Недавний инцидент с поисковиком "Яндекс", когда пользователи смогли в открытом доступе просматривать тысячи корпоративных данных, хранящихся на сервисе Google Docs, поставил под вопрос безопасность такого хранения. Многие документы содержали массу конфиденциальной или секретной информации компаний, а подробности утечки многие обсуждают до сих пор. Тем временем бизнес задается вопросом: где хранить данные, чтобы не вышло как с "Яндексом"? "ДП" попытался ответить на этот вопрос.
Поисковик выдавал документы, к которым был открыт совместный доступ по ссылке, закрытые документы в раздачу не попали. Эксперты из "Лаборатории Касперского" отметили, что такие утечки происходят регулярно и поисковые системы в разное время уже индексировали документы и приватные данные через настройки расширенного поиска.
Дырявый сервис
По данным аналитической компании Infowatch в 2016 году, самые крупные утечки закрытых данных в России пришлись на госорганы и IT-компании, а каждая десятая утечка была связана с малым бизнесом. Причина — недостаток финансирования и невнимательное отношение сотрудников компаний к конфиденциальной информации.
Громкие случаи слива данных связаны с облачными хранилищами. Например, в 2014 году пользователь хакерского сайта Pastebin выложил несколько сотен паролей к облачному сервису Dropbox. Он утверждал, что имеет еще несколько миллионов таких данных, и обещал их продать за биткоины. Пользователи популярного сайта Reddit утверждали, что некоторые из паролей действительно подошли.
В том же 2014 году были взломаны несколько десятков аккаунтов знаменитостей в облачном хранилище ICloud, в результате чего пользователи получили доступ к их личным фото и переписке.
По мнению основателя и технического директора компании DeviceLock DLP Ашота Оганесяна, проблема лежит не столько в самих облачных сервисах, сколько в отсутствии нормальной безопасности внутри самих корпоративных систем.
"На просторах Интернета, кроме дырявых облаков, существуют тысячи и тысячи неправильно настроенных корпоративных серверов, также предоставляющих доступ к миллионам внутренних файлов, и их также можно найти, пользуясь обычным поисковиком. Безопасность систем хранения данных в наибольшей степени зависит от двух факторов: использования программного обеспечения, в котором установлены все возможные обновления безопасности, и его правильной настройки. Оба эти фактора сводятся к наличию квалифицированного и дорогостоящего персонала в собственной IT-службе. Поэтому для мелких компаний, где такого персонала нет, а эффект от утечки данных невелик, коммерческие облака будут лучшим выбором, а для крупных компаний, наоборот, худшим", — считает он.
Оганесян подчеркивает, что если есть данные или файлы, которые ни в коем случае не должны оказаться в третьих руках, то хранить их лучше на собственных серверах под контролем собственной службы информационной безопасности. В случае утечки таких данных можно будет найти виноватых и их наказать. Если же компании это не по карману, то ей никуда не деться от бесплатных облаков и стоит использовать хотя бы более строгие политики безопасности, открывая доступ, например, с определенных аккаунтов Google или "Яндекс" и отключая доступ по ссылке, когда он не нужен.
Что нужно знать, чтобы выбрать свое облако
Михаил Беляев, руководитель петербургского представительства IT-компании "1С-Битрикс", считает, что во многом безопасность хранения данных в облаке зависит от самого пользователя.
"Это история с правами, если посмотреть на соглашения, которые каждый пользователь, не читая, подписывает [при регистрации в облачном сервисе] и ставит галочки, то они разрешают доступ к данным и открывают ссылки. Естественно, когда мы говорим об облачных хранилищах общих, Mail, "Яндекс", "Google", это данные, которые мы выкладываем в облако и сами настраиваем права доступа к ним", — рассказал он.
Беляев подчеркнул, что другую зону ответственности несут корпоративные облачные сервисы, которые обладают иной архитектурой. Есть технологии, которые используют двухфакторную авторизацию. Пользователь получает доступ к облачному хранилищу, не только вводя логин или пароль, но и используя еще какую-нибудь ступень, например sms-пароль.
"Google Docs или другое совместное онлайн-редактирование — функция прекрасная, но мы понимаем, что произошедший инцидент показывает, что это не очень хороший способ взаимодействовать", — считает эксперт.
Облачные хранилища различаются стоимостью и предоставляемым объемом. Среди них выделяют бесплатные, смешанные и платные сервисы. Как правило, полностью бесплатные имеют ограниченное место для хранения, увеличить которое не представляется возможным. Смешанные же предлагают докупить место в зависимости от потребностей конкретного пользователя, а платные открывают доступ только после внесения оплаты.
Некоторые компании выделяют особые тарифы для своих клиентов: например, выделение большого количества места при подключении до пяти сотрудников или подключение видеочата для удобной коммуникации. Многие сервисы имеют уникальные преимущества: наличие бэкапов, функции скриншотов, определенную длительность хранения файлов и т. д.
Генеральный директор группы "Миран" Игорь Ситников также считает, что доверять бесплатным сервисам хранение данных все же не стоит.
"Нужно отдавать себе отчет, что если люди выкладывают секретные данные на бесплатных ресурсах, то это говорит хотя бы о неграмотности. Здесь, на мой взгляд, есть смысл пропагандировать некоторую грамотность: если ты выкладываешь что-то на бесплатный ресурс, тогда это не совсем безопасно. Если это платные сервисы, там, конечно, такое дело недопустимо. Я не вижу особой разницы в том, как хранить данные — у себя или в облаке купленном, арендованном, потому что в принципе есть, мне кажется, квалификация людей, которые профессионально занимаются арендой, все-таки она несколько лучше, чем у обычных людей. Если мы не берем, конечно, какие-то гигантские компании типа "Газпрома", которые имеют возможность сами скидывать. Невозможно на этот вопрос в общем виде ответить, всегда есть огромное количество нюансов и зависимых величин", — добавил он.