СЗФО Ирина Белоцерковец. Дополнительные сложности рождает то, рынок мобильных устройств сегодня поделен между разными платформами, такими как Android, iOS, Windows и другими (в отличие от рынка персональных компьютеров, где господствует Windows), нет единого кросс-платформенного решения, которое компания могла бы приобрести и в принудительном порядке устанавливать на оборудование сотрудников.

Однако в плане защиты доступа к корпоративным сетям специальное программное решение легко может стать менее удобным, но более действенным алгоритмом подтверждения паролей. «Сегодня у всех банков уже есть интернет-банкинг, многие им пользуются. Соответственно, многим знаком самый проверенный вариант защиты доступа с абонентского устройства – двухфазная аутентификация. Абонент обращается – вводит свой пароль, чтобы подтвердить сделку, второй пароль получает SMS-сообщением на указанный номер. Возможно, вскоре, благодаря использованию технологии NFC, можно будет упростить ситуацию – абоненту надо будет указать личный пароль и приложить к своему мобильному устройству карту с NFC-чипом», – рассуждает начальник отдела по продуктам Северо-Западного региона компании «ВымпелКом» Алексей Огоньков.

Проверенный способ, но для индивидуальной настройки

То, что услуга доступа в Интернет с использованием удаленных систем хранения данных и удаленного доступа приобретает иную значимость, очевидно. Вчера широкополосный доступ давал лишь связь с внешним миром (передача файлов, мгновенные сообщения), сегодня через Интернет идут обращения к файлам компании, хранящимся в дата-центре или облаке, или вообще к рабочему месту сотрудника. Вместе с тем приходится констатировать, что этот уровень по-прежнему минимально защищен. Причина – легкомыслие и пассивность как абонентов, так и операторов.

Впрочем, решения по безопасности и резервированию от операторов, которые они сегодня предлагают своим клиентам – не готовый продукт, а сугубо индивидуальный, можно сказать, эксклюзивный. «Предоставление услуги начинается с требований конкретного заказчика к данной услуге, он сам или с помощью специалистов должен определить для себя главные риски, и в соответствии с ними мы организуем защиту», – рассказывает руководитель отдела развития OSS систем Северо-Западного филиала компании «МегаФон» Сергей Литовко.

Просто абоненты только-только начали понимать выгоду использования облачных сервисов, и пока не столкнулись с оборотной стороной тренда – возросшими рисками потери данных, объясняет ситуацию руководитель отдела обслуживания оператора «ОБИТ» Михаил Телегин. Нет потока обращений с просьбой обеспечить безопасность связи, у людей нет четкого понимания, что надо обязательно защищаться.

В сходном ключе – что услуги нет, поскольку нет явного спроса, рассуждает и Вероника Балашова: «Наш опыт свидетельствует, что вопрос контроля доступа к внутренним данным встает только у крупных компаний. Компании среднего и малого бизнеса относятся к этому проще. Когда они разрешают сотрудникам использовать личные мобильные устройства для доступа к рабочему месту, они не видят в этом угрозу для себя».

Нельзя не отметить, что рассуждения представителей операторов связи о том, что вопросы безопасности каналов и внутренних сетей мало интересуют бизнес, соседствуют с рассказами, что в последнее время требования клиентов к качеству доступа в Интернет заметно возросло. «Уровень компетенции наших клиентов быстро растет. Два года назад в договоре на оказание услуг оператор прописывал стандартную (небольшую) компенсацию за простои в работе канала. Сегодня клиенты требуют, чтобы были предусмотрены серьезные штрафные санкции, возмещения. Договоры изменились», – рассказывает технический директор петербургского филиала «ЭР-Телеком Холдинг» Андрей Зузенко. Это изменение фиксируют и другие операторы. «Мы видим более внимательное отношение клиента к услугам связи, и как следствие – ужесточение требований по отношению к нам. И если раньше вопрос о резервировании канала поднимался редко, сегодня многие интересуются, что будет, если канал вдруг перебьют строители, и задумываются о резервировании», – рассуждает Михаил Телегин.

Недоверие и безответственность

Получается, что общая заинтересованность в улучшении качества услуг операторов есть. А что она не трансформируется в вопрос об информационной безопасности – не «заслуга» ли самих операторов? Не так мало игроков, кто искренне считает, что их область – непосредственно передача данных, а не их защита. «Наша основная компетенция – организация транспорта, мы «возим вагоны». Что положите в эти «вагоны», все привезем, если хотите, чтобы канал был пошире – сделаем, резервный путь – дадим. Что касается принципиально новой услуги, безопасности как типового продукта – тут недолго выйти за рамки лицензий, имеющихся у операторов», – рассуждает Андрей Зузенко.

Чисто теоретически такой подход можно понять. Но возникает ощущение, что с подобной установкой операторы рискуют попасть в истории, аналогичные тем, что рассказал Дмитрий Петров. «Я уверен, что рынок облачных сервисов растет не столь высокими темпами, потому что сегодня у нас есть и недоверие, и безответственность.

Недоверие клиента к поставщикам услуг и безответственность поставщиков услуг по отношению друг к другу, выражаемое в том, что предприятие не может взять на себя всю полноту ответственности. Была компания, которая предоставляла в аренду виртуальные системы хранения данных, работала в низком ценовом сегменте и была честной в отношениях с клиентами – когда случались минимальные проблемы, простои, честно выплачивала возмещения.

Но в дата-центре, где она размещала свои серверы, случилась авария, проблемы с электричеством, в результате облачный сервис оказался на долгое время недоступен. Дата-центр не захотел возмещать убытки по договору и как-то идти навстречу. Все закончилось громкой ссорой, судом в «лучших» традициях непризнания фактов и, конечно, рассерженными абонентами, которым долгое время никто не возмещал убытки», – поведал Петров.

Надо понимать, что история безопасности облачных сервисов только начинается. Как рассказывает Ирина Белоцерковец, в 2012 году тема кибервойн стала одной из главных в публичных обсуждениях официальных представителей различных государств. Использование «кибероружия» увлекает все больше стран, а значит, все больше людей занимаются тем, что создают вирусы, задача которых – парализовать жизнь различных госучреждений, промышленных организаций и компаний.

Новости партнеров

«Эксперт Северо-Запад»
№24 (621) 17 июня 2013
Недвижимость
Содержание:
Реклама