Облачные вычисления в регуляторном тупике
Экспертный комментарий Алексея Сабанова, заместителя генерального директора "Аладдин Р.Д."
Обратите внимание, что мы не слышим о взломе и краже данных именно из облаков, из коммерческих дата-центров, но о краже данных организаций с их собственных серверов узнаем чуть ли не каждый день. Пока регуляторы размышляют и решают, как именно будет осуществляться регулирование использования облачных вычислений в финансовом секторе, а также обеспечение информационной безопасности при работе с ними, реальная жизнь стремительно меняет весь уклад использования IT в бизнесе, в госуправлении и в работе с населением.
Новые технологии пришли, а со "старыми" ещё не разобрались
Эксперты Huawei ранее отмечали для читателей "Б.О": "Уже сейчас видны первые признаки "горизонтальной Р2Р-революции", которая превращает обычные "облака" в "густой туман". В этой "мгле" править балом будут децентрализованные сервисы на основе blockchain и элементов распределённого искусственного интеллекта (AlaaS). Но вот снимать сливки с этих технологий будут совсем не те, кто привык это делать ранее" ("Б.О" февраль 2016 года).
Ярким дебютом Р2Р-облаков, правда, деструктивного свойства, стало применение приложения Firechat для смартфонов во время студенческих волнений в Тайване весной 2014 года. Приложение даёт возможность использовать телефоны для общения даже в тех случаях, когда мобильная связь (и соответственно Интернет) недоступны. Сообщения продолжают распространяться на небольшом расстоянии, но уже не через Интернет, а посредством Bluetooth или Wi-Fi.
Таким вот незамысловатым образом получается облако, размеры которого ограничены лишь количеством собравшихся рядом людей. Строго говоря, этот тип облаков ряд специалистов предпочитают называть "гиперлокальными социальными сетями" или "ячеистыми облаками". Но стоит установить связь между такими "ячейками", как получатся классические Г2?-облака, которые могут не использовать инфраструктуру официальных телеком- и интернет-провайдеров, а значит, никак не регулируются властями.
Как применять такие облака для банковских нужд, пока не очень понятно, зато никто не сможет гарантировать, что не случится распределённая облачная DDoS-атака на локальную IT-инфраструктуру, скажем, банка. Как именно противостоять подобным рискам, нигде пока не прописано. Но и начинающему ИБ-специалисту понятно, что эффективно бороться с распределёнными источниками угроз можно, только имея распределённые средства безопасности. Это аксиома.
Что касается децентрализованных облачных сервисов на основе blockchain, то за пределами России это уже реальность. Мало того, разработаны платформы промышленного масштаба как гениями-одиночка- ми вроде Виталика Бутерина, так и гигантами IT- индустрии. Например, блокчейн-сервисы на базе IBM Cloud предназначенные для финансовых учреждений, организаций государственного сектора и сферы здравоохранения. Эти облака необходимы для обеспечения надёжной работы нового класса распределённых финансовых приложений.
Можно сколь угодно долго спорить от применимости криптовалют законопослушными гражданами, но, похоже, максимальный эффект от blockchain ожидают в области "Интернета вещей" (IoT). Основываясь на Watson IoT Platform, IBM позволяет задействовать такие виды информации, как координаты позиционирования устройств с использованием радиомодулей, считываемые штрих-коды или данные, полученные с устройств. В ближайшем будущем IoT-гаджеты смогут работать с распределёнными блокчейн-журналами для обновления и визирования данных по контактам.
Одним из ключевых слов в этом абзаце наверняка являются IBM Watson. Именно на эту разновидность облачного искусственного интеллекта указывал в своём общении с журналистами заместитель председателя правления Сбербанка Станислав Кузнецов как на важный элемент центра информационной безопасности (SOC) Банка, построенного на базе SIEM-системы с участием консультантов из IBM. Учитывая его слова о том, как много всего интересного увидела команда топ-менеджеров Сбербанка во время недавнего визита в США с посещением офисов признанных технологических гигантов, а также планы Банка о следующих этапах расширения функционала SOC, можно гораздо глубже понять смысл приведённых выше слов экспертов из Huawei.
Рискнём предположить, что финансовые "облака будущего" — это нечто совершенно иное, чем то, что сейчас обычно имеется в виду, когда выстраиваются механизмы комплаенс для угроз, о которых завтра мы, вероятно, будем вспоминать с улыбкой. А в отношении Сбербанка можно говорить только о сроках, когда он официально объявит о своих претензиях на долю рынка финансовых (и не только) услуг и в сфере IoT. Но вот, что думают по этому поводу регуляторы, пока не очень понятно.
Что-то светится в тени
Однако вернёмся в настоящее время, которое характеризуется тем, что рядовые сотрудники банков, а также ряд программистов, которым срочно что-то нужно протестировать, но у которых нет времени ждать, когда им выделят для этого ресурсы, активно используют "теневые облака". Речь идёт не только о почте типа mail.ru и соцсетях, но и о файловых хранилищах, тестовых средах и тысячах других полезных, но крайне небезопасных сервисах.
Говоря об обеспечении информационной безопасности при работе с облаками, будь то частными или публичными, не так часто, как она того заслуживает, затрагивается тема "теневых облаков". Необходимо обратить внимание на исследование Cisco, согласно которому, по мнению IT-отделов, в их компаниях и банках используется в среднем 51 облачный сервис, а на самом деле это число доходит до 730. Можно прогнозировать, что такая ситуация будет лишь ухудшаться. Возможно, в ближайшее время мы будем иметь сотни "теневых" облачных сервисов на компанию. Чем это грозит банку? Как минимум, несогласованностью данных и потерей качества информации, как максимум, — потерей управления IT и угрозой безопасности, утверждает Марина Аншина, председатель комитета по стандартам российского союза IT-директоров.
IT-директора знают об использовании неавторизованных облачных сервисов. Они понимают, что при теневом применении IT появляется разрозненная информация, возникают вопросы совместимости данных и теряется возможность получения оптовых скидок по тарифам. Но кто из них реально представляет себе объёмы используемых облачных сервисов, полную их стоимость, которая плюсуется к тарифу провайдера публичного облака, а также возникающие при этом риски, не говоря уже о наличии стратегии решения упомянутых проблем?
В Cisco полагают, что первопричина тому — все большее теневое использование IT, то есть лавинообразный доступ сотрудников к облачным сервисам в об-ход IT-подразделений. В этом ничего нового нет. Давно известно, что сотрудники и целые подразделения не обращаются в IT-отделы за получением нужных им по работе облачных сервисов. Недавно развернулась целая дискуссия о непредвиденных и потенциально опасных последствиях этого, включая возросшие риски угрозам информационной безопасности, вопросы совместимости и скрытые издержки. Удобства при использовании публичных облаков зачастую нивелируются неприятными последствиями.
Облака надо внедрять, а не говорить о них
Отечественным экспертам, к сожалению, хорошо известна эта проблема, уже выработаны некоторые варианты защиты. Алексей Сабанов, заместитель генерального директора компании "Аладдин Р.Д.", комментирует: "Финансовым институтам как эксперт по ИБ могу порекомендовать использование только частных (контролируемых и создаваемых внутри защищённого периметра) облаков с применением строгой (взаимной, с применением криптографических протоколов) аутентификации для доступа и шифрованием конфиденциальной информации. Причём управление жизненным циклом ключей шифрования рекомендуется также организовывать исключительно внутри защищённого периметра организации".
Конечно, есть и другие мнения, например, связанные с тем, что публичное облако стало реальностью для крупнейших банков США. Но ведь то же самое можно сказать и про облако частное. Как утверждают исследователи Cisco, сотрудники и подразделения чётко дали понять: они за гибкость и возможность выбора. Но не будет решением и полный переход к публичному облаку, как это можно было бы понять из некоторых высказываний Германа Грефа. Скорее всего, истина где- то посередине.
Вопросы информационной безопасности и нормативно-правового соответствия слишком важны и начнут чаще выходить на первый план, когда ускоренное внедрение IoT будет все сильнее стимулировать теневое использование IT. Варианты решения в данном контексте предлагают искать в гибридной облачной стратегии, вобравшей в себя лучшие характеристики публичного и частного облаков и способной обеспечить контроль, возможность выбора и нормативно-правовое соответствие.
Однако, чтобы вписаться в тренд на построение гибридных облаков (впрочем, как и частных), IT- подразделениям вначале необходимо вернуть контроль за использованием облака в своих компаниях. Ни председатель правления, ни совет директоров не освободят директора по информационным технологиям от ответственности за компрометацию данных компании и разбазаривание IT-бюджета лишь на том основании, что пользователи выбрали публичное облако. Если что-то пойдёт не так, то отвечать будет именно CIO, подводят итог в своих рекомендациях аналитики Cisco. Трудно не согласиться!
Что пугает банкиров в виртуальных средах
Что пугает банкиров и удерживает от перехода в облако с точки зрения ИБ сегодня в России? Юлий Гольдберг, директор по инновациям SAS Россия/СНГ, полагает: "Существует несколько типовых опасений, которые высказывают банкиры, когда речь заходит о реализации задачи в форме облачного сервиса, а не с развёртыванием системы в банке, как это делается в стандартном случае. Главное возражение — это безопасность данных. Большинство считает, что в облаке данные будут под большей угрозой, чем в банке, хотя на самом деле современный коммерческий дата-центр уровня TIER-III по классификации Uptime защищён от внешнего проникновения на порядок серьёзнее, чем большинство внутренних дата-центров средних и тем более небольших банков".
Если в дата-центре организуется частное облако для конкретной организации (доступ есть только у её сотрудников и, возможно, сервис-провайдера), реализуется VPN-канал, объединяющий виртуальные облачные серверы в сеть банка, то уровень защищённости будет на достойном уровне — как минимум не хуже, чем при размещении данных внутри, а зачастую гораздо лучше.
"Обратите внимание, что мы не слышим о взломе и краже данных именно из облаков, из коммерческих дата-центров, но о краже данных организаций с их собственных серверов слышим чуть ли не каждый день", — утверждает Юлий Гольдберг.
Серьёзное опасение вызывает непонимание того, как интегрировать облачные сервисы с внутренними системами. Очевидно, что если интеграция будет построена на перекачивании терабайт данных через Интернет из внутреннего дата-центра в облако и обратно, то работать нормально такая архитектура не сможет. Но опыт показывает, что для большинства сервисов этого не требуется, и интеграция любыми способами (от файлового обмена до web-сервисов) прекрасно работает, вплоть до real-time режима.
"Например, в одном из банков был реализован проект, в котором в момент обращения клиента за кредитом внутренняя система принятия решений запрашивала облачный сервис текстовой аналитики, он запрашивал у облачного дата-провайдера неструктурированные данные о поведении клиента в Интернете, получал их, обрабатывал, передавал скор обратно системе принятия решений, и она исходя из скора и на основе других внутренних правил принимала решение о выдаче кредита. Весь процесс на бумаге выглядит длинным, но реально занимает не более полутора секунд даже в самое загруженное время", — рассказывают в SAS.
Адепты классической IT-инфраструктуры порой подливают масло в огонь и начинают утверждать, что системы безопасности в состоянии до такой степени снизить производительность виртуальных сред, что пропадает и смысл внедрения облачных сервисов.
"Б.О" попросил прокомментировать это спорное утверждение Константина Воронкова, руководителя отдела управления Endpoint продуктами "Лаборатории Касперского": "Действительно, создание частных или использование публичных облаков сегодня крайне популярно, как популярен вопрос со снижением производительности".
Для построения эффективной защиты в первую очередь следует разобраться с архитектурой и особенностями использования такой инфраструктуры, так как речь идёт о специальном оборудовании и программном обеспечении. Например, технология виртуализации позволяет более эффективно использовать оборудование и таким образом сократить затраты. Важной частью инфраструктуры являются системы хранения данных.
Для защиты виртуальных сред стоит выбрать решение, позволяющее сократить нагрузку и минимально влиять на консолидацию виртуальных машин. Популярным подходом является выбор решений с "легким" агентом, когда основные сканирующие функции вынесены на отдельные виртуальные машины защиты. Также можно рассмотреть и безагентское решение для защиты от вредоносного программного обеспечения и сетевых атак.
Важно учитывать ограничения безагентских решений. Они могут работать на меньшем количестве платформ (или будут доступны не все компоненты защиты) по сравнению с технологией защиты с помощью лёгких агентов. Необходимо выбрать способ защиты, совместимый с используемой платформой виртуализации и предоставляющий полный спектр технологий защиты.
"Говоря о защите систем хранилищ данных, следует рассмотреть специализированные решения, например те, которые позволяют защитить хранилища без заметного влияния на производительность и масштабируемость, что достигается архитектурными особенностями в специализированных решениях. Из-за специфики такого оборудования также важно убедиться, что ваша инфраструктура находится в списке поддерживаемых конфигураций", — уточняет представитель "Лаборатории Касперского".
Проблема персональных данных в облаке
Как известно, персональные данные россиян в соответствии с действующим законодательством нужно хранить и обрабатывать на территории России. Но беречь персональную информацию заставляет не только Закон, предусматривающий строгие наказания за её разглашение, вплоть до уголовных, но и репутационные издержки, которые могут для такой организации, как банк, МФО или страховая компания, привести к потере не только больших денежных сумм, но и всего бизнеса.
Крупные вендоры, в том числе и западные, строят свои облака для российских клиентов в российских же дата-центрах, поэтому никакого нарушения Закона при хранении в базах данных аналитических сервисов персональной информации не возникает. Доступ к ней будет иметь только сотрудники банка и, при необходимости и разрешении заказчика, также специально уполномоченные сотрудники сервис-провайдера.
Но главный плюс аналитических сервисов, в отличие от операционных (CRM, расчёт зарплаты, торговые операции и пр.), заключается в том, что для аналитических сервисов наличие персональной информации обычно вообще не требуется. Нет смысла анализировать фамилию, имя, отчество, номер телефона или паспортные данные, чтобы понять, будет ли клиент покупать тот или иной товар, сколько он готов заплатить, погасит ли выданный кредит и так далее.
Обычно персональные данные исключаются из анализа и заменяются обезличенным идентификатором. Моделирование и прочие аналитические задачи в рамках использования сервиса решаются на основе этих обезличенных данных, а потом идентификатор используется для применения результатов работы сервиса (скора, предложения, решения) в ходе процессов взаимодействия с клиентом в оперативных системах банка (фронт-офис, web-клиент и т.п.).
Если задача сервиса офлайновая (например, сервис ежедневно готовит оптимальные предложения для клиента, и далее они в течение дня направляются клиентам или используются в случае обращения клиента в банк), то персональные данные в облаке не нужны. Если требуется взаимодействие в режиме онлайн, то, возможно, отделять персональную информацию от прочих характеристик клиента будет технологически сложнее и, может быть, неудобно. Следовательно, в этом случае нужно, чтобы сервис-провайдер имел статус оператора персональных данных и обеспечивал соответствующий режим хранения данных в облаке.
Опять же, частное облако в любом случае надёжнее с точки зрения ограничения доступа к данным, и для критичных онлайн-сервисов с доступом к персональным данным стоит для начала рассмотреть именно этот вариант, советуют в SAS.
Облачные пионеры
Пока "наверху" думают, "низы" на свой страх и риск осваивают новые территории. Дмитрий Красюков, заместитель генерального директора SAP СНГ, объясняет причины этих шагов: "Основными задачами банков сегодня являются повсеместное единство всех коммуникаций — визуальных решений, навигации и доступа к сервисам — для пользователей и прозрачность бизнес-процессов внутри компании. Все эти потребности легко выполнимы при помощи облачных технологий. По нашим прогнозам в ближайшие 10 лет 90% банковского бизнеса ожидает переход в цифровую среду".
Зарубежные банки независимо от величины, например Live Oak Bank из США или банк J.P. Morgan Chase (Amazon Public Cloud, S3), уже активно используют облачные технологии, чтобы наладить взаимодействие между различными подразделениями, анализировать данные в режиме реального времени и быстрее принимать решения. Другой пример — ЦБ Австрии, осуществляющий миграцию системы сбора отчётности от унифицированных форм к детальным данным. При этом используется сервисная модель — сбор информации от банков и подготовка агрегированной отчётности возложены на внешнюю компанию.
По результатам совместного исследования SAP и НАФИ российские банки также готовы к переходу на облачные технологии. В этом направлении сильно продвинулся ВТБ. Touch Bank, например, таким об-разом использует систему управления эффективностью персонала (с ней работают уже более 250 сотрудников) и рассматривает возможность её расширения.
"Несмотря на то что банки всегда были консервативны в отношении передачи внутренних данных сторонним организациям, они понимают, что облака — реальная возможность оптимизировать бизнес и сократить издержки. Это подтверждают и данные нашего исследования, согласно которым три четверти опрошенных кредитных учреждений считают актуальным миф о небезопасности хранения данных в облаках, который, однако, нивелируется с началом использования этих технологий — среди пользователей облаков сомневающихся в их безопасности на четверть меньше", — резюмирует Дмитрий Красюков.
Также эксперты банковского сектора признают, что облачные технологии позволяют сэкономить. Однако большое внимание стоит уделить выбору компании, с которой предполагается работать. Помимо выяснения репутации необходимо убедиться в наличии международной экспертизы, своевременной локализации решений в соответствии с российским законодательством, пуле облачных партнёров и наличии собственных дата-центров. Инвестиции вендора в эти процессы — ключевой момент, который должен интересовать банк при выборе облачного провайдера.
Советы "бывалых"
Согласно исследованиям "Лаборатории Касперского" подавляющее большинство атак актуальны и в виртуальных средах, а вот подход к обеспечению защиты виртуальных сред у потребителей совсем иной.
"Вопросы безопасности откладываются на потом, а столкнувшись с атакой, компании пытаются использовать стандартные, неоптимизированные продукты, что часто фатально влияет на консолидацию в ЦОД, на схемы развёртывания виртуальных машин, мониторинга и многие другие аспекты управления", — говорит Константин Воронков.
Эта ситуация позволяет кое-кому безапелляционно заявлять: "Я же говорил!". Поэтому важно с самого начала запланировать использование полного спектра технологий безопасности, которые включают в себя не только защиту от сетевых атак и вредоносного ПО, но и своевременное обновление и установку патчей для операционных систем и стороннего ПО, защиту от эксплуатации уязвимостей, выявление и блокирование подозрительной активности запущенных процессов. Именно многоуровневый подход значительно снижает риски успеха атаки на банковскую инфраструктуру.
Всё упирается в периметр
Недавно на мероприятии, посвящённом IT в банках, топ-менеджер одного из крупных кредитных учреждений с горечью заявил: "Нет периметра безопасности банка, нет и банковской лицензии..". В век, когда "корабли бороздят космические просторы", концепция BYOD проникла во все западные банки, а отсутствие системы ДБО даже у отечественных банков считается нонсенсом, у специалистов возникают вопросы. Так как можно совместить требования по защите периметра и облака?
Константин Воронков (управление Endpoint продуктами "Лаборатории Касперского") делится своим опытом: "Безопасный доступ к облачной инфраструктуре возможен как из локальной сети офиса, так и извне, за охраняемым периметром. В этом случае эффективно использовать защиту от сетевых атак на уровне хоста, например HIPS для обнаружения и предотвращения атак, файерволы, а также технологии, блокирующие доступ к вредоносным сайтам, и технологии фильтрации трафика. Именно защита на уровне хоста предотвратит атаки, которые идут мимо корпоративного шлюза для локальной сети. Защищать следует как серверы дата-центра, так и рабочие станции сотрудников компании".
Не будем углубляться в эти технические детали, которые, в общем-то, давно не новость, а завершим анализ одной злободневной темой — распределёнными DDoS-атаками на банки. Это средство недобросовестной конкурентной борьбы, которое можно при-менять результативно и со все меньшими затратами (от 5 долларов в час). В то же время DDoS-атаки часто используются для отвлечения внимания и проведения других типов атак, например взлома сайта или web- приложений. О том, что такого рода комплексные атаки становятся трендом, говорилось в совместном исследовании "Тренды 2015 года в области интернет-безопасности в России и в мире", проведённом Orator Labs и Wallarm по итогам 2015 года.
Что такое настоящая DDoS-атака, желающие могут уточнить в Альфа-Банке или в Банке Тинькофф — имеется в виду интернет-блэкаут весной 2014 года. Как известно, стоимость проведения подобных атак колеблется в пределах 3 тыс. долларов, а вот ущерб в последнем случае был оценён в несколько десятков миллионов рублей. Не скрывали свои проблемы и в группе OiWi. Да и как утаить от миллионов клиентов тот факт, что в течение нескольких часов или даже дней не работают системы ДБО?
Отметим, что к вопросу защиты от DDoS-атак и к от-крытому обсуждению проблемы, размеров потерь, конкретных схем атак активно призывает и Центробанк. Проблема банальна: ЦБ киберкриминалу — не указ. Чтобы совершить атаку, мошенники не будут проверять себя на комплаенс. Они используют все доступные им достижения науки и техники для совершения преступления. В случае рассматриваемых атак — это геораспределённые облака и десятки тысяч зараженных компьютеров по всему миру. К чему может привести мощная атака на практике, наглядно продемонстрировал паралич целой страны — Чехии, со всей её государственной и финансовой инфраструктурой.
"Главный итог 2015 года заключается в том, что в отрасли созрело понимание: сегодня стала невозможной защита собственными средствами. Для противодействия сложным комплексным DDoS-атакам и взломам необходимо применять профессиональные решения, которые постоянно обновляются и используют алгоритмы машинного обучения. Решение на стороне оператора уже не может обеспечить защиту от целых классов атак. К тому же такие средства практически никогда не поставляются в комплекте с интегрированным WAF (Web Application Firewall), обеспечивающим защиту от хакерских атак. Аналогично устаревают с точки зрения реальной эффективности решения CPE", — заявил на прошедшей в июне этого года встрече с журналистами Александр Лямин, глава Orator Labs.
С экспертом согласился руководитель департамента информационной безопасности группы OiWi Кирилл Ермаков: "Наш бизнес — это высокотехнологичная система интернет-платежей. Сетевая безопасность — один из главных аспектов, который влияет на работу всей компании. Мы используем целый комплекс для защиты от угроз извне и постоянно его совершенствуем. На мой взгляд, облачное решение для фильтрации трафика на сегодняшний день является оптимальным способом противодействия одной из наиболее опасных угроз — DDoS-атакам. Правильнее всего использовать такой инструмент в комплексе с решениями для защиты от хакерских атак, которые часто производятся одновременно с DDoS-атаками".
В итоге компания OiWi, владеющая крупнейшей платёжной системой в России, опробовала все классы решений, пока не остановилась на геораспределённой облачной сети фильтрации трафика. Присутствовавший на мероприятии Алексей Кислицын, руководитель управления информационной безопасности Банка Тинькофф, заявил, что "Тинькофф" для защиты от подобных угроз тоже выбрал облачные механизмы стороннего сер-вис-провайдера. Причина проста: для противодействия новым угрозам необходимо использовать распределённые сети фильтрации трафика с узлами, расположенными как можно ближе к источникам атак. А значит, эти узлы находятся по определению вне периметра безопасности банка. И что там насчёт отзыва лицензии за несоответствие "бумажной безопасности"?
Какой же вывод из проведённого анализа? В компаниях (не только в банках) понимают, что подходы к обеспечению ИБ должны трансформироваться в соответствии с быстрыми изменениями ситуации на рынке. Это соответствие определяет не только защищённость бизнеса, но и возможности его дальнейшего развития. 77% респондентов исследования Orator Labs разделяют мнение, что устаревшие "бумажные требования к безопасности" мешают внедрению новых технологий и подходов к развитию IT-инфраструктуры.
Теневой рынок киберпреступлений очень быстро реагирует на появляющиеся уязвимости новыми атаками. На нечестные средства конкурентной борьбы есть спрос, который рождает предложение. Поэтому компании, использующие устаревшие средства защиты, серьёзно рискуют, а не используя новые технологии, которые и защищать-то по-новому не надо, банки рискуют оказаться на обочине бизнеса. Вот такая "заковыка"!