Среди IT-профи нет единого мнения, переносить или нет в облако бизнес-процессы. Безопасно ли, например, оцифровывать в облаках документы? А если они содержат персональные данные? Где суеверие, а где реальная угроза — разбираемся вместе с экспертами «Биорг».
Происшествие
15 мая 2019 года в результате человеческой ошибки Яндекс удалил небольшую часть виртуальных машин в своем облаке. Часть пользовательских данных была безвозвратно утрачена.
Неприятность в крупной компании подобна авиакатастрофе, о которой моментально становится известно всем. Везде начинают говорить, что летать (работать в облаке) – небезопасно. При этом забывают о статистике ежедневных автопроисшествий, или, как в случае с облаками, забывают, что причина в отсутствии в компании на тот момент внятной политики безопасности.
Обстановка: что говорят про «облака» участники рынка?
Согласно исследованию PwC, 58% респондентов сомневаются в безопасности «облаков». Опасаются:
- утечек данных
- нецелевого использования данных провайдером/третьей сторон
- утраты данных
Тем не менее, 40% опрошенных хранят в «облаках» информацию о клиентах, включая персональные данные.
В облаках можно быстро масштабироваться и разворачивать новые сервисы. Например, согласно исследованию Accenture, банки, активно использующие облака при развертывании ИТ-систем, наращивают выручку в 2 раза быстрее тех, кто не применяет облачные технологии.
Фото Alexander Sinn, Unsplash
Глобальные расходы на публичные облачные сервисы по итогам 2020 года увеличились до $312,4 млрд. — говорят в IDC, то есть выросли на 24% по отношению к предыдущему периоду. Игроки рынка признают, что в облаках:
- ниже затраты на конфигурацию и поддержку собственной IT-инфраструктуры
- удобнее обрабатывать большие данные
- быстрее растут показатели и трансформируются операционные процессы
- становятся доступнее аутсорсинговые сервисы
- безопаснее проводить цифровые пилоты и эксперименты
Кроме того, при работе в облаке сотрудники внутри компании начинают внимательнее относиться к работе с данными.
Облачная оцифровка документов
Цифровая трансформация документооборота — тренд, связанный со стремительной цифровизацией государства и бизнеса. Большой объём данных всё ещё хранится в бумажном виде. Грамотно их распознать, извлечь и перенести в базы данных — задача, от решения которой зависит глубина цифровой трансформации общества.
Переносить столь большой объём вручную — очень долго и неэффективно. Закупать оборудование для сканирования, отдельное коробочное ПО для обработки сканов и учить сотрудников работать с этим – не все могут себе позволить тратить столько времени и денег. Сервис оцифровки на основе облачного ПО — реальный способ получить результат при нулевых вложениях в инфраструктуру и в найм дополнительного персонала.
Фото Jeremy Perkins, Unsplash
Законодательного запрета на обработку в «облаке» не существует
В ФЗ-152 нет запрета на хранение и обработку данных в «облаке». Главное условие — локализация дата-центра облачного провайдера в России. Минкомсвязи разъясняет, что данные можно передавать для обработки и за рубеж. Для этого их сперва нужно записать на сервер, физически локализованный в РФ.
Строжайшие ограничения введены только в отношении гостайны – на работу с ней нужна лицензия ФСБ. На обработку в «облаке» всего остального де-юре и де-факто запрета нет, но должны быть четкие правила.
За нарушения протоколов обработки и хранения персональных данных в России предусмотрен не только денежный штраф, но и уголовная ответственность до 2 лет, а также блокировка сайта Роскомнадзором. Для сравнения, в Европе, согласно постановлению Европейского Союза, которое называется «Общий регламент по защите данных» — General Data Protection Regulation (GDPR), штраф может доходить до 4% от общемирового оборота компании за год, сумма административного штрафа может достигать 20 млн. евро.
Особенности делового оборота в России
SAP и «Делойт» в совместном исследовании называют основным барьером на пути к цифровизации неготовность к изменениям самих компаний и, в частности, их корпоративной культуры.
Ограничения на обработку документов в облаке только в голове людей — соглашается Илья Веригин, директор «Биорг» по работе с государственными заказчиками.
Например, бухгалтер опасается, что, если у него «утечёт» платёжка и кто-то увидит его отношения с контрагентом, случится что-нибудь плохое. Стоит ли по этой причине отказываться от автоматизации бухгалтерской документации?
«Утечка любой информации — плохо по определению. Однако, исходя из опыта иностранных компаний, которые открыли в России представительства, можно назвать напрасным страх передавать в облако те же платёжки: иностранцы спокойно отдают такие документы в облака, ограничиваясь NDA (non-disclosure agreement) в договоре на их обработку, где прописана ответственность сторон. Все по-настоящему важные для компании документы, разглашение которых может на что-то повлиять, получают дополнительный статус защищенности, для чего внутри компаний существуют регламенты и методики», — отмечает Илья Веригин.
При выборе облачного сервиса эксперт рекомендует следовать следующим правилам:
- смотреть на опыт компании и её сотрудников
- оценивать доверие других участников рынка к сервису
- проверять наличие лицензий и сертификатов на работу с данными
- удостовериться в наличии зрелой инфраструктуры и политики безопасности, чтобы избежать утечек и воровства данных
- оценить размер компании-облачного провайдера
- наличие технологий деперсонализации
Как безопасно передавать данные за собственный контур
Больше всех при работе с персональными данными обычно нервничают банки и финансовые организации. Многие из них наотрез отказываются что-либо передавать в облако. Опасения традиционные: персональные данные клиентов могут попасть не в те руки, их могут потерять, возможны утечки.
Выход здесь технически очень простой: чтобы не передавать данные в виде целых документов, можно их деперсонализировать.
«Информацию можно обезличить в контуре заказчика. Для этого устанавливают ПО, которое «режет» любой отсканированный документ на фрагменты. Эти фрагменты уходят в «облако» на обработку, а потом возвращаются в контур заказчика и вновь собираются нейросетью в целый документ — уже цифровой. Например, фотография отдельно от ФИО и другой информации в паспорте уже не считается ПДн, её можно без всяких рисков передавать в облака», — говорит Александр Коробов, директор по развитию «Биорг».
Тем не менее, для бизнес-заказчика в Росcии отказаться от применения облачной технологии зачастую проще, чем следовать всем регуляторным правилам – констатирует эксперт.
“Применять или нет облачный сервис — очень часто зависит от принципиальной позиции службы безопасности, квалификации её руководства и его административного веса. Большинство заказчиков на сегодняшний день с трудом превозмогают свои внутренние регламенты, хотя отдельные позитивные подвижки очевидны”, — резюмирует Александр Коробов.
Фото Glenn Carstens-Peters, Unsplash
В мире облаков
В июле 2021 года Министерство обороны США объявило, что запускает новый облачный Joint Warfighter Cloud Capability (JWCC) взамен вызвавшего споры JEDI (JEDI (Joint Enterprise Defense Infrastructure). В новом проекте будет задействована инфраструктура Microsoft Corp и Amazon Web Services и других компаний. Его стоимость оценивается не менее чем 10 млрд. долларов.
Неудачным примером того, как облако можно использовать вопреки интересам пользователей в B2C сегменте может служить инициатива Apple по сканированию пользовательских фотографий на предмет запрещенного контента. Речь идёт о данных, которые хранится в iCloud.
Что важно понимать при работе с «облаком»:
- Облачный провайдер — это не оператор ПДн, оператором остается компания, то есть бизнес, с которой заключен договор.
- За утечку данных ответственность понесет не провайдер, а оператор, поэтому услуги профессиональных операторов часто бывают застрахованы.
- Облачный провайдер не может ничего сделать с данными, если ему этого специально не поручить.
- Оператор данных внимательно подходит к настройкам доступа к данным, это, как правило, отражают в договоре.
- Передавая ПДн в облако, оператор не снимает с себя ответственности за их сохранность, оператор всегда старается быть уверен в облачном провайдере.
- Важный показатель защищенности облака — аттестат соответствия 152-ФЗ. Его можно получить, если инфраструктура соответствует требованиям приказов ФСТЭК, а данные внутри инфраструктуры надежно защищены.