Друзья, к нам поступает много вопросов по безопасности нашего сервиса. Мы решили сделать небольшой экскурс в SaaS сервисы, надеемся что статья развеет все ваши сомнения. Мы разделили статью на две части. Предлагаем вашему вниманию первую часть.
Для более полного понимания сути облачных сервисов, а также преимуществ, которые предоставляют они своим пользователям, давайте познакомимся поближе с самим понятием «SaaS», которое последнее время все чаще встречается на сайтах интернета и которое может изменить наши представления о самих программных продуктах, о способах их покупки, использования и связанным с этим пользовательским опытом.
В далеком по IT-меркам 2006 году заявил о себе первый наиболее значимый SaaS-CRM-провайдер http://www.salesforce.com. Уже тогда этот успешный старт обратил на себя внимание многих ИТ-менеджеров как первый признак перемен, которые скоро могут произойти на рынке программных решений. Быстрому развитию нового рынка программных продуктов помешали первоначальный скепсис ответственных за стратегические решения менеджеров, новизна предлагаемых услуг, недопонимание преимуществ облачных вычислений. С технической стороны дело обстояло тоже не самым лучшим образом – не все фирмы на тот момент располагали широкополосным доступом в интернет, а недостаточные уровни доступности серверов и инфраструктуры не прибавляли привлекательности новым идеям.
Особенно интересной становится тема облачных сервисов в сегодняшних быстротечных коммерческих и социально-политических условиях. Правительствами принимаются новые законодательные документы, обсуждаются поправки к уже существующим. Организации, занимающиеся коммерческой деятельностью, должны быть в курсе всех этих изменений, чтобы их бизнес не подвергался опасности оказаться нелегальным, что может повлечь за собой весьма существенные финансовые и правовые санкции со стороны контролирующих органов. Вместе с тем становится все более острой проблема поддержания программного обеспечения (ПО), используемого в бухгалтерии, в маркетинговом, финансовом и прочих отделах, в состоянии, соответствующем последним законодательным актам. Различия в размере фирм, широкий спектр различных программ и операционных систем, всевозможные конфигурации оборудования и предпочтения пользователей значительно затрудняют возможности производителей ПО регулярно выпускать обновления для своих существующих продуктов ввиду необходимости тщательного предварительного их тестирования.
Посмотрим на эту же ситуацию с точки зрения крупной фирмы и индивидуального предпринимателя. Ведение финансовой и другой отчетности возложено в крупных фирмах на целый ряд отделов, занимающихся отдельными аспектами учета и применяющих специализированное ПО. Этот подход требует серьезных человеческих ресурсов, не говоря уже о финансовой составляющей (компьютеры, ноутбуки, ПО, обслуживание, настройка и т.д.). Небольшие и малые фирмы, а также индивидуальные предприниматели лишены такой технической и финансовой базы, что на практике влечет за собой целый ряд упущений в процессе обработки и учета коммерческой и финансовой документации:
-
Работа с ПО, которое зачастую не соответствует актуальной налоговой, правовой и законодательной ситуации в республике,
-
Работа на устаревшем оборудовании, вызванная необходимостью соблюдения расходной части бюджета фирмы,
-
Недостаток времени для полного охвата документацией всех производственных и иных процессов на предприятии,
-
Некомпетентное ведение документооборота затрудняет планирование, а также обработку текущих документопотоков,
-
Отсутствие четкого разделения сфер ответственности и грамотного ведения учета, вызванное совмещением должностей и хозяйственных ролей на небольших предприятиях и фирмах,
-
В случае индивидуального предпринимательства невозможность полной концентрации на ведении непосредственно доходной части бизнеса.
Реалии сегодняшнего дня таковы, что современный уровень развития технологий меняет и облегчает процесс доступа к данным, сами принципы хранения и обработки информации. Все больше фирм находят очень привлекательной возможность упростить ведение бизнеса при помощи облачных технологий, экономя при этом значительные финансовые ресурсы, высвобождаемые за счет сокращения расходов по следующим статьям:
-
Необходимость покупки, содержания, обслуживания и регулярного обновления парка вычислительной техники и соответствующей сетевой инфраструктуры,
-
Сокращение затрат на работников, отвечающих за работу компьютерного оборудования и его техническое состояние,
-
Уровень владения компьютером, необходимый для работы с облачными сервисами, зачастую не требует наличия технического или инженерного образования,
-
Исключение ситуаций несовместимости поколений программного обеспечения или технического ландшафта.
Как уже было сказано выше, наибольший интерес представляет миграция в облако информационного и документального оборотов для малых и небольших фирм. По сегодняшний день среди пользователей и среди менеджеров ИТ иногда слышны критические голоса, касающиеся вопросов безопасности, сохранности и конфиденциальности данных, хранящихся на серверах провайдеров облачных сервисов. Попробуем выяснить для себя, насколько действительно реальны все эти опасения.
Отметим, что эти же проблемы представляют для самого провайдера не менее, а на порядок более важный вопрос, от которого напрямую зависит его существование как провайдера и возможность зарабатывать на своих услугах не облачные, а вполне реальные деньги. Серверы крупных провайдеров расположены во всех частях света и дублируют друг друга на случай кратковременных технических проблем. Эта же стратегия оправдала себя и в случае стихийных бедствий. Данные пользователей хранятся продублированными и копируются в реальном времени на серверы, удаленные на тысячи километров. Немногие, даже самые крупные фирмы, могут обеспечить такую же степень избыточности хранения данных и физическую их безопасность, какая стала нормой для SaaS-провайдеров. Мало какая фирма может позволить себе несколько альтернативных источников энергоснабжения для серверных, круглосуточное видеонаблюдение, электронные карты доступа, запирающиеся серверные отсеки, системы бесперебойного кондиционирования. Не стоит также забывать и еще об одном важном факторе. Тогда как на предприятиях до сих пор часто оборудование покупается один раз и используется до его поломки или замены по причине морального устаревания, крупные провайдеры используют в большинстве случаев лизинговые схемы работы с производителями техники. Жизненный цикл работы комплектующих составляет в таких случаях часто не многие годы, а месяцы. Клиенты получают все преимущества от использования современнейшего компьютерного оборудования, имея таким образом еще один аргумент для выделения некоторых областей своего бизнеса к своему SaaS-провайдеру.
Опасение возможности доступа к данным на уровне работников ЦОД представляется также надуманным и очень маловероятным, если к тому же учесть, что сервер расположен, к примеру, в Ирландии. Сотрудники таких дата-центров озабочены обеспечением бесперебойной работы серверов и оборудования, к тому же в таких центрах существуют очень жесткие разграничения прав физического доступа сотрудников к оборудованию в зависимости от их ответственности за беспроблемную работу того или иного сервиса. На большинстве обычных предприятий доступ к данным возможен при наличии пароля сетевого администратора, который часто не удовлетворяет требованиям криптостойкости и правилам обращения с ним. Его получить на порядок проще (при помощи банальных угроз, подкупа или шантажа), чем пытаться выудить разбросанные по серверам ваши данные, при этом не зная даже, где и в какой стране они физически хранятся. Все опасения, что к данным без вашего ведома могут получить доступ конкуренты или контролирующие органы, вызывают в этой ситуации улыбку. С таким же успехом можно позвонить в NASA и, представившись, вежливо попроситься в «Шаттл», отправляющийся в космос.
На примере многочисленных примеров можно сделать вывод, что более реальную угрозу для данных компании представляют сотрудники, к которым был найден соответствующий подход со стороны конкурентов. Очень часто базы данных (клиенты, поставщики, финансовые потоки) охотно копируются самими сотрудниками на случай увольнения или скандала с начальством и потом могут применяться в качестве средства давления с разными целями. В череде таких событий можно отметить один из последних громких случаев, произошедших в Германии.
Правительство земли Северный-Рейн-Вестфалия заплатило за 4 компакт-диска с данными предположительных нарушителей финансового законодательства Германии сумму в 3,5 млн. евро. Эксперты оценивают, что недополученная казной Германии сумма налогов, которые будут выплачены нарушителями, скрывшими существование у них банковских счетов в Швейцарии, составляет 1,3 млрд. евро ! (Источник)
Такая практика уже стала обычной для налоговых органов Германии. Хотелось бы еще раз отметить, что информантами и продавцами данных во всех этих случаях являлись бывшие или по настоящий день работающие сотрудники фирм, имена которых не раскрываются из соображений конфиденциальности. Так что стоит действительно все взвесить и решить для себя, откуда грозит большая опасность вероятности доступа к важным для Вас данным.
Продолжение следует...
--