Жизнь под дамокловым мечом

Традиционные угрозы ИТ- безопасности — ничто по сравнению с произволом поставщиков облачных и других услуг.

Политические события как катализатор возникновения уязвимости

Законодательная инициатива Государственной Думы и силовых структур, направленных на борьбу со свободой в Интернет и других системах связи, а также скандалы с «отключениями», последний, самый крупный из которых, разгорелся вокруг телеканала «Дождь» [1], заставили по-новому посмотреть на сам факт использования облачных технологий. Обсуждение самих событий выходит за рамки данной статьи, и поэтому говорить о них мы сейчас не будем, а вот ситуацию с угрозой безопасности бизнеса для облачных клиентов обсудить крайне важно.

Удар из «облака»

Мы все зависимы друг от друга. И, конечно, не всегда нам нравится то, что делают другие, особенно если это наши клиенты. Одно дело, когда это остается на уровне личных обид и недоразумений. Другое дело, когда эскалация конфликта выходит на следующий уровень.

Представим себе ситуацию, когда «облачный» провайдер по каким-то своим моральным принципам решил повлиять на деятельность компании клиента. Например, урезонить некую фирму, торгующую импортными продуктами, которая, по мнению руководства вашего поставщика облачных услуг, разрушает местное сельское хозяйство. Или его клиент занимается поставкой алкогольной продукции, что, по мнению определенной части граждан, является преступлением против своего народа.

К сожалению, события с телеканалом «Дождь» показали, что достаточно кому-то из высокопоставленных чиновников выступить с критикой в адрес того или иного предприятия, как топ-менеджеры ИТ-компаний (особенно те, кто пришли в этот бизнес с чиновничьих должностей) в порыве административного восторга отдадут распоряжение: «Отключить! Отрезать! Снять с обслуживания!».  Потому что тупо растоптать — всегда гораздо проще, чем думать. Это уже потом юристы потерпевшей стороны обратятся в суд на возмещение убытков. (Кстати, для тех, кто не в курсе, Высшего Арбитражного суда больше нет [2]) И, может быть, суд все-таки, руководствуясь буквой закона и здравым смыслом, решит вопрос в пользу потерпевшей стороны. Но все это будет потом, потом... А сейчас ваш бизнес просто прекратит существование. Может быть только на время, а может быть навсегда. При этом клиенту далеко не всегда станет известна истинная причина прекращения оказания услуг. Например, такая формулировка «возникли форс-мажорные обстоятельства» может включать в себя все что угодно. И если симпатии властей будут не на стороне потерпевших, доказать свою правоту будет крайне затруднительно. Не помогут никакие подписанные договора об обслуживании, если была отключена компания, заведомо признанная «нехорошей».

Давайте представим, что произойдет с компанией, целиком и полностью доверившейся «облачным» технологиям. Если на «облаке»  завязан электронный документооборот, то при отключении управлять компанией станет гораздо сложнее... Если у клиента «облачная» электронная почта — он отрезан от мира и не может нормально функционировать как современная организация. Если к «облаку» была привязана бухгалтерия, то в случае отключения не будет возможности подать вовремя отчетность, заплатить зарплату (невыплата заработной платы также карается уголовной статьей), рассчитаться с кредиторами и поставщиками, а значит, будут пени и штрафы и очернение кредитной истории.

Добавьте к этому скандалы в СМИ и картина превращается в «этюд в багровых тонах». Фактически «облачный» провайдер, заманив к себе клиента, не просто может ликвидировать чужой бизнес, а способен буквально раздавить его учредителей как тараканов.

Резервное копирование для самих «облачных» клиентов — это отдельная грустная песня. Для потребителя большинства видов облачных услуг этот сервис представлен как что-то бесплотное и совсем необязательное. Все разговоры на эту тему, начиная от менеджера по продажам вплоть до самого верхнего уровня рукововдства, сводятся к рекламным лозунгам на тему: «Зачем Вам об этом думать? Мы все берем на себя! Приходите к нам, и все будет в порядке!». Увы, но пока что ни один представитель, ни одного «облачного» провайдера так и не рассказал мне, каким образом, по какой схеме, с какими средствами шифрования и проверки целостности будет осуществляться копирование данных клиентов. Как правило, никакого клиентоориентированного подхода тут и близко не наблюдается. То есть заключайте договор, отдайте нам ваши данные, а дальше — как получится....

В то же время если у клиента нет копии данных, которую можно передать для надежного хранения, то в случае,  когда пришла беда, восстановить  необходимые бизнес-данные неоткуда, клиент полностью беззащитен перед любым произволом.

В общем и целом облачные технологии являются уникальным средством для тотального контроля бизнеса и предпринимателей чиновниками всех мастей.

Не прячьте ваши данные по вашим серверам, несите ваши данные скорее к нам в карман...

Эта перефразированная песенка кота Базилио и лисы Алисы вполне отражает состояние с ИТ-безопасностью в случае с облачным хранением данных.

И действительно: если данные клиента хранятся на сервере облачного провайдера, зашифрованы его, провайдера, ключом, и копируются его же системой резервного копирования, что мешает « в спокойной обстановке» восстановить фрагменты инфраструктуры клиента и выкачать из нее все конфиденциальные данные? Например, базу, клиентов, поставщиков, перспективные бизнес-проекты... А имея все это можно легко забрать бизнес клиента себе. Достаточно просто предложить его партнерам (правильней сказать — уже бывшим партнерам) чуть более выгодные условия. То, что базы данных, содержащие такого рода данные, еще не продаются на столичном Митинском или Савеловском радио-рынках — это не результат каких-то достижений в области безопасности, а просто свидетельство того, что просто пока что нет сильного спроса из-за отставания России и других стран СНГ в ИТ-отрасли.

И, повторюсь, доказать участие в этом деле истинного виновника практически невозможно. Отсталость России в ИТ, в том числе и правовая незащищенность бизнеса, дает возможность облачному провайдеру легко переложить всю вину за инцидент на клиента. Тем более, если будет оказана соответствующая поддержка «сверху».

Таким образом, облачные технологии являются просто шикарным средством для рейдерского захвата. Незачем подделывать документы, захватывать офис, запугивать собственника... Достаточно просто увести данные о понравившемся бизнесе через облачного провайдера. Как говорится, «дешево и сердито».

Отключение доступа в Интернет — клиническая смерть для бизнеса

Но угроза исходит не только от самих облачных провайдеров. Поставщик услуги доступа в Интернет, или Интернет-сервис провайдер (ISP) также может парализовать работу компании — облачного клиента. Дело в том, что доступ к «облаку» чаще всего осуществляется через защищенный VPN канал по Интернет. В этом случае, отключив клиента, можно не только лишить его электронной почты, веб-серфинга и прочих благ, но и практически полностью парализовать его деятельность.

Конечно, большинство крупных предприятий, так или иначе, имеет резервный канал. Но оплачивать целиком второй канал такой же ширины, как и основной — недешевое удовольствие. Напомню, что нужно не просто вовремя перечислять абонентскую плату, но также тестировать оборудование и характеристики соединения, выполнять техническое обслуживание и профилактику. При нынешних российских реалиях в случае работы с «облаком» это должен быть не просто резервный канал, а резервный провайдер. Поэтому такое резервирование выполняют на облегченных условиях. Например, чтобы только сохранить потребность деловой переписки первых лиц компании, пока основной провайдер ликвидирует неисправность.

В случае с облачными технологиями подобная экономия невозможна, потому что при отключении основного провайдера ваш облачный офис на узком резервном канале просто не сможет нормально работать. При этом стоит учесть, что если прекращение доступа произошло не по технической причине, а «из принципа», то быстрого восстановления никак не ожидается. Придется бегом-бегом искать нового провайдера или переделывать договор на резервный канал с увеличением полосы пропускания. А также закупать новое оборудование, если старое не позволяет использовать режим- два широкополосных канала. В целом этот период можно сравнить с клинической смертью для бизнеса, когда больной хоть и не подает признаков жизни, но его еще можно спасти, и на счету каждая минута.

Что же касается сектора среднего и малого бизнеса, представители которого не могут позволить себе резервный канал от независимого провайдера, то их участь в случае длительного отключения будет предрешена. А ведь SMB-cектор как раз и является целевой аудиторией для рекламной обработки со стороны поставщиков облачных услуг. Мол, зачем содержать собственную ИТ-инфраструктуру, если можно жить весело и беззаботно, просто перейдя в облако. В настоящий момент облачные технологии — это прекрасный инструмент для рейдеров, чтобы отобрать перспективный бизнес на этапе его становления.

Короля играет свита

До этого момента мы обсуждали ситуации, которые могли бы возникнуть по причине злого умысла лиц, облеченных властными полномочиями. Но это может быть далеко не так опасно, как действия технического персонала, который может иметь свой взгляд на привычные вещи. Кроме того, возникает непростая ситуация с квалификацией тех самых «кадров, которые решают все».

В приватной беседе я неоднократно задавал вопросы представителям «облачных» структур на тему, как происходит подбор персонала в их подразделениях.

В обычной ситуации с собственно ИТ-структурой отбор технических специалистов для данного направления производится силами самой компании-владельца. С «айтишником» сначала беседует менеджер по персоналу, потому технический специалист, иногда назначается дополнительное интервью с представителем топ-менеджмента, например ИТ-директором.  Далее происходит проверка службой безопасности предприятия. После этого сотрудник находится на испытательном сроке, на протяжении которого он также состоит под наблюдением как непосредственного руководителя, так и «безопасников». Таким образом, отбор и дальнейшая адаптация происходит в рамках довольно серьезной процедуры. В случае любого инцидента остается винить только самого себя, так как все мероприятия проводились соответствующими уполномоченными сотрудниками, которым этот бизнес доверяет.

С ИТ-специалистами облачных провайдеров, в руках которых и находится бизнес компаний-клиентов, дело обстоит куда как сложнее. Кто осуществляет отбор и проверку кандидатов? На каких условиях осуществляется окончательное принятие решения о приеме на работу? Кто осуществляет допуск сотрудников к объектам, способным представлять коммерческую, банковскую и другого рода тайну? Для обычного потребителя облачных услуг все эти вопросы — тайна, покрытая мраком. В итоге компания-клиент должна просто верить на слово своему поставщику услуг. И нет никакой гарантии, что облачный инженер не навредит  «из принципа» и «личных убеждений».

Вопрос проверки квалификации сотрудников облачных компаний — это довольно занятный вопрос. В случае с собственной ИТ-структурой это решается довольно просто. Например, нужен компании сервис для корпоративной электронной почты, значит, ИТ-специалист осваивает навыки работы с этим программным обеспечением, самостоятельно устанавливает, настраивает, решает возникающие по ходу проблемы, в том числе и с безопасностью Таким образом он обучается по мере работы и сам факт удовлетворительной работы данной службы является положительным результатом теста на профпригодность. Другой случай — когда принимают на работу готового специалиста и он проходит многоступенчатое собеседование, описанное выше.

Но для клиента нет возможности проконтролировать уровень подготовки инженерного состава облачного провайдера. А, учитывая страсть российского бизнеса к «экономии на спичках», можно запросто попасть в ситуацию, когда, например, систему мониторинга обслуживает «мальчик, честный, кудрявый, влюбленный», получающий нищенскую зарплату и при этом не имеющий ни квалификации, ни мотивации выполнять свою работу хорошо. И никакими регламентами, инструкциями, ценными указаниями не получится изменить закономерный ход событий — прямиком к аварийной ситуации.

Кроме того, большинство облачных провайдеров исповедуют «принцип наименьшей квалификации». Например: если несколько сотрудников с разным уровнем подготовки способны сделать ту или иную работу, то исполнителем назначат человека с самой низкой квалификацией. Вроде бы хорошо, экономия присутствует, но только слабо подготовленный специалист способен проглядеть серьезную проблему, не говоря уже о том, что «дьявол кроется в деталях».

Но даже если умудренный жизнью клиент потребует предъявить ему айтишника, который будет обслуживать инфраструктуру, то это требование легко обойти. Стандартной практикой у многих облачных провайдеров является приглашение на переговоры самого классного специалиста, чтобы убедить клиента в высокой подготовке персонала. На деле же работать с ресурсами компании клиента будет самый низкооплачиваемый работник, которого только смогли найти.

Бизнес с собственной ИТ-инфраструктурой с такой проблемой сталкивается гораздо реже, во-первых, потому что он знает своих специалистов, во-вторых, его сотрудники имеют квалификацию несколько выше требуемого уровня, что является своего рода «кадровым резервом».

Заключение

Повсеместное использование облачных и других Интернет-технологий возможно только при наличии других факторов. Необходимо правовое государство, низкий уровень коррупции, стабильная политическая ситуация и гарантированное отсутствие произвола не только со стороны властей, но и отдельных представителей облачных и Интернет-провайдеров. На сегодняшний день в России и других странах СНГ это невозможно. Поэтому облачные технологии если и можно использовать, то только в очень узкой сфере. Например, облачный антивирус. Для всего остального проще и безопаснее держать собственную ИТ-инфраструктуру.

И последнее. Берегите своих системных администраторов. Потому что именно они будут спасать ваш бизнес, если кто-то попытается его уничтожить подобным образом.

Читайте «Системный администратор» и оставайтесь с нами!

1. Lenta.ru: «Репортеры без границ» вступились за «Дождь» – http://lenta.ru/news/2014/01/31/reporters.
2. Независимое бюро информатики и аналитики: «Высшего арбитражного суда больше нет» – http://news-nn.com/news/politika/arbitrazhnogo_suda_bolshe_net.

это - точно; не пройти регистрацию в соц сетях без телефонного права. и... базар фильтровать надо, уже не забалуешь, как у Задорного. Камеры-микрофоны надо липкой лентой, отключать аппаратно уже - и не надейся. одна хорошо продуманная диверсия, и народ сам потребует для себя самых крутых мер в стиле молодости моих дедов-прадедов. номера на теле, например, радио метки в паспорте. карточки... на все электронные. ошейники, пока еще не, со взрывчаткой. летающие камеры, птицы-стражи. научная фантастика-реалии наших дней, ура!!!