WWW.DISSERS.RU

БЕСПЛАТНАЯ ЭЛЕКТРОННАЯ БИБЛИОТЕКА

   Добро пожаловать!

Pages:     || 2 |
Оригинал статьи опубликован в журнале «Защита информации. Инсайд» №2 2012.

Артюхин В. В. – к. э. н., доцент, ведущий научный сотрудник Центра анализа и управления рисками ФГБУ ВНИИ ГОЧС (ФЦ), член экспертного совета МОО «Информация для всех» Заоблачные риски «Каждый пункт данных, который Google собирает и связывает с Вами, увеличивает Вашу стоимость для рекламодателей».

– Из рекламы продуктов компании Microsoft.

Изображение под заголовком “Putting people first”. (1) (2) Введение В мире информационных технологий (ИТ) всегда интересное время, вне зависимости от того, какие цифры на календаре. ИТ одновременно развиваются и в научном, и в социальном, и в бизнес-аспектах, предлагая все новые возможности и все новые вызовы.

В результате у ученых, бизнесменов, разработчиков, политиков и просто заинтересованных людей (а таких – целый мир) всегда есть повод спорить, размышлять, разрабатывать что-то новое и договариваться между собой по вопросам, находящимся на стыке их интересов. О популярности той или иной темы на каждом отрезке времени (продолжительностью в неделю, месяц или год) можно с легкостью судить по заголовкам новостей в специализированных изданиях. В последние месяцы особенно популярны две темы: «антипиратское законодательство» и «облака» (в западной прессе также популярны «женщины в ИТ» и «нехватка специалистов», но это долгосрочные тренды).

Что касается «антипиратства» и многочисленных законопроектов из четырех букв (SOPA, PIPA, APTA и т. д.), то об этом пишется достаточно. Точнее, писать об этом и анализировать американские и европейские законопроекты можно до бесконечности, но по текущей ситуации, как мне кажется, продуктивнее последить некоторое время за развитием событий (готов сделать ставку на то, что в ближайшие 2–3 месяца в США будет благополучно и тихо, без массовых протестов принят какой-нибудь тематический законопроект, столь же технически безграмотный, как SOPA, и наполненный еще более зловещим содержанием).

С другой стороны, тема «облачных» вычислений и «облачной» безопасности как никогда актуальна. Накопилась некая критическая масса пользователей подобных сервисов, а также масса информации, аккумулированной ими, и это привело к тому, что компании, «двигающие облака», пошли в наступление (а масса все растет и растет день ото дня).

На вопрос о том, возможна ли в принципе безопасность в «облаке», можно начинать отвечать, только после того, как определено, что есть «облако», что есть «безопасность», и чья безопасность нас интересует. Но есть и другие интересные вопросы: «Является ли облачная технология опасной по определению» и «Перевешивает ли возможная выгода, которую можно получить благодаря облачным технологиям, риски, связанные и их использованием» Ответ на первый вопрос: «В определенной мере», на второй:

«Иногда»...

Определения Представление обывателя об облачных технологиях обычно сужено до Facebook, сервисов Google, В Контакте, Одноклассников, Steam1 и подобного. В действительности понятие значительно шире. «Облачные» вычисления (англ. cloud computing), в информатике – это модель (не технология) обеспечения повсеместного и удобного сетевого доступа по требованию к общему пулу конфигурируемых вычислительных ресурсов. Это парадигма распределения вычислительных ресурсов, хранилищ и программного обеспечения между пользовательским компьютером и сервером в Сети, подразумевающая, что практически все делается сервером. При этом в качестве услуги может предлагаться программное обеспечение (все примеры выше с точки зрения конечных пользователей относятся именно к этой категории), платформа (для разработки, тестирования, развертывания и поддержки веб-приложений пользователя) или инфраструктура (серверы, системы хранения данных, сетевое оборудование и т. д.).

(3) Кстати, пресловутые «ботнеты» – это тоже «облачные» платформы, распределенные сети «зомби-машин», ресурсами которых с весьма специфическими целями управляет некое лицо или группа лиц.

Вообще говоря, «облако» – это, скорее, бизнес-модель, позволяющая извлекать выгоду из имеющихся ресурсов посредством предоставления к ним доступа тем или иным способом, в тех или иных границах. Остальное, как говорится, – это дело техники или технологии. На базе подобной модели и различных технологий можно предоставлять услуги веб-хостинга, создавать социальные сети, делиться вычислительными мощностями, местом на дисках, каналами связи, сдавать в аренду целые центры обработки данных и так далее.

Платформа цифровой дистрибуции контента, управления правами, сервис многопользовательских игр и коммуникаций, запущенная компанией Valve Corporation в 2002 году (значительную популярность она стала приобретать с 2004).

Термины «облако», «облачные технологии», «облачные вычисления» произошли от соответствующего обозначения для Интернета на схемах. Сия метафора символизирует сокрытие технических деталей, и пытливый ум сразу может заподозрить неладное: вот наши 300 компьютеров, вот наши 80 роутеров, вот шлюз в Интернет, а дальше… дальше облако: размытое, плотное и непроглядное, то есть неизвестно сколько и чего, но много и, возможно, на весь мир.

«Облака» могут быть частными или публичными в зависимости от того, кто ими пользуется и на каких условиях. Пользователи – частные лица, хранящие документы в Google Docs или активно проводящие время в играх на Facebook, используют публичные «облака», а компании, организующие на базе таких технологий виртуальные сервера, арендующие систему управления обучением, базу данных или другое программное обеспечение для нужд бизнеса, – «облака» частные (они могут быть развернуты с помощью оборудования самой компании или с привлечением третьих лиц). Доступ к публичному «облаку» имеется через Интернет у всех, а к частному или общественному – только у избранных (например, у сотрудников компании).

Разбирательство с безопасностью в данном случае сильно затрудняется тем, что проблемы у компаний и частных лиц при использовании «облачных» технологий, по сути, одинаковы, но масштабы и последствия проблем могут быть различны, да и взаимодействие с поставщиками услуг происходит по-разному. И, конечно, поскольку применяемые технологии, как и назначение каждого конкретного «облака», могут быть разными, многие проблемы с информационной безопасностью характерны для одних конкретных случаев и нехарактерны для других (что плохо для игрового сервиса или центра обработки данных крупной компании, может быть незначимо для сервиса хранения и публикации фотографий и наоборот). Говоря проще, сегодня «облаками» называют столь многое, что говорить об «облачной безопасности», это все равно, что говорить о «безопасности в Интернете»: модно, слышится отовсюду, но без конкретики (безопасность кого или чего от кого или чего и в каких условиях) неконструктивно.

В части понятия информационной безопасности я предлагаю для простоты отталкиваться от определения, данного в ГОСТ Р ИСО/МЭК 17799–2005 «Информационная технология.

Практические правила управления информационной безопасностью» (и до и после его выхода то же определение с незначительными вариациями фигурирует во многих учебниках, книгах и статьях):

«Информационная безопасность – механизм защиты, обеспечивающий:

конфиденциальность: доступ к информации только авторизованных пользователей;

целостность: достоверность и полноту информации и методов ее обработки;

доступность: доступ к информации и связанным с ней активам авторизованных пользователей по мере необходимости». (4) Баланс интересов Если компании требуются значительные вычислительные мощности, значительные объемы памяти для хранения данных или некая специфическая информационная функциональность, у компании на сегодняшний день есть два выхода: развернуть требуемое своими силами2 или воспользоваться услугами третьих лиц, в частности, услугами на основе «облачных» технологий. Преимущество компаний перед обычными пользователями в случае обращения к третьим лицам в том, что перед погружением данных и процессов компании в «облако» ее руководство должно принять решение об этом: изучить договор, поставить подписи и печати, заплатить по счету. Иными словами, существует четко определенный момент принятия решения. Если деньги компании идут на оплату «облачных» услуг, руководство компании не может об этом не знать.

Конечно, необходимость принятия решения нисколько не гарантирует, что решение обязательно будет верным: далеко не все юристы разбираются в правовых аспектах разработки, реализации и использования программного и аппаратного обеспечения, не говоря уж о нюансах «облаков». С другой стороны, специалисты в области информационных технологий в этих правовых аспектах не понимают вообще ничего, да и в технической стороне вопроса со всеми нюансами могут быть недостаточно сведущи (у нас у всех своя специализация), особенно, если 10 лет до этого они занимались лишь прокладкой сетевых кабелей, переустановкой Windows и вытаскиванием скрепок из принтера. Специалисты по «облачным» вычислениям дороги, задачи, которые им нужно решать при организации или управлении «облаками» – сложны (балансировка нагрузки, программирование многопользовательских распределенных систем, администрирование), а вся суть использования компаниями чужих ресурсов в том, чтобы сэкономить на своих (в том числе человеческих). То есть имеет место некий парадокс.

«Мы не дозрели до «облаков» ни инфраструктурно, ни юридически. Сейчас невозможно даже представить себе ситуацию судебного разбирательства по теме аутсорсинга и «облаков», – генеральный директор OSSystems Алексей Анисимов. (5) Как следствие, в договоре или сопутствующих документах могут оказаться пункты (мелким шрифтом), освобождающие компанию – провайдера услуг от ответственности в К 2010 году практически все западные компании, имеющие собственный парк серверов, оптимизировали ИТ-инфраструктуру при помощи средств виртуализации, то есть сформировали свои частные «облака» В России эта технология продолжает набирать популярность по классическим правилам завоевания новых рынков: от компаний крупного бизнеса к средним и малым (5), хотя многие эксперты сходятся в том, что мощного тренда в направлении «облаков» в России по-прежнему нет.

случае утраты (кражи, несанкционированного уничтожения) данных клиента, или, наоборот, может не оказаться информации, касательно гарантий доступности, целостности и других параметров качества услуги.3 Также нужно отметить, что последствия нарушения информационной безопасности для компании могут быть куда серьезнее, чем для отдельного рядового пользователя: эти последствия могут отразиться не только на прибылях или самом существовании компании, не только на ее сотрудниках, но и на других компаниях, сотрудничающих с данной, на акционерах, клиентах, экономике целого государства или всего мира.

Принять решение об использовании или неиспользовании той или иной технологии – значит взять на себя определенные риски, которыми необходимо с должным тщанием управлять, а значит вопрос, по которому выносится решение, должен быть предварительно всесторонне изучен с привлечение грамотных в данной области специалистов, способных задать провайдеру правильные вопросы до подписания контракта. Специалисты самого провайдера могут умолчать о тех или иных характеристиках или параметрах услуги, если высокие значения этих параметров не являются конкурентным преимуществом их работодателя. Низкая осведомленность потенциальных клиентов и консерватизм ИТ-директоров компаний – это, вообще, значительные препятствия на пути развития отрасли «облачных вычислений», как в России, так и на Западе.

Общественная информационная собственность В конце января компания Google объявила, что с первого марта объединит политики конфиденциальности разных сервисов в один документ (на сегодняшний день у Google таких документов более 60). Он будет содержать пункт, позволяющий корпорации использовать данные, предоставленные пользователем одному сервису, в других своих продуктах (6):

«Мы объединяем все данные о пользователе (включая личные), полученные из всех наших служб, чтобы упростить обмен информацией между знакомыми». (7) Когда-то у Google был неофициальный девиз, который можно перевести так: «Не сотвори зла». Говорили, что это в первую очередь пощечина Microsoft, которую долгие годы кто только не называл «империей» этого самого «зла». Когда в 2006 году Google согласилась Такие параметры, как среднее время между отказами, среднее время восстановления после сбоя, скорости передачи и обработки различных данных часто фиксируются в документе под названием «Соглашение об уровне сервиса» (англ. Service-level agreement, SLA). Наличие такого документа в особенности важно, если определенные параметры услуги являются критичными для деятельности компании (а какие-то параметры критичны всегда).

ввести цензуру поиска для пользователей из Китая, и президент Google Эрик Шмидт сообщил:

«Мы все взвесили и выбрали меньшее из зол», на просторах Интернета появился саркастический комментарий, в котором предлагалось сменить девиз на «Сотвори меньше зла», и стало понятно, что времена меняются. (8) Интересно, что в этой истории именно Microsoft является наиболее заметным противником Google (не считая Европейского Союза4), Microsoft – это компания, чья собственная система идентификации для разных услуг Windows Live ID (позиционировавшаяся ранее, как единая система для веб-коммерции, и в разное время носящая разные названия: Microsoft Wallet, Microsoft Passport,.NET Passport, Microsoft Passport Network) так и не смогла покорить мир за 10 с лишним лет. Опять-таки не будем кривить душой: все поисковики хотят помнить то, что мы ищем, просто Google наиболее агрессивна, а Microsoft не зарабатывает на контекстной рекламе.

Мы все знакомы с достижениями Google, знаем, любим и используем сервисы производства этой компании. Разумеется, Google не считает, что делает что-то злое или неправильное. Наверняка в компании думают, что двигают в массы прогресс:

объединение несет персонализацию поиска, повышение релевантности контекстной рекламы и прочие блага. Может быть, так и нужно делать – нельзя приготовить омлет, не разбив яиц. Проблем тут две:

1. Разбиты будут не какие-то гипотетические яйца, а вполне конкретные, принадлежащие миллионам пользователей.

2. Объединение коснется не только новых данных, но и всех, которые уже успели накопиться в руках Google, и вот это решение мне кажется крайне сомнительным с позиции морали и допустимости (я не специалист в области законодательства, иначе оно бы показалось мне сомнительным и с точки зрения закона), поскольку данных этих много. Одно дело принимать решение, зная, чем оно грозит, другое дело – правила, меняющиеся по ходу переправы.

Pages:     || 2 |



© 2011 www.dissers.ru - «Бесплатная электронная библиотека»

Материалы этого сайта размещены для ознакомления, все права принадлежат их авторам.
Если Вы не согласны с тем, что Ваш материал размещён на этом сайте, пожалуйста, напишите нам, мы в течении 1-2 рабочих дней удалим его.