On-prem vs on-cloud: что надежнее?
Многие разработчики облачных сервисов говорят о том, что их технологии надежнее. Компании, предлагающие решения on-prem, используют контраргумент: облака взламывают. На самом деле это не вполне корректная постановка вопроса. Облако не витает в воздухе, оно расположено в ЦОД. Вопрос состоит в том, чтобы:
- Выбрать опцию, наиболее подходящую для вашего бизнеса.
- Сделать взлом нецелесообразным для злоумышленников: слишком долгим или дорогим.
Для компаний, работающих с большими объемами данных, что выливается в экстремально высокую стоимость облачных ресурсов (около 10 000 $ в месяц), выгоднее построить систему защиты информации on-prem. А для компаний, не обремененных такими большими платежами, больше подходит размещение в защищенном облаке, где специалисты провайдера возьмут БД (безопасность данных) на себя.
Риски БД в облачных системах
Факторы риска можно разделить на три группы:
- Компетентность людей, отвечающих за ИБ.
- Уязвимость используемого ПО.
- Риски, связанные с инфраструктурой, в которой работает облако.
Именно поэтому важно:
- выбрать провайдера, который соблюдает SLA и больше конкурирует за заказчика, демонстрируя клиентоориентированность;
- соблюдать лучшие практики в области ИБ, управлять уязвимостями программного обеспечения;
- обеспечить отказоустойчивость, иметь резервные источники.
Эксплуатация будет проста, если всё изначально грамотно спроектировано.
Человеческий фактор: кофе, стикеры и другие неочевидные риски
Опасность кроется в халатности, невнимательности и некомпетентности.
Представьте: сотрудник техподдержки часто отлучается проветриться. Во время DDoS-атаки он спокойно болтает с коллегой, попивая раф на кокосовом, и не успевает предпринять необходимые меры своевременно.
Поставщику нельзя экономить на сервисе. Если специалисты перегружены, повышается риск ошибок по невнимательности или усталости — нужно открывать новые вакансии. Если работодатель нанимает низкоквалифицированный персонал, чтобы сократить расходы на зарплату, он рискует качеством обслуживания. Стандартная ситуация: в инфраструктуре появляется ошибка, связанная с недостаточным количеством ресурсов. Надо добавить ресурсы заказчику — написать определенную строку в конфигурационном файле, увеличив объем памяти. Неопытный специалист этого не делает, и происходит сбой в работе. Чтобы этого избежать, необходимо следить за уровнем компетенций персонала.
Несколько лет назад меня пригласили в редакцию одной газеты провести тренинг по ИБ. Увидев стикеры с паролями на компьютерах, я подумал, что это розыгрыш. Однако журналисты объяснили, что любили меняться рабочими местами в open space и не хотели запоминать пароли, поэтому им было удобнее иметь доступы под рукой. Офис при этом не имел серьезной охраны, и зайти в него мог кто угодно.
Это отличная иллюстрация того, зачем повышать пользовательскую культуру: в 85% случаев юзеры сами упускают свои данные. Самый распространенный метод сбора данных и взлома — это фишинговые атаки, когда на почту или в мессенджер сотруднику приходит сообщение со зловредным ПО.
Каждому пользователю важно:
- придумывать сложные пароли и периодически их менять;
- настороженно относиться к письмам от незнакомых источников.
Корпоративная безопасность
Первое, что нужно сделать руководству компании, — это обеспечить безопасность устройств, с которых сотрудники подключаются к корпоративной инфраструктуре. Шифрованный канал передачи данных, проверка ПО на наличие уязвимости — это простые меры, которые нетрудно реализовать.
В организации должен быть закреплен список запрещенных ресурсов: бесплатные видеохостинги, которые на самом деле зарабатывают на сотрудничестве со злоумышленниками; ресурсы, связанные с гемблингом; сомнительные игровые сайты. Посещая их, пользователи сами «отдают» доступы злоумышленникам. Хакеры не взламывают облако, а получают легитимный доступ, используя логин и пароль, поэтому средства защиты облака не блокируют их. Вина в таких случаях лежит не на провайдере, а на пользователе.
Можно провести внутреннее исследование: разослать «безопасные» фишинговые письма сотрудникам, чтобы оценить их реакцию. Далее нужно проконсультироваться со специалистом по ИБ и организовать обучение с учетом особенностей аудитории. Например, программы для HR-специалистов и системных администраторов будут отличаться. Выбор средств защиты — последний пункт этой цепочки. Без повышения культуры пользования они не сработают, поэтому важно заложить надежный фундамент. Секрет успеха — в регулярных «тренировках».
Есть и положительный пример из практики: бухгалтер получил электронное письмо от директора с поручением срочно перевести деньги на счет другой компании, чтобы быстро закрыть сделку. Хотя письмо было отправлено с официальной почты начальника, бухгалтер решил всё уточнить и позвонил директору лично. Оказалось, что это были мошенники, взломавшие почту.
Вместо заключения
Если в организации давно не уделяли внимание ИБ, то, скорее всего, нужно и совершенствовать инфраструктуру, и повышать уровень компетенций персонала. Рекомендуется регулярно проводить анализ знаний работников и состояния технологий, чтобы получить полное представление о текущей ситуации. Часто во время аудитов мы обнаруживаем, что в инфраструктуре уже не первый год есть серьезные проблемы, такие как скрытая работа майнеров. Регулярные проверки помогут выявить подобные проблемы и сохранить ресурсы компании.
