...

Безопасное использование облачных сервисов: советы и рекомендации

Безопасно ли хранить данные в облаке: мнение экспертов

Вместе с руководителем направления развития бизнеса защиты виртуальных и облачных сред «Лаборатории Касперского» Матвеем Войтовым и CEO облачной коммуникационной платформы Voximplant Алексеем Айларовым обсудили, как устроено хранение персональных данных в облаке и какие риски с ним связаны.

3733 просмотров

По оценкам исследователей IDG, на сегодня 77% компаний в мире используют облачные технологии. С увеличением популярности они становятся всё больше подвержены киберугрозам. По данным «Лаборатории Касперского», каждая десятая (11%) утечка данных из облака стала возможной из-за действий провайдера, в то время как треть всех киберинцидентов в облаке (31% в России и 33% в мире) произошла из-за доверчивости сотрудников компании, попавшихся на приёмы социальной инженерии.

Какие данные проходят через облачные платформы

Названные тенденции актуальны и для сферы коммуникаций: многие компании общаются с клиентами при помощи сторонних сервисов и платформ, среди которых наиболее популярны UCaaS-решения — Unified Communications as a Service. Алексей Айларов рассказывает, какие данные бизнес передаёт вендору.

Во-первых, это информация о проходящих через коммуникационную платформу звонках: факты вызова, соединения, ответа, продолжительность разговора. Если же сценарий, используемый клиентом, предполагает распознавание голоса — например, в случаях автоматизированного сбора отзывов потребителей — третьей стороне становится известно и содержание разговора.

Однако коммуникационная платформа этих данных не получает: функцию перевода голоса в текст осуществляют сервисы «Яндекса» и Google, платформа же только передаёт зашифрованные текстовые блоки клиенту.

Во-вторых, это персональные данные потребителей, которые необходимы для настройки голосового бота. Так, при автоматизированных обзвонах нужна пара «ФИО — контактный телефон», чтобы робот мог поприветствовать пользователя по имени при дозвоне. Все данные хранятся внутри инфраструктуры, и доступ к ней может получить узкий круг лиц. В основном это служба поддержки — в ситуациях, когда происходит разрешение какого-то спора.

Матвей Войтов уточняет: «Если внешний сервис является оператором персональных данных (зарегистрирован и находится в реестре Роскомнадзора), и хранение этих данных будет осуществляться в специализированном сегменте облака с сертифицированными средствами защиты (сертификация необходима для соответствия требованиям 152-ФЗ и подзаконным нормативным актам), в подобный сервис можно передавать любые виды персональных данных».

Риски утечки: операционный фактор

Логично предположить, что при переносе коммуникаций на облачную платформу риски утечки персональных данных повышаются, так как в процесс включается ещё как минимум два игрока — провайдер и дата-центр.

Однако это не совсем так. Матвей Войтов заверяет: «При грамотно построенных организационных и технических мерах, а также при наличии доверенного провайдера, предоставляющего защищенные сегменты облака и использующего специализированные средства облачной защиты, риски каких-либо утечек минимальны».

Кроме того, Войтов отмечает повышенную ответственность всех поставщиков облачных сервисов и платформ за целостность, защиту и доступ к этим данным. По его словам, для прохождения проверок Роскомнадзора требуется хранить персональных данные в сегментах, защищенных только сертифицированными средствами защиты. Сейчас это становится более простой процедурой: многие провайдеры облачной инфраструктуры уже предоставляют такие сегменты и сопутствующий консалтинг как услугу.

Что касается опасений, связанных с мультиарендным подходом, когда разные клиенты обслуживаются единым экземпляром приложения, эксперт не видит для них оснований: «Еще несколько лет назад даже у лидеров рынка происходили инциденты нарушения изоляции и доступа к чужим данным, что и породило настороженное отношение к мультитенантности, но сейчас такие случаи единичны».

Риски утечки: человеческий фактор

По словам Алексея Айларова, вмешательство человека возможно, однако строгость доступа к данным сводит такие случаи к минимуму. «Единственный, кто знает, какие данные хранятся на том или ином удаленном сервере — это их владелец. Для сотрудников дата-центров это просто «железка» с какой-то информацией. Более того, у них нет к этой информации никакого доступа, кроме физического – они могут лишь буквально ударить молотком. Пароль же сообщает только сам клиент, если требуется что-то починить или решить возникшую проблему».

Айларов объясняет, как это работает, на примере банковских процессов: есть ряд сотрудников с доступом к данным, расположенным на внутреннем сервере. В большинстве случаев они не обращаются к этой информации и используют ключи только по необходимости. В таких крайних ситуациях вся ответственность за возможную утечку данных будет лежать именно на этих служащих.

Риски утечки: недобросовестность подрядчиков

Машинное обучение распознаванию голоса, один из главных технологических трендов, строится на анализе миллионов голосовых записей-отрывков. С какими рисками это связано? Оба эксперта соглашаются, что в теории этот процесс задуман как безопасный для конечных пользователей. Алексей Айларов подчеркивает, что обучение робота должно происходить на обезличенных голосах, другое дело — насколько за этим следят. CEO Voximplant считает, что основная ответственность здесь лежит даже не на тех, кто слушает записи разговоров и готовит их для обработки машиной, а на тех, кто отправляет данные на анализ. Именно от последних зависит, как будут нарезаны записи и сможет ли человек, прослушав их, получить какую-то конфиденциальную информацию.

Матвей Войтов подтверждает: «Пока анализ производится полностью автоматически, без привлечения операторов (например, для тонкой настройки) интересы пользователей не нарушаются. Тем не менее, регулярно всплывают истории про то, что по тем или иным причинам сотрудники вмешиваются в работу машинного обучения и анализа. Так, недавно стало известно, что один производитель умных замков и видеокамер привлекал операторов для просмотра и анализа частного видеопотока для поиска и идентификации в нем инцидентов, хотя заявлялось, что видеоаналитика в этом сервисе была полностью автоматизирована».

Подводя итоги

Несмотря на кажущуюся незащищенность, облако является надежным способом хранения данных, и технологические компании постоянно совершенствуют разработки в сфере безопасности. В то же время, утечки все еще происходят, виной чему чаще всего становятся ошибки сотрудников. Для улучшения ситуации сегодня требуется доработка законодательства в вопросе персональных данных, а также развитие общего уровня культуры обращения потребителей с информацией о себе.

В заключение предлагаем список вопросов от Матвея Войтова, которые необходимо задать при заключении сделки с облачной платформой, чтобы точно знать судьбу передаваемых вендору данных:

  • У какого провайдера и в каком ЦОДе будут храниться данные;
  • Предоставляет ли данный провайдер защищённые по 152-ФЗ сегменты;
  • Какие средства защиты — как технические, так и организационные — используются провайдером.

10 рекомендаций по защите облачных данных для клиентов

27.02.2020, г. Москва — Когда дело доходит до вопросов конфиденциальности данных, большинство из нас не знает точно, как много организаций хранят наши данные — не говоря уже о том, каким образом они её собирают и для чего используют. К сожалению, ставки очень высоки, особенно когда соответствующие меры по защите персональных данных не применяются. Как следствие, у вас могут украсть вашу цифровую личность, деньги и многое другое.

Несмотря на то, что облако предоставляет широкие возможности для увеличения производительности, связи и удобства работы, оно также требует новых способов обеспечения безопасного использования. Существует много рекомендаций, ниже 10 лучших на наш взгляд.

  1. Не используйте один пароль для всего

Повторное использование пароля является распространенной проблемой, особенно в потребительских облачных сервисах. Если вы повторяете один пароль везде, потребуется взломать лишь один облачный сервис — и после того, как преступники украдут ваши учетные данные через один сервис, они потенциально получат доступ ко всем записям, имеющим те же учетные данные, включая банковские платформы, электронную почту и другие службы, где хранится конфиденциальная информация. При первом использовании облачного сервиса легко подумать, что если данные, которые вы вводите в этом конкретном сервисе, не являются конфиденциальными, то не имеет значения, используете ли вы свой любимый пароль. Но правильно думать так: много паролей, одно нарушение. Один пароль (потенциально) много нарушений. Если вы беспокоитесь о способности запомнить их, подумайте об установке менеджера паролей.

  1. Не делитесь папками, делитесь файлами

Многие облачные сервисы позволяют осуществлять совместную работу или обмен файлами. Если вы хотите поделиться только несколькими файлами, делитесь ими, а не полной папкой. Слишком легко открыть общий доступ, не осознавая, что еще находится в папке, или забыть, с кем вы этим делитесь (или что делились этим вообще!), а позже добавить личные файлы, которые никогда не предназначались для распространения.

  1. Будьте осторожны с автосинхронизацией (это может привести к появлению вредоносных программна вашем компьютере)

Если вы делитесь папкой с кем-то, многие облачные службы обеспечивают автоматическую синхронизацию, поэтому, когда другой пользователь добавляет новые файлы, они синхронизируются со всеми в общей папке. Опасность заключается в том, что, если тот, с кем вы делитесь, заражается вредоносной программой — эта вредоносная программа может быть загружена в облако и тогда автоматически попадет на ваши устройства.

  1. Будьте осторожны с сервисами, которые запрашивают ваши данные

При входе в новый сервис вас могут попросить указать некоторые личные данные, например, дату рождения. Почему они это спрашивают и что они будут делать с этой информацией? Они могут связать это с электронным адресом, другой сервис потребует ваш почтовый индекс, а третий запросит номер мобильного телефона. Вы можете сами увидеть, что этого достаточно, чтобы попытаться украсть вашу цифровую личность любому, кто сопоставит все данные. Если нет причин предоставлять сервису эти данные, используйте другой сервис (или введите неверную информацию).

  1. Ознакомьтесь с лицензионным соглашением и политикой конфиденциальности – кому принадлежат данные?

Знаем, что это звучит тяжело, но это важно. Облачный провайдер заявляет, что владеет данными, которые вы загружаете? Это может дать им право или, по крайней мере, достаточно прав, по их мнению, продавать ваши данные информационным брокерам. Это происходит чаще, чем вы думаете — никогда не используйте сервис, который утверждает, что владеет вашими данными.

  1. Подумайте дважды о мобильных приложениях и их сборе данных

Многие облачные сервисы имеют свое мобильное приложение. Перед использованием мобильного приложения посмотрите пример данных, которые оно собирает. Часто приложение собирает больше данных, чем в случае доступа к сервису через браузер.

IT-отделы некоторых организаций, перед разрешением использовать ту или иную облачную службу в рамках предприятия, самостоятельно её изучают. В их интересах обеспечить безопасность своих пользователей, тем более многие устройства теперь содержат как личные, так и рабочие данные. Спросите у них, проверяли ли они облачную службу, прежде чем позволять сотрудникам ей пользоваться.

  1. Не используйте общественные точки доступа Wi-Fi без приложения VPN для шифрования

Общественный Wi-Fi может быть местом перехвата данных. Всегда используйте VPN или другую технологию, чтобы обеспечить шифрование данных между вашим устройством и облачными службами, подключаясь к общественной Wi-Fi сети.

  1. Включите многофакторную аутентификацию

Хорошо спроектированные облачные сервисы будут предлагать дополнительные способы обеспечения безопасности, такие как многофакторная аутентификация. Используйте эти и любые другие способы, которые вы знаете.

  1. Не делите одну учетную запись с друзьями или семьей

Наша вторая природа — делиться с друзьями и семьей. Но заботятся ли они о безопасности так же, как и вы? Не делите один аккаунт, иначе, когда они лишатся защиты, ваши данные тоже могут быть скомпрометированы.

Данный материал является частной записью члена сообщества Club.CNews.
Редакция CNews не несет ответственности за его содержание.

“Облачные” технологии: риски, мифы и инструкции по безопасности

Многие компании все еще не вернулись в докарантинный офлайн-режим работы и оставили сотрудников на удаленке. Как обеспечить безопасный доступ к данным в домашней сети? Один из способов — облачные сервисы. Однако исследования показывают, что не все спешат хранить там бизнес-информацию.

1250 просмотров

Директор по информационной безопасности ИТ-холдинга ТalentТech Иван Дмитриев объяснил, как избежать рисков и безболезненно перейти на облачные сервисы.

Что останавливает компании от широкого использования облачных хранилищ

  • 61% — никто не застрахован от прекращения работы провайдера,
  • 49% — отсутствие вменяемой финансовой ответственности поставщика решения за ненадлежащую работу,
  • 60% — перспектива передачи ответственных приложений и данных внешним дата-центрам.

Последний пункт логичен, но безоснователен. Утечки происходят и во внутренних системах. Просто часто они не получают большой огласки.

Облачные провайдеры вкладывают больше ресурсов в информационную безопасность, чем их потенциальные заказчики, потому что это основа их бизнеса. На 1,5-2 тысячи сотрудников в компании-клиенте приходится один специалист по ИБ.

Что дает компании переход на облачные сервисы

  • Получаете доступ к данным с любого устройства. Достаточно всего лишь подключиться к сети.
  • Быстро организуете совместную работу. Например, сервис «Компас» помогает управлять работой команды, устанавливать цели для каждого в связке с глобальными целями компании и отслеживать результаты.
  • Платите только за то место в хранилище, которое используете. При этом не тратитесь на аренду серверов и неиспользуемые ресурсы.
  • Отпадает обслуживание собственной инфраструктуры.
  • Не отвечаете за резервирование и сохранение целостности данных. Это забота облачного провайдера

Правила работы с облачным провайдером

Цель облачных сервисов — упростить рабочие процессы компании. Например, сервис Potok за счет сбора всех данных в едином окне ускоряет процесс найма до 45%, как это было при работе с финансовым институтом ДОМ.РФ.

Дашборд ДОМ.рф Potok.io

  • Проверьте, инвестирует ли компания в облачные решения, как обеспечивает безопасность, работает ли в России, есть ли успешные клиентские кейсы и репутация бренда. Например, мы предоставляем изоляцию и криптографическое преобразование данных. Они помогают защитить информацию TalentTech и клиентов компании от несанкционированного доступа со стороны персонала. Проверить это можно только экспертно – за это отвечают специалисты по инфобезопасности и ИТ.
  • Оцените уровень сервиса (SLA): гарантированное время доступности, порядок резервного копирования, обязанность обеспечения доступности информации при форс-мажоре. Опять же, оценивать это должен эксперт по инфобезопасности. Обычно на стороне потребителя есть некий опросник и понимание уровня сервиса, который хочется получить, а также, насколько приобретаемое решение впишется в систему.
  • Проанализируйте риски конфиденциальности и доступности данных при переезде на облачный сервис, а также предложенные провайдером меры управления.
  • Проверьте, соответствуют ли правила провайдера вашим требованиям к ИБ. Поставщик должен обеспечить контроль рисков целостности, конфиденциальности и доступности принадлежащей вам информации. Например, в TalentTech для анализа защищенности используют Qualys, Nessus, App Screener, Supply chain security. Также мы выстраиваем процесс безопасной разработки и CI/CD-процессы.
  • Убедитесь, что ЦОД сервиса находится в России и соответствует уровню защищенности, указанном в ФЗ-152 и приказе ФСТЭК № 2. Для подтверждения у компании должен быть свой аттестат или заключение от лицензиата ФСТЭК.

Цифровые навыки сотрудников – залог успеха

При работе в офисе достаточно было настроить правила на уровне корпоративной сети. Теперь, когда все дома, нужно искать другие способы защитить данные, потому что информация хранится у сотрудников.

Пока еще нет универсальных советов или способов защитить устройства персонала от киберугроз. Но есть несколько правил, которые помогут снизить шансы отдать данные злоумышленникам.

Организуйте с сотрудниками встречу или напишите подробный мануал по основам информационной безопасности, где расскажете:

  • о возможных угрозах,
  • почему нельзя вводить рабочие данные на сторонних сайтах,
  • как выглядят фишинговые письма,
  • почему нельзя скачивать антивирус из первой ссылки поиска,
  • зачем нужен антивирус, сложные пароли и двухфакторная авторизация.

С помощью технологий адаптивного тестирования можно проверить уровень владения цифровыми навыками и основами кибербезопасности. Например, сеть “Магнит” во время карантина 2020 использовала решение TalentTech.Обучение для оценки знаний команды. Помимо основ кибербезопасности, оценивалось владение статистическим аппаратом, Excel и удаленной коммуникацией.

Инструкция для отделов информбезопасности

  • Пропишите порядок доступа к информации.
  • Используйте облачные сервисы в enterprise-версии. В ней гораздо больше механизмов ИБ.
  • Купите сертификат удостоверения подлинности соединения и установите доверенные сертификаты на все сервисы, которыми сотрудники пользуются удаленно. Объясните им, что если соединение предупредит о недостоверности, то его нужно немедленно разорвать.
  • Настройте контроли с максимальной прозрачностью. У вас должна быть возможность в любой момент узнать, кто и откуда подключился, с помощью чего и легитимно ли работает.
  • Организуйте дежурство специалистов по информационной безопасности и перераспределите зоны ответственности и мониторинга.
  • Требуйте, чтобы сотрудники регистрировались на корпоративных облачных ресурсах только с помощью рабочих имейлов. Исключите личные электронные адреса и телефоны. Иначе рискуете потерять доступ к собственной информации.
  • Следите за настроиками облачных сервисов. Доступ всегда должен быть только по белым спискам.
  • Разработайте минимально необходимый и достаточный чек-лист требований для используемых удаленно сервисов. Это позволит не потерять оперативность при внедрении и контролировать большинство рисков.

Невозможно быть уверенным на 100% в защищенности. Но даже эти небольшие правила помогут снизить риски утечки, кражи и потери данных.

При подготовке материала использовались источники:
https://vc.ru/services/73844-bezopasno-li-hranit-dannye-v-oblake-mnenie-ekspertov
https://club.cnews.ru/blogs/entry/10_rekomendatsij_po_zashchite_oblachnyh_dannyh_dlya_klientov
https://vc.ru/tech/145762-oblachnye-tehnologii-riski-mify-i-instrukcii-po-bezopasnosti

Сейчас смотрят:

  1. Из чего можно создавать анимационные персонажи и как использовать компьютер в анимации
  2. Какая служба используется для получения ip адреса по имени хоста компьютера или устройства
  3. Графика представляемая в памяти компьютера в виде совокупности точек называется
  4. Как открыть файл Vcf на компьютере чтобы показывал все контакты на русском
  5. Основы электронной коммерции: создание и управление интернет-магазином