Аналитики подсчитали, что российский рынок облачных услуг по итогам этого года вырастет на 27% до 93 млрд рублей. А к 2024 году, как ожидается, его объем достигнет 193 млрд рублей. Во время пандемии резко увеличился спрос на решения для дистанционной работы и бизнеса, в облачные сервисы пришли новые клиенты. При этом уровень проникновения таких технологий в нашей стране по сравнению с мировым остается достаточно низким. Компания SberCloud — один из крупнейших российских поставщиков облачных услуг. Директор центра киберзащиты SberCloud Алексей Голдбергс рассказал о том, насколько сегодня бизнес готов использовать облачные сервисы, чего он боится и что ему мешает.
Стоп-факторы
Количество организаций, использующих в своих бизнес-процессах те или иные облачные сервисы, сейчас сильно возросло, в том числе среди крупнейших корпораций и госкомпаний. Вопросы экономической выгоды уже возникают редко, чаще стоп-факторами служат регуляторные ограничения: законы, постановления правительства, требования регуляторов в сфере информационной безопасности и индустриальных стандартов.
Часть руководителей по-прежнему опасается размещать чувствительные данные и критические важные IT-системы в облаке. Эти опасения связаны в первую очередь с необходимостью передачи ответственности за реализацию части мер защиты инфраструктуры поставщику облачного сервиса.
Просветительская работа со стороны поставщиков облачных сервисов направлена в первую очередь на снятие этих стоп-факторов. Мы очень много внимания уделяем вопросам реализации требований безопасности к информационным системам и разъясняем заказчикам, как использовать наши продукты, соблюдая все требования.
За безопасность отвечают все
Базовый набор мер защиты у большинства заказчиков идентичен, потому что эти меры чаще всего берутся из методических документов регуляторов. А если у заказчика возникают какие-то специфические потребности, мы всегда готовы предложить целый ряд расширенных сервисов безопасности.
Распределение зон ответственности за безопасность при использовании облачных сервисов не такое, как в случае размещения информационной системы в собственном ЦОД компании. Оно зависит от того, что именно получает клиент как услугу: отдельную программу, элементы инфраструктуры или целую платформу. Чем выше уровень абстракции сервиса, тем больше ответственности ложится на плечи поставщика, поэтому заказчику стоит уделить особое внимание его выбору: необходимо удостовериться, что предложенные продукты соответствуют стандартам и требованиям регуляторов, а также проверить, подтверждается ли это аттестатами или сертификатами.
Зачастую заказчик этим ограничивается и забывает, что ряд мер защиты остается в его зоне ответственности. Как правило, инциденты вызваны уязвимостями или некорректными настройками его информационной системы. В результате она может стать источником распространения спама или участником распределенной атаки. В таких случаях мы взаимодействуем с заказчиком и помогаем ему с локализацией и устранением проблемы. Если же говорить конкретно про DDoS-атаки, то для всех наших продуктов базовая защита от таких атак реализована уже, что называется, «из коробки». Для заказчиков с повышенными требованиями к защите своих систем мы предлагаем расширенную защиту от DDoS.
Мне запомнился случай, когда в ходе очередного сканирования публичных информационных ресурсов на наличие упоминаний мы обнаружили учетную запись одного из наших заказчиков. Это была учетная запись для доступа к информационным системам, размещенным в одном из наших виртуальных ЦОД. Оказалось, что заказчик использовал сторонний ресурс, чтобы развернуть свое приложение, а в его конфигурационном файле были учетные данные. Тогда мы действовали проактивно: через департамент заботы о клиентах связались с заказчиком, передали ему информацию и проконсультировали по действиям, необходимым для смены скомпрометированных учетных данных. Клиент был нам крайне благодарен.
«Ешь то, что ты готовишь»
С началом пандемии мы не ощутили каких-либо сложностей и падения производительности, потому что придерживаемся принципа eat your own cooking («ешь то, что ты готовишь»). Мы размещаем свои бизнес-системы в инфраструктуре нашей же облачной платформы и пользуемся своими продуктами, которые всегда доступны из облака. Помимо этого, мы используем некоторые облачные сервисы сторонних поставщиков. Так было с первых дней существования компании. Из-за пандемии где-то мы нарастили вычислительные мощности, где-то докупили подписки на сторонние сервисы, но в целом процесс перехода на удаленный режим был максимально безболезненным.
Хотя сложности, конечно, тоже были. Например, ряд процессов был привязан к бумажному документообороту — либо из-за требований законодательства, либо из-за неготовности заказчиков и партнеров. Часть документов оставалась на бумажных носителях со всей сопутствующей логистикой.
Вторая сложность заключалась в том, что мы во время самоизоляции не переставали принимать на работу новых сотрудников. Нужно было перестроить процессы подписания документов, выдачи требуемого для работы оборудования с необходимыми средствами защиты.
Кстати, сильно помогло то, что еще до официального введения карантина мы проводили своеобразные учения. В определенный день все сотрудники должны были остаться дома и работать удаленно. И эти учения подтвердили нашу готовность к такому развитию событий.