Согласно отчетам международной компании Cloud Security Alliance, многие пользователи не готовы работать в облаке из-за боязни потери данных, взлома и похищения привязанных аккаунтов. Между тем именно в облаке, а не на сервере собственного хостинга информация защищена лучше, а уровень отказоустойчивости — выше. Представляем вам пять самых распространенных мифов об облаке, которые мы с легкостью развенчаем.
Миф 1. Облачная система никак не защищена от утечки конфиденциальных данных.
Это типичная отговорка нерадивого сотрудника, раздающего свои идентификационные данные, задающего один и тот же пароль на все, от почтового ящика до интернет-банка, а также записывающего пароли на визитках. Что ж, облако в данном случае действительно бессильно. Злоумышленник может и перехватить, и подделать, и исказить данные. Однако практика показывает: все это «лечится» на уровне пользователя — введением болезненных штрафов за раздачу регистрационных данных коллегам и использование слишком лаконичных паролей.
В облачных решениях компании SAP (ведущего поставщика программного обеспечения и облачных технологий в мире) реализована многоуровневая система защиты информации, в том числе безопасность на уровне приложения: защита от внутренних угроз, блокировка опасных плагинов, защита от phishing и pharming, разделение обязанностей, ролевая модель, защита от неправильных логинов.
Миф 2. База данных облака с множественной арендой неизбежно ведет к тому, что изъян в приложении одного клиента открывает взломщикам доступ к данным не только этого клиента, но и всех остальных пользователей облака.
В России физическое изъятие серверов — дело, к сожалению, обычное. Впрочем, это скорее проблема кустарей от IT — различных небольших фирм, продающих «дырявые» облака. Серьезный же поставщик в числе приоритетов всегда указывает полное соответствие местному законодательству, что позволяет избежать конфликтов с правоохранительными органами (по поводу защиты персональных данных, например). Любая солидная корпорация не только не подает силовикам поводов для претензий, но и обеспечивает физическую защиту дата-центра, куда и ее собственному сотруднику попасть не так-то просто.
Достойные доверия SaaS-корпорации не держат всю информацию на одном сервере и организовывают шифровку трафика (https-протоколы с использованием SSL-сертификатов), что не позволяет его перехватить. Так, компания SAP обеспечивает физическую безопасность своих дата-центров в соответствии с промышленными стандартами третьего (Tier III+, время простоя за год — 1,6 часа, коэффициент отказоустойчивости 99,982 процента) и четвертого уровней безопасности (Tier IV, время простоя за год — 0,4 часа, коэффициент отказоустойчивости 99,995 процента). Так что пороха взломщикам хватит разве что на похищение базы почтовых адресов, куда даже в самом патовом случае придет только лишняя порция спама, который без труда отфильтрует офисная система защиты.
Миф 3. Данные в облаке могут пропасть в результате пожара, потопа, революции, самума и так далее. И ни одна SaaS-корпорация не может предотвратить такой апокалипсис.
Этот миф легко опровергнуть, поскольку в правильном облаке всегда имеется возможность резервного копирования (ежедневно, автоматически, не менее двух раз за сутки), а сами базы надежно хранятся (смотри пункт выше). Так что одного звонка в техподдержку будет достаточно, чтобы восстановить утраченное. Куда больше проблем может возникнуть, если пользователь, надежно шифрующий свои данные до выгрузки в облако, вдруг потеряет шифровальный ключ.
Разумеется, голословным заявлениям при выборе поставщика доверять нельзя. Практики по мониторингу, управлению инцидентами и рисками, резервному копированию и операционной работе должны быть подтверждены соответствующими документами (сертификацией по ISO 27001, ISAE3402/SSAE16-SOC 1 Type II и/или SOC 2 Type II (SAP).
Миф 4. Облачные сервисы работают крайне медленно, да и платить каждый месяц за содержание облака не хочется.
Облачная медлительность может быть связана только с некачественным интернетом и громоздкими требованиями к обработке конфиденциальной информации. В первом случае проблема решается правильным выбором интернет-провайдера, во втором — правильным выбором поставщика облака.
Приведем реальный пример, демонстрирующий высокую скорость работы с конфиденциальной информацией клиента в полном соответствии с локальным законодательством. Речь идет о внедрении решений SAP в рамках проекта Echtzeit.
Parkinformationssysteme GmbH. Применение облачных технологий в условиях густонаселенного города и плотного автотрафика позволило в разы сократить время поиска свободного места для парковки.
Возвращаясь к вопросу о цене: опросы, проведенные компанией SAP в 2017 году, показывают, что финансовый барьер как препятствие для внедрения облачных услуг в России и СНГ у среднего бизнеса отсутствует совсем, у малых предприятий воспринимается как препятствие лишь в 0,9 процента случаев и у крупных — в 2,9 процента. Что до европейского опыта, то страховая компания Ageas, которая работает с 1824 года и входит в топ-20 по Европе именно благодаря цифровой трансформации, куда входит в том числе и переход на облачные решения, смогла зафиксировать снижение годовых затрат в первые пять лет на 20 процентов.
Ну а потом, можно всегда прекратить платить за пользование сервисом, предварительно выгрузив всю информацию с него на диск или в локальную систему хранения данных.
Миф 5. Всегда есть человеческий фактор. А что, если кто-то из ответственных лиц, работающих в организации — поставщике облачных услуг, захочет навредить своей компании и клиентам, попросту слить данные в прямом смысле на улицу?
Человеческий фактор, особенно в России, в самом деле часто становится причиной многих проблем. Именно поэтому в среде IaaS, PaaS или SaaS серьезнейшее внимание уделяется подбору персонала, а также организации многоступенчатого доступа к информации.
Однако любой отбор, любое шифрование на стороне поставщика облачных услуг не спасут от злодеев-инсайдеров на стороне заказчика. Так что перед тем, как уйти в облако, заказчику необходимо провести обширную, тщательную проверку своих внутренних систем, чтобы выявить все возможные риски.
А так, по данным SAP СНГ, выглядит рейтинг пользовательских страхов относительно облаков в России:
1. Страх передачи контроля над данными и ПО третьим лицам. Хотя бизнесу и так приходится сообщать данные третьим лицам, прежде всего — контролирующим органам, чьи технические возможности весьма небезупречны.
2. Нежелание передавать конфиденциальные данные. Ими, впрочем, все равно приходится делиться, причем с куда менее подготовленным пользователем (см. пункт выше).
3. Трудность в обосновании преимуществ облачных услуг. Речь идет не о конкретном пользовательском страхе, имеющем обоснование, а об объективной трудности, связанной с нежеланием осваивать «новые рельсы» цифровой экономической реальности. Консерватизм неизлечим.
4. Необходимость повышения квалификации персонала.
5. Неприятие облачных услуг IT-персоналом.
Характерно, что в этом «рейтинге» отсутствуют страхи, связанные с безопасностью облачной инфраструктуры. И напротив, присутствуют только опасения, связанные с человеческим фактором. Особенно интересны два последних «страха», которые можно описать одной фразой: «Как отнесется к переходу в облако наш главбух или системщик, которым доверяю как себе?»
Между тем данные конфиденциальных опросов (исследование Forrester Consulting) свидетельствуют о том, что около двух третей всех опрошенных IT-специалистов (71 процент) признают, что облака имеют большое значение для бизнеса, и более двух третей (78 процентов) уверены, что актуальность облаков будет дальше только расти.
И последнее, о чем хотелось бы напомнить: эффективность IT-службы определяется в том числе оперативностью реагирования на возникающие тенденции, которая необходима для осуществления технической поддержки реализации планов руководства. Каждый сотрудник должен стремиться повышать свой профессиональный уровень и уж точно не жаловаться на трудности внедрения современных технологий. Если IT-служба не в состоянии обеспечить физическую безопасность серверов хотя бы на уровне промышленного стандарта Tier III+, защиту на уровне базы данных, приложений, ПО и API, а также сетевую защиту (подключение к провайдеру первого уровня и соответствующую сетевую архитектуру), то, может быть, имеет смысл обратить внимание на поставщика, который сделает это за штатных сотрудников?
Останавливаться на достигнутом в IT-индустрии недопустимо. Именно поэтому компания SAP непрерывно работает над улучшением своей многослойной, масштабируемой системы безопасности (defense in depth). В SAP уже много сделано для того, чтобы оправдать доверие самых взыскательных клиентов. Так, ПАО «Сбербанк» доверил компании SAP управление персоналом (более 260 000 человек, SAP SuccessFactors) — и это одна из крупнейших цифровых трансформаций бизнеса в России на сегодняшний день.
Фундаментом для облачных решений выступает, прежде всего, доверие к поставщику, которое завоевывается практикой, соответствием международным стандартам и следованием локальным законам, — уверены в компании SAP, которая инвестирует огромное количество усилий в каждый компонент, приведенный выше, помогая клиентам менять парадигму бизнес-сознания, а также помогая на всех этапах их бизнес-трансформации.
Облако для трансформации бизнеса