Чем больше данных, тем больше ресурсов нужно выделять на их защиту

По данным Market Data Forecast на 2024 год, мировой рынок больших данных оценивается в $199,6 млрд. С ростом объёма данных требуется всё больше инструментов для их хранения и обработки. Согласно отчёту Allied Market Research, рынок анализа больших данных к 2023 году оценивался в $0,3 трлн, а к 2032-му достигнет $1,1 трлн.

Соответственно, растёт и потребность в информационной безопасности. Чем больше данных, тем больше ресурсов нужно выделять на их защиту.

В 2023 году Национальная служба реагирования на компьютерные инциденты KZ-CERT зафиксировала двукратный рост числа инцидентов среди казахстанских компаний — 34,5 тысячи. В «Лаборатории Касперского» отмечают, что почти каждая третья казахстанская организация (31%) становилась жертвой кибератак.

Корреспондент центра деловой информации Kapital.kz обратилась к специалистам облачной платформы Yandex Cloud в Казахстане и независимому эксперту по информационной безопасности Евгению Питолину, чтобы узнать, как выстраивать защиту внутри компании и в облаке.

Как рост объёма данных влияет на требования к информационной безопасности

Рами Мулейс, руководитель команды Cloud Trust в Yandex Cloud, отмечает, что рост объёма данных связан с высокой скоростью цифровизации в Казахстане, особенно в сфере финтеха, государственных услуг и маркетплейсов. «Цифровизация в Казахстане идёт быстрее, чем в среднем по миру. Данных становится больше, их ценность тоже растёт. Это позволяет бизнесу собирать как можно больше информации о своих клиентах и повышать качество обслуживания. Но без должной защиты расширяются и возможности для злоумышленников», — обращает внимание эксперт.

Важно помнить не только про новые внедряемые системы, но и про старую инфраструктуру. «При массивном росте данных задействуется больше ПО для их обработки, поверх старых систем создаются новые. Обычно компании фокусируются на средствах безопасности для новой инфраструктуры и могут забывать про то, что нужно равномерно защищать весь контур», — напоминает независимый эксперт в области кибербезопасности Евгений Питолин.

Он подчёркивает, что средний размер ущерба от шифрования и блокировки данных достигает нескольких миллионов долларов. Сюда входят стоимость простоя и восстановления инфраструктуры, закупка нового оборудования, компенсации клиентам и другие расходы.

Как работает безопасность в облаке: кто за что отвечает

Рами Мулейс рассказывает, что Yandex Cloud работает с клиентами по принципу совместной ответственности, когда провайдер отвечает за свою часть, а клиент — за свою, и эти зоны ответственности чётко распределены.

Так, при облачной модели предоставления программного обеспечения SaaS (Software as a Service), по которой работает, например, сервис аналитики и визуализации данных Yandex DataLens, провайдер отвечает почти за все аспекты безопасности, а клиент определяет, кому давать доступ к системе. При модели IaaS (Infrastructure as a Service), по которой предоставляются вычислительные ресурсы, такие как виртуальные машины, облако отвечает за безопасность оборудования, сетей, сбор логов и доступность среды, а клиент — за безопасность внутри своей виртуальной среды.

И чем более управляемый сервис, так называемые managed-решения, тем шире зона ответственности провайдера. При этом вне зависимости от выбранной модели работы с облаком, команда Yandex Cloud предоставляет клиенту консультации и обучение, отмечает Василий Пургин, архитектор продуктов безопасности Yandex Cloud.

Компании также могут подобрать различные облачные сервисы и использовать их самостоятельно для защиты своих данных. Например, на платформе Yandex Cloud доступны решение для управления учётными данными Yandex Identity Access Management, системы криптографической защиты данных Yandex Key Management Service и Yandex Lockbox, сервис для сбора событий информационной безопасности Yandex Audit Trails и другие.

Рами Мулейс сообщает, что недавно платформа запустила сертификацию для IT-специалистов, которая подтверждает знания и навыки работы с сервисами Yandex Cloud. Также провайдер разработал Стандарт по защите облачной инфраструктуры, в котором собраны пошаговые инструкции и чек-листы по настройкам безопасности.

Безопасность облака и безопасность в облаке

Дмитрий Кудинов, руководитель направления Compliance в Yandex Cloud, напоминает, что важно различать эти понятия. Если за безопасность в облаке отвечают две стороны — клиент и провайдер, то безопасность облака — это зона ответственности самого провайдера. И оценить её можно по сертификатам, кейсам и даже цене.

«При выборе провайдера рекомендую проверить сертификаты, изучить клиентские кейсы и пообщаться с командой. Далее важно оценить, насколько широкий выбор услуг предоставляет платформа и какой заявляет SLA (service level agreement, соглашение об уровне услуг). И ещё один фактор — это цена. Не стоит экономить на безопасности: нужный уровень сервиса можно найти в ценовом сегменте не ниже среднего», — добавляет Евгений Питолин.

У надёжного облачного провайдера должны быть сертификаты соответствия локальным и международным стандартам. Базовые требования по информационной безопасности определены Международной организацией по стандартизации (ISO, International Organization for Standardization). Недавно Yandex Cloud в Казахстане успешно прошла аудит на соответствие стандарту ISO/IEC 27001.

Все сервисы, которые работают с данными платёжных карт, должны соблюдать стандарт их защиты PCI DSS, созданный международными платёжными системами Visa и MasterCard. Впоследствии к нему присоединились другие платёжные системы, например, китайская UnionPay и российская «Мир». Yandex Cloud в Казахстане соответствует требованиям PCI DSS последней версии 4.0.1.

«Стандарт PCI DSS содержит порядка 350 требований, и если хотя бы одно из них не выполняется, организация не получает сертификат соответствия. Так что не бывает компаний, которые соответствуют стандарту частично», — добавил Дмитрий Кудинов.

К локальным требованиям относятся Закон РК №94-V о защите персональных данных и постановление Правительства Республики Казахстан от 20 декабря 2016 года №832, которое ввело единые требования в области информационно-коммуникационных технологий и информационной безопасности.

Какие преимущества дают облака и кому они подойдут

По словам Рами Мулейса, облачные сервисы существенно ускоряют разработку, сокращая время вывода продукта на рынок — time-to-market. Однако выбор между облачной инфраструктурой и собственными мощностями зависит от особенностей бизнеса. Облако принесёт существенную экономию компаниям с сезонным спросом, так как можно быстро масштабировать ресурсы в пиковый спрос и отключать лишние серверы в периоды спада. При этом клиент платит только за используемые ресурсы.

Как отмечает Рами Мулейс, облако особенно нужно компаниям, которые регулярно обновляют свои сервисы. Это ретейл, банки и любые высоконагруженные системы массового обслуживания. «Одно дело — бизнес, которому нужно обновлять сайт раз в год, с этим можно справиться своими ресурсами. Другое — высоконагруженные приложения, которые могут обновляться каждый день. Для этого нужен иной уровень гибкости и масштабируемости», — комментирует эксперт.

Для крупных компаний хранение и обработка больших объёмов данных может обходиться бюджетнее в собственной инфраструктуре. Однако при этом не учитываются дополнительные расходы, в том числе на выстраивание процессов защиты данных и соответствие требованиям регуляторов. В этом пригодится помощь облачного провайдера. Для таких случаев может подойти гибридная инфраструктура, когда часть данных размещается в облаке, а часть — в собственном контуре.

«Облачные решения полезны бизнесу, которому важны быстрая аналитика и качественные, доступные ML-технологии. Кроме того, мы продумываем сценарии для промышленных компаний и государственных организаций», — подчёркивает Рами Мулейс.

По словам Василия Пургина, облачные провайдеры уже много лет помогают компаниям оптимизировать затраты на поддержку IT-инфраструктуры. «Но если раньше облака выбирали за скорость разработки, гибкость и масштабируемость инфраструктуры, то сейчас мы видим новый тренд: компании стремятся повысить безопасность своих систем за счёт облачных решений. Это происходит из-за повышения уровня зрелости бизнеса, а также из-за того, что во многих компаниях нет собственных специалистов по ИБ. При этом облачные провайдеры предоставляют не только инструменты безопасности и экспертизу, но также рекомендации по защите облачной инфраструктуры и обучающие материалы», — подчеркивает Василий Пургин.

Как проверить свою безопасность

Методы оценки защиты универсальны и для клиентов, и для провайдеров. Эффективный способ обнаружить уязвимости — провести пентест (penetration test, тестирование на проникновение), когда специально нанятая команда «атакует» компанию и пытается взломать системы. Обнаруженные уязвимости заносят в отчёт, который поможет заказчику оценить слабые места и исправить баги.

«Перед запуском платформы Yandex Cloud в Казахстане мы провели пентест. Для этого наняли команду TSARKA (Центр анализа и расследования кибератак), которую встречали на международных соревнованиях по пентестам. Это был большой проект, так как в Казахстане мы разворачивали более 30 сервисов — тестирование длилось около двух месяцев», — рассказывает Дмитрий Кудинов.

Евгений Питолин обращает внимание на то, что оценивать безопасность нужно регулярно. «Для этого подойдут программы баг-баунти, которые предлагают вознаграждение за обнаруженные уязвимости. В Казахстане существует национальная программа баг-баунти Tumar.One, в рамках которой «белые» хакеры из стран СНГ помогают находить уязвимости в инфраструктуре компаний. Так бизнес может оценить, что необходимо улучшить, чтобы успешно противостоять кибератакам», — резюмировал эксперт.

Рами Мулейс добавляет, что инциденты безопасности будут возникать всегда: в облаке, on-premise или гибридной инфраструктуре. «Важно вкладываться в снижение таких рисков и последствий», — считает он.

«Также один из важных способов проверить уровень защищённости — тест на качество программного кода. Сегодня IT-продукт может разработать любая компания, но далеко не все разбираются в нормах безопасной разработки. Помимо тестирования, стоит внедрять DevSecOps-процессы в каждый спринт. А также регулярно тестировать сотрудников на подверженность социальной инженерии и фишингу. Это позволит выявлять слабые звенья как со стороны технологий, так и стороны человеческого фактора», — добавляет Евгений Питолин.

Облачная инфраструктура и безопасность: выводы

- Облака помогают гибко масштабировать инфраструктуру при колебаниях спроса, а также ускорять разработку и time-to-market.

- Каждая компания определяет для себя оптимальную стратегию хранения данных — в облаке, в собственной инфраструктуре или гибридную. Это зависит от задач и особенностей бизнеса.

- При выборе облачного провайдера следует обращать внимание на наличие сертификатов, спектр услуг и ценовой диапазон.

- Дополнительно можно использовать облачные инструменты безопасности, которые провайдер предоставляет отдельно: для управления учётными данными, шифрования, сбора логов.

- Для проверки безопасности компаниям стоит регулярно проводить пентесты и участвовать в программах баг-баунти.

- Нужно не забывать про человеческий фактор: обучение сотрудников и повышение их осведомлённости о киберугрозах поможет предотвратить атаки методом социальной инженерии.