Конфиденциальность в облаке: важная проблема для бизнеса

Применение облачных технологий несет определенные проблемы, и эта ситуация еще больше усложняется по мере того, как в облако неизбежно переносятся данные, подпадающие под требования о защите конфиденциальности, — речь идёт о персонально идентифицируемой информации (personally identifiable information, PII). В действительности, как предсказывает аналитическое агентство Gartner, к концу 2016 года более половины компаний из списка Global 1000 будут хранить конфиденциальные данные о покупателях в публичных облаках.

Уровень защищенности персонально идентифицируемой информации зависит от мер безопасности, предпринимаемых как покупателем, так и поставщиком облачных услуг, поэтому ответственность каждой стороны должна быть четко определена.

PII является предметом обязательств по соблюдению требований регулирующих органов, которые не применяются более ни к одному другому типу данных. Очевидные примеры включают имена и адреса, номера договоров социального страхования, медицинские записи, реквизиты банковских счетов, фотографии и видеозаписи и даже такую информацию, как персональные предпочтения, место работы и мнения человека по тому или иному вопросу, — короче говоря, любую информацию, позволяющую идентифицировать личность. Имейте в виду, что информация не обязательно должна включать имя, чтобы попадать в разряд PII. Например, в некоторых случаях для однозначной идентификации личности человека достаточно связать дату его рождения с почтовым индексом.

Организации должны понимать, относится ли информация о человеке, которую они хранят у себя, к разряду PII и соответственно — нуждается ли она в защите. Защита PII является обязанностью оператора данных, обычно это организация, купившая подписку на облачный сервис. Поскольку защита PII в облаке зависит от правильной комбинации мер безопасности, предпринимаемых как покупателем, так и поставщиком облачных услуг, ответственность каждой стороны должна быть четко определена.

Сегодня на рынке уже доступны многие типы облачных сервисов и опций, и каждая комбинация предполагает свой собственный набор рисков и преимуществ. Обязательства по обеспечению безопасности данных не меняются при переходе к работе с облачными сервисами; таким образом, выбор типа облака и облачного сервиса требует тщательного рассмотрения перед началом работы с PII.

Каждая облачная система представляет собой комбинацию индивидуальных сервисов, развернутых в облаках определенных типов. Существует три типа облачных сервисов: инфраструктура как сервис (infrastructure as a service — IaaS), платформа как сервис (platform as a service — PaaS) и программное обеспечение как сервис (software as a service — SaaS), и каждый несет присущие только ему риски, так же как и каждый тип облака (публичный, общественный или частный).

Факт покупки облачного сервиса определяет пределы, до которых облачный провайдер несет ответственность за управление инфраструктурой и, значит, до которых он может иметь доступ к информации вашей компании. Очевидно, что частное облако представляет собой наиболее безопасный вариант, однако затраты на его создание и обслуживание могут превысить бюджет или объем доступных ресурсов, и, таким образом, эта опция не всегда выступает как наиболее оптимальная с точки зрения бизнеса.

Публичный вариант облака, в котором за хранение данных отвечает третья сторона, подразумевает, что организация — владелец данных отдает на аутсорсинг управление своими данными и обеспечение их безопасности. В варианте общественного облака каждая организация, входящая в сообщество, использует общую инфраструктуру и оплачивает свою долю расходов.

Каждый тип облака и каждый вариант облачного сервиса предлагает различный уровень контроля для организации-заказчика. Таким образом, каждой из девяти категорий систем, основанных на облачных технологиях, соответствует своя собственная степень сопутствующих рисков.

Собственное облако: кто будет управлять рисками?

Приобретение облачных сервисов гораздо проще, нежели покупка традиционных ИТ-систем: подключить такой сервис в состоянии практически любой сотрудник, имеющий бюджет и полномочия на его использование. Поэтому можно говорить о дальнейшем расширении числа облачных сервисов, эксплуатируемых в масштабах организации. Простота приобретения повышает и вероятность того, что управлять облачными системами и использовать их будут люди, незнакомые с обязательствами по соблюдению требований регуляторов и не способные оценивать и контролировать соответствующие риски. В результате повышается общая уязвимость систем, использующих облачные сервисы.

Текущие меры безопасности: достаточны ли они?

Даже организации, хорошо осведомленные об угрозах, могут оказаться в ситуации неприемлемого риска, если у них не были обновлены основанные на облачных сервисах процессы закупки и политика информационной безопасности с учетом обеспечения конфиденциальности данных при работе с облаками. Ряд аспектов, присущих облачным системам, ведет к повышению угроз в адрес конфиденциальных данных.

Например, PII компании может быть смешана с данными других организаций и скопирована в общий архив. Это может затруднить провайдеру уничтожение данных клиента, когда окончится срок действия контракта с ним, или даже сделать это невозможным. Если в контракте подписки на облачные сервисы не присутствуют статьи, продолжающие действовать после прекращения контракта, то в таком случае у провайдера облачных услуг может не остаться каких-либо юридических обязательств по дальнейшему обеспечению безопасности информации.

Конфиденциальность данных и специфика облачных сервисов

Конфиденциальность данных часто рассматривается как тема для обсуждения специалистами по юриспруденции, включая юридические концепции и определения. Облачные системы, сервисы и типы отличаются значительной сложностью, и сочетание этих предметов порождает серьезную проблему для людей, которые просто ищут способ выполнить свою работу и достичь поставленных перед организацией целей.

Если юристы не понимают технических особенностей облачных вычислений, а инженеры — требований регуляторов, то к кому за советом должны обращаться представители бизнеса? Кто-то из них просто согласится принять риск и продолжит фокусироваться на своих основных обязанностях.

Возможность для сотрудничества

Перенос PII в облако также предоставляет департаменту информационной безопасности великолепную возможность организовать тесное взаимодействие с бизнес-подразделениями для достижения большей гибкости с соблюдением всех требований регуляторов. Облачные системы не так сложны, как думают многие, и понимание основ их функционирования поможет обеспечивать безопасность конфиденциальных данных. Внутреннее давление в пользу применения преимуществ облачных технологий должно уравновешиваться соответствующими усилиями по оценке и управлению возникающими рисками.

Некоммерческая организация Information Security Forum разработала модель безопасности, которая поможет компаниям защищать конфиденциальную информацию в облаке и предоставит им базовые сведения по формулированию ключевых аспектов стратегии информационной безопасности. Воспользовавшись стандартами и инструментами, которые предлагает Information Security Forum, компании и предприятия могут расширить пространство безопасной работы с данными.