Цифровая трансформация в облаке: как отдать на аутсорс обработку документов?

16.08.2021

Среди IT-профи нет единого мнения, переносить или нет в облако бизнес-процессы. Безопасно ли, например, оцифровывать в облаках документы? А если они содержат персональные данные? Где суеверие, а где реальная угроза — разбираемся вместе с экспертами «Биорг».

Происшествие

15 мая 2019 года в результате человеческой ошибки Яндекс удалил небольшую часть виртуальных машин в своем облаке. Часть пользовательских данных была безвозвратно утрачена.

Неприятность в крупной компании подобна авиакатастрофе, о которой моментально становится известно всем. Везде начинают говорить, что летать (работать в облаке) – небезопасно. При этом забывают о статистике ежедневных автопроисшествий, или, как в случае с облаками, забывают, что причина в отсутствии в компании на тот момент внятной политики безопасности.

 

Обстановка: что говорят про «облака» участники рынка?

Согласно исследованию PwC, 58% респондентов сомневаются в безопасности «облаков». Опасаются:

  • утечек данных
  • нецелевого использования данных провайдером/третьей сторон
  • утраты данных

Тем не менее, 40% опрошенных хранят в «облаках» информацию о клиентах, включая персональные данные.

В облаках можно быстро масштабироваться и разворачивать новые сервисы. Например, согласно исследованию Accenture, банки, активно использующие облака при развертывании ИТ-систем, наращивают выручку в 2 раза быстрее тех, кто не применяет облачные технологии.

Фото Alexander Sinn, Unsplash

Глобальные расходы на публичные облачные сервисы по итогам 2020 года увеличились до $312,4 млрд. — говорят в IDC, то есть выросли на 24% по отношению к предыдущему периоду. Игроки рынка признают, что в облаках:

  • ниже затраты на конфигурацию и поддержку собственной IT-инфраструктуры
  • удобнее обрабатывать большие данные
  • быстрее растут показатели и трансформируются операционные процессы
  • становятся доступнее аутсорсинговые сервисы
  • безопаснее проводить цифровые пилоты и эксперименты

Кроме того, при работе в облаке сотрудники внутри компании начинают внимательнее относиться к работе с данными.

Облачная оцифровка документов

Цифровая трансформация документооборота — тренд, связанный со стремительной цифровизацией государства и бизнеса. Большой объём данных всё ещё хранится в бумажном виде. Грамотно их распознать, извлечь и перенести в базы данных — задача, от решения которой зависит глубина цифровой трансформации общества.

 

Переносить столь большой объём вручную — очень долго и неэффективно. Закупать оборудование для сканирования, отдельное коробочное ПО для обработки сканов и учить сотрудников работать с этим – не все могут себе позволить тратить столько времени и денег. Сервис оцифровки на основе облачного ПО — реальный способ получить результат при нулевых вложениях в инфраструктуру и в найм дополнительного персонала.

 

Фото Jeremy Perkins, Unsplash

Законодательного запрета на обработку в «облаке» не существует

В ФЗ-152 нет запрета на хранение и обработку данных в «облаке». Главное условие — локализация дата-центра облачного провайдера в России. Минкомсвязи разъясняет, что данные можно передавать для обработки и за рубеж. Для этого их сперва нужно записать на сервер, физически локализованный в РФ.

Строжайшие ограничения введены только в отношении гостайны – на работу с ней нужна лицензия ФСБ. На обработку в «облаке» всего остального де-юре и де-факто запрета нет, но должны быть четкие правила.

За нарушения протоколов обработки и хранения персональных данных в России предусмотрен не только денежный штраф, но и уголовная ответственность до 2 лет, а также блокировка сайта Роскомнадзором. Для сравнения, в Европе, согласно постановлению Европейского Союза, которое называется «Общий регламент по защите данных» — General Data Protection Regulation (GDPR), штраф может доходить до 4% от общемирового оборота компании за год, сумма административного штрафа может достигать 20 млн. евро.

Особенности делового оборота в России

SAP и «Делойт» в совместном исследовании называют основным барьером на пути к цифровизации неготовность к изменениям самих компаний и, в частности, их корпоративной культуры.

Ограничения на обработку документов в облаке только в голове людей — соглашается Илья Веригин, директор «Биорг» по работе с государственными заказчиками.

Например, бухгалтер опасается, что, если у него «утечёт» платёжка и кто-то увидит его отношения с контрагентом, случится что-нибудь плохое. Стоит ли по этой причине отказываться от автоматизации бухгалтерской документации?

«Утечка любой информации — плохо по определению. Однако, исходя из опыта иностранных компаний, которые открыли в России представительства, можно назвать напрасным страх передавать в облако те же платёжки: иностранцы спокойно отдают такие документы в облака, ограничиваясь NDA (non-disclosure agreement) в договоре на их обработку, где прописана ответственность сторон. Все по-настоящему важные для компании документы, разглашение которых может на что-то повлиять, получают дополнительный статус защищенности, для чего внутри компаний существуют регламенты и методики», — отмечает Илья Веригин.

При выборе облачного сервиса эксперт рекомендует следовать следующим правилам:

  • смотреть на опыт компании и её сотрудников
  • оценивать доверие других участников рынка к сервису
  • проверять наличие лицензий и сертификатов на работу с данными
  • удостовериться в наличии зрелой инфраструктуры и политики безопасности, чтобы избежать утечек и воровства данных
  • оценить размер компании-облачного провайдера
  • наличие технологий деперсонализации

Как безопасно передавать данные за собственный контур

Больше всех при работе с персональными данными  обычно нервничают банки и финансовые организации. Многие из них наотрез отказываются что-либо передавать в облако. Опасения традиционные: персональные данные клиентов могут попасть не в те руки, их могут потерять, возможны утечки.

Выход здесь технически очень простой: чтобы не передавать данные в виде целых документов, можно их деперсонализировать.

«Информацию можно обезличить в контуре заказчика. Для этого устанавливают ПО, которое «режет» любой отсканированный документ на фрагменты. Эти фрагменты уходят в «облако» на обработку, а потом возвращаются в контур заказчика и вновь собираются нейросетью в целый документ — уже цифровой. Например, фотография отдельно от ФИО и другой информации в паспорте уже не считается ПДн, её можно без всяких рисков передавать в облака», — говорит Александр Коробов, директор по развитию «Биорг».

Тем не менее, для бизнес-заказчика в Росcии отказаться от применения облачной технологии зачастую проще, чем следовать всем регуляторным правилам – констатирует эксперт.

“Применять или нет облачный сервис — очень часто зависит от принципиальной позиции службы безопасности, квалификации её руководства и его административного веса. Большинство заказчиков на сегодняшний день с трудом превозмогают свои внутренние регламенты, хотя отдельные позитивные подвижки очевидны”, —  резюмирует Александр Коробов.

Фото Glenn Carstens-Peters, Unsplash

В мире облаков

В июле 2021 года Министерство обороны США объявило, что запускает новый облачный Joint Warfighter Cloud Capability (JWCC) взамен вызвавшего споры JEDI (JEDI (Joint Enterprise Defense Infrastructure). В новом проекте будет задействована инфраструктура Microsoft Corp и Amazon Web Services и других компаний. Его стоимость оценивается не менее чем 10 млрд. долларов.

Неудачным примером того, как облако можно использовать вопреки интересам пользователей в B2C сегменте — недавняя бурно обсуждаемая инициатива Apple по сканированию пользовательских фотографий на предмет запрещенного контента. Речь идёт о данных, которые хранится в iCloud.

Что важно понимать при работе с «облаком»:

  • Облачный провайдер — это не оператор ПДн, оператором остается компания, то есть бизнес, с которой заключен договор.
  • За утечку данных ответственность понесет не провайдер, а оператор, поэтому услуги профессиональных операторов часто бывают застрахованы.
  • Облачный провайдер не может ничего сделать с данными, если ему этого специально не поручить.
  • Оператор данных внимательно подходит к настройкам доступа к данным, это, как правило, отражают в договоре.
  • Передавая ПДн в облако, оператор не снимает с себя ответственности за их сохранность, оператор всегда старается быть уверен в облачном провайдере.
  • Важный показатель защищенности облака — аттестат соответствия 152-ФЗ. Его можно получить, если инфраструктура соответствует требованиям приказов ФСТЭК, а данные внутри инфраструктуры надежно защищены.

    На указанный вами email мы автоматически пришлем презентацию.

    Вся информация по трудоустройству на странице "Вакансии"
    [contact-form-7 404 "Не найдено"]
    [contact-form-7 404 "Не найдено"]