Риски. Подлинные и мнимые. Управление информационной безопасностью
Авторы Наши партнёры Наши проекты: IT WorldIT-WeeklyIT Contact
IT-Manager Allcio Manager
Вход
X

Логин

Пароль

Запомнить

Забыли свой пароль?

Риски. Подлинные и мнимые

Лента новостейБезопасностьУправление ИБ

Риски. Подлинные и мнимые

Яков Шпунт | 17.11.2017

Часто приходится сталкиваться с настороженным отношением к использованию аутсорсинга, которое вызвано повышенными рисками. Однако тут далеко не все так однозначно, как кажется. Более того, в ряде случаев риски оказываются даже ниже, чем при развертывании инфраструктуры у себя. Впрочем, действительно, есть и вопросы, причем довольно серьезные.

Основная масса опасений кратко сводится к несколько грубоватой немецкой поговорке, надеюсь, понятной без перевода: Wass wissen zwei, wisst Schwein. Суть ее в том, что то, что знают двое, со временем узнают все. Вопрос лишь в том, насколько коротким или длинным окажется этот период и сохранят ли актуальность корпоративные данные. По крайней мере по вине внешних поставщиков услуг и подрядчиков утечки данных действительно происходят, иногда крупные. Хотя объем их стабильно небольшой по сравнению с числом инцидентов, связанных с деятельностью внутренних и внешних злоумышленников.

Чего боялись раньше

Лет десять назад хватало примеров того, что соответствующие услуги оказывали совсем небольшие компании, у которых не было для этого достаточно ресурсов. Помещения таких операторов, быстро получивших кличку «пионеры», не соответствовали стандарту даже TIER II, да и опыт сотрудников оставлял желать много лучшего, не соблюдались элементарные нормы информационной и физической безопасности. Естественно, представители любой более-менее серьезной компании, увидев такое, резко раздумывали передавать что-нибудь на аутсорсинг. Достаточно было буквально 10 минут знакомства. При этом не было никаких механизмов для того, чтобы как-то повлиять на соблюдение тех или иных нормативов, а также на подбор кадров. И такой неудачный опыт очень быстро расходился по рынку, обрастая подробностями в стиле «ужасы нашего городка», которыми, однако, продолжают пугать до сих пор. К слову, в то время подобная ситуация была характерна не только для России. В те годы в США, на волне бума электронной коммерции, были популярны так называемые «мусорные» ЦОДы, которые располагались в обычных ангарах и где был минимальный уровень сервиса.

Но все же до сих пор успокаиваться рано, если услугами аутсорсинга вдруг решит воспользоваться территориально распределенная компания. И далеко не факт, что точки присутствия клиента и поставщика услуг будут совпадать. Придется прибегать к услугам всяческого рода субподрядчиков, и никто не может дать гарантии, что в городе N этот самый субподрядчик не окажется тем самым «пионером» из середины нулевых. А то и просто не удастся найти вообще никого поблизости, в итоге на решение многих проблем будет уходить неоправданно много времени. К слову, именно по этой причине многие проекты, связанные с аутсорсингом, прежде всего по поддержке инфраструктуры, проваливались.

Та самая третья сторона

Отдельная тема — транзитные склады и сервисные центры. Ситуация во многих из них хорошо описывается фразой из анекдота «кто хочет — заходи, что хочешь — бери». Там оборудование может оставаться безо всякого контроля на многие часы, за которые можно, например, изъять накопители с сервера, ПК или ноутбука, скопировать их содержимое и все вернуть на место. Причем таких немало и в больших городах, и их услугами часто вынуждены пользоваться в том числе и крупные игроки, включая аутсорсинговых операторов. И, опять же, как-то повлиять на их политику нет никакой возможности. Хотя те же заказчики вполне могут быть «привязаны» к подобным сервисным и логистическим центрам без посредничества аутсорсера. Просто потому, что альтернативы им может банально не оказаться. Впрочем, в России пока не было зафиксировано инцидентов, связанных с утечкой или кражей данных таким вот способом. За рубежом же такие случаи отмечались.

Однако время «пионерского» аутсорсинга уходит. Сейчас очень многие операторы аутсорсинга считают хорошим тоном иметь целый пакет сертификатов по информационной безопасности, включая требования по защите персональных данных, или PCI DSS, необходимого для обработки банковских карт. Все больше ЦОД соответствует стандарту TIER III, что подтверждено сертификатами. Появляются дата-центры даже уровня TIER IV. Очень многие операторы используют решения для контроля собственного персонала, которые позволяют осуществлять функцию по обслуживанию систем, но не дают доступа непосредственно к данным.

Но неприятности преследуют не только «пионеров». Можно вспомнить несколько громких инцидентов и с крупными игроками. У кого-то были сбои в системе авторизации пользователей, в результате чего они попадали внутрь чужой учетной записи или туда просто мог войти любой желающий, выполнив довольно простые действия. Были и случаи длительных перерывов в обслуживании, и потери данных клиентов. Так что пользовательские соглашения крупных международных провайдеров публичных облачных сервисов практически снимают с себя всякую ответственность как за сохранность пользовательских данных, так и непрерывность функционирования сервисов. И об этом тоже надо помнить, тем более что в виде публичных облачных сервисов предоставляется все больше бизнес-приложений и их пользователями являются и крупные компании, в том числе и в России.

Регуляторные риски

Кроме того, если обратиться к облачным сервисам, до сих пор очень многие продолжают мыслить категориями «объектов информатизации», и их нельзя разделить. И, что хуже, в этих категориях составлены разного рода ведомственные инструкции, которым следуют сотрудники разного рода регуляторов и правоохранительных органов. Именно с этим связано то, что в ходе следственных действий могут изымать из того же аутсорсингового ЦОДа серверы и СХД, содержащие ресурсы не только компании, в отношении которой ведется расследование, но и других предприятий. Можно вспомнить не одну такую историю, причем, опять же, не только в России, и нет никаких гарантий, что нечто похожее может произойти снова.

Тем не менее очень многие риски, которыми пугают тех, кто хочет перейти на аутсорсинг, из разряда скорее предрассудков, чем умело пользуются руководители ИТ-департаментов, чтобы сохранить свое положение в компании. Впрочем, это уже отдельная история. И столкнуться с такими рисками вполне можно и развивая собственную инфраструктуру, к тому же в куда более серьезных масштабах.

Теги: риски, безопасность

Горячие темы: Угрозы и риски ИБ

Журнал IT Manager    [ Подписка на журнал ]

Об авторе

Яков Шпунт

Яков Шпунт

Журналист, редактор, автор 


Поделиться:

ВКонтакт Facebook Google Plus Одноклассники Twitter Livejournal Liveinternet Mail.Ru

Также по теме
Другие материалы рубрики

Также смотрите

Журнал IT-Manager: № 10/2017

Последние новости

Фоторепортажи

Мероприятия

<<<< Декабрь >>>>
Пн Вт Ср Чт Пт Сб Вс
27282930123
45678910
11121314151617
18192021222324
25262728293031
1234567