Облака, белогривые лошадки...

ISACA провела web-based семинар, посвященный информационной безопасности и безопасности персональных данных при использовании облачных вычислений.
Материалы в основном базировались на ноябрьской  публикации ENISA (Eropean Network and Information Security Agency), посвященной вопросам безопасности при использовании облачных вычислений.
В документе приводятся выгоды (для безопасности) от использования облачных вычислений, основные риски (для нее же) и рекомендации что с эти всем делать.
Основные риски, приведенные в публикации:

• Утрата конроля. При использовании облачных вычислений, клиенты неизбежно передают контроль за средой провайдеру услуги. Разумеется это - большой риск для безопасности, ибо провайдер может и не организовать у себя все необходимые меры защиты.

• Закрытость систем.   На текущий момент мигрировать с одного провайдера на  другого или перевести данные назад в собственную систему - задача не тривиальная, часто не реализуемая. Причем  тут безопасность? - Вопросы доступности информации.

• Нарушение изоляции (isolation failure). Мда, на русском не звучит. В общем, это класс рисков связанных с нарушением механизма изоляции хранения, памяти, маршрутизации и даже репутации между различными владельцами (так называемая guest-hoping атака). Если на пальцах, то зловредные действия у одного владельца в облаке наносят ущерб репутации другому. В результате риски утечки информации, ущерба репутации или нарушения сервиса для сервис-провайдера и его клиентов.

• Комплайенс-риски. Опять по-русски нормально не переводится, но все уже к слову комплайенс привыкли.  В общем, кто не привык - это риски не соответствия каким-либо требованиям.  Например, проинвестировала компания в получение сертификата по информационной безопасности, например ISO 27001... мда, редкое явление PCI DSS. А потом с какого-то перепугу перенесла часть данных в облако. 

•  Компрометация административного интерфейса. Интерфейс, с помощью которого  "облачный провайдер" управляет своими ресурсами, доступен через интернет. И получить через него доступ можно к огромному количеству данных от самых разных компаний. А постоянно появляющиеся уязвимости браузеров только усугубляют риск.

• Защита данных. Вот уж неожиданный риск. Честно говоря, не представляю, что авторов сподвигло выделить этот риск как отдельный класс, но к нему можно свести все остальные. Ибо проблема защиты возникает как при передаче данных в облако, так и при хранении, так и при уничтожении и т.д.

•  Небезопасное / неполное уничтожение данных. Обеспечить полное уничтожение данных без возможности их восстановить - достаточно хлопотное мероприятие для информационной безопасности. Например, в Нацбанке использование электро-магнитного импульса (вроде того, что создает "Лавина") для уничтожения данных на жестких дисках первый отдел не считает безопасным. Приходится брать старую добрую дрель и делать из дисков дуршлаг... В облаке же, где трудно понять вообще где что физически хранится, организация безопасного и полного уничтожения данных по запросу клиента кажется сизифовым трудом.

• Внутренний злоумышленник. Ну, тут все просто - та же проблема, как и везде, только возможностей у него не в пример больше, т.к. доступ есть к данным сразу многих компаний.

 И это только основные риски.

Какой же выход из данной ситуации? Как говорит народная мудрость: "даже если тебя съели, у тебя остается еще два выхода" Выходов как минимум два:

1.  можно использовать традиционный метод кнута - вводим очередную обязательную сертификацию, какой-нибудь CPSS (Cloud Provider Security Standard) и понеслась....
2. Можно конечно и пряничный метод - провайдеры сами заказывают аудит по ISAE 3402 Assurance Reports on Controls at a Service Organization. Добровольно прошли, опубликовали отчет, показали что безопасность есть, завлекаем этим клиентов.

При любом подходе результат одинаков: деньги - консультантам, расходы - провайдерам, счастье безопасность - потребителям.