Хранение и обработка внутренних данных компании в стороннем дата-центре для большинства представителей бизнеса в России все еще является риском. Несмотря на то, что большинство крупных дата-центров в нашей стране отвечают международным стандартам, многие компании, которые уже имеют опыт аренды серверов, все еще опасаются передавать важную конфиденциальную информацию за пределы организации.
Недоверие связано с несколькими факторами.
Отсутствие законодательной базы и формализации IT-процессов
В российском законодательстве есть акты, которые предусматривают и описывают меры, необходимые для защиты информации. При этом нет документов, которые бы поясняли, насколько эти меры применимы для облачных сервисов. Таким образом, в существующем законодательстве отсутствует описание того, как необходимо защищать информацию на сторонних серверах, которые компания взяла в аренду, кто это должен делать, на кого ляжет ответственность в случае утечки данных.
Кроме того, нет и документов, которые регулировали бы отношения компании и дата-центра в том случае, если сделка заключается в онлайне без физической встречи двух сторон.
Слабые места в законодательной базе может компенсировать договор сторон, в котором будет четко прописано, кто несет ответственность за сохранность информации, а также установлены штрафные санкции и материальная ответственность за потерю или утечку данных.
Отсутствие единых российских стандартов защиты информации в облаке в свою очередь компенсируется использованием международных стандартов и проведением аудитов дата-центра. Аудит позволит удостовериться, что системы защиты информации могут гарантировать клиентам полную сохранность их данных.
Техническая защита информации
Большинство современных крупных дата-центров используют для защиты данных своих клиентов основные меры: антивирусы, отслеживание действий пользователей, шифрование разделов, в которых хранится информация, и каналов от заказчика к провайдеру. Для повышения безопасности данных, которые компания передает в облако, можно дополнительно защитить их, зашифровав собственным ключом при передаче в дата-центр. Это позволит сохранить информацию, если, например, доступ к серверу получат посторонние.
При этом не стоит забывать, что несанкционированный доступ к информации в облаке может произойти не только на стороне дата-центра, но и в самой компании. Например, сотрудник, имеющий доступ к конфиденциальной информации через интернет, использует слишком легкий пароль для входа в систему, который злоумышленник легко может подобрать. При этом сервер не будет рассматривать действие постороннего как взлом, облако посчитает, что это обычный вход пользователя в систему. Поэтому перед передачей в облако важных данных необходимо выявить слабые места внутри компании, разработать и внедрить правила доступа к критически важной информации.
Будущее защиты данных в облаке
Хранение в облаке конфиденциальной информации повышает интерес хакеров к дата-центрам. Поэтому в ближайшие годы для защиты данных будут совершенствоваться антивирусные системы, повысится контроль над действиями пользователей, чтобы защитить информацию от несанкционированного доступа.
Также рынок облачных услуг нуждается в доработке законодательства, которое позволит сертифицировать дата-центры и подтверждать надежность систем защиты данных, которые в них используются.
