19.02.2020,
14:18
1879
Oracle: три мифа о персональных данных
Преимущества облаков с точки зрения ускорения бизнеса и внедрения инноваций настолько очевидны, что переход в облака – лишь вопрос времени.
Преимущества облаков с точки зрения ускорения бизнеса и внедрения инноваций настолько очевидны, что переход в облака – лишь вопрос времени. Сегодня крупнейшие поставщики облачных сервисов обеспечивают более высокий уровень безопасности, чем заказчики способны реализовать в собственных центрах обработки данных. Так считают 73% респондентов отчета Oracle и KPMG об угрозах для облаков в 2019 году (Oracle and KPMG Cloud Threat Report 2019). Тем не менее, сомнения остаются. Среди них обеспокоенность по соблюдению российского законодательства, особенно в части персональных данных (ПДн). Почему происходят нарушения облачной безопасности, можно ли размещать ПДн в базах данных за рубежом и надо ли сертифицировать локальную систему их защиты, на конференции Oracle Security Day 2020 обсудили признанные российские эксперты в области безопасности и развенчали ряд мифов.
Миф 1. Облака содержат множество уязвимостей
Такие происшествия, как кража персональных данных 147 млн клиентов бюро кредитных клиентов Equifax или утечка данных 14 млн клиентов одного из крупнейших хостинг-провайдеров мира Hostinger, привлекают повышенное внимание к безопасности облаков. Хотя страх потерять данные в облаке сродни отказу от поездки в автомобиле по причине возможной аварии на дороге. Факты подтверждают, что число инцидентов в облаках меньше аналогичного показателя в корпоративных дата-центрах.
«Для облачных провайдеров безопасность является требованием рынка. Новость о брешах именно в их безопасности, а не в приложениях пользователей, принесет им значительные потери», – поясняет Артем Федоров, руководитель практики по обеспечению безопасности облачных систем, PricewaterhouseCoopers. Масштабы бизнеса позволяют облачным провайдерам использовать все современные сервисы и технологии ИБ при меньших относительных затратах.
Облачные провайдеры могут быстро и рационально масштабировать и перераспределить ресурсы для фильтрации и формирования трафика, аутентификации, шифрования и т.д., например, для отражения атаки DDoS. Выявленные уязвимости оперативно устраняются с помощью таких технологий, как автономные вычисления. Так, при обнаружении уязвимости в микропроцессорах Intel в 2018 году Oracle обновила операционную систему примерно на 1,5 млн серверов под управлением Linux всего за 4 часа.
Почему же число утечек продолжает расти? Большинство случаев нарушений безопасности и кражи данных из облака связано с неправильной конфигурацией клиентом приложений и сервисов, а не с уязвимостью самих облаков. «Открытая информация – везде открыта. Если вы оставили ключи от двери под ковриком, то говорит ли это о ненадежности двери? 62% проблем с облачной безопасностью – это проблемы правильной настройки облака», – приводит данные Артем Федоров.
Перенос данных и приложений в облако не снимает с заказчика ответственности за безопасность, даже когда основные задачи берет на себя поставщик, как в случае использования модели SaaS, т.е. «программное обеспечение как сервис». «Если остаются открытые порты, не контролируется доступ, используются незащищенные каналы, то кто в этом виноват, если не сам пользователь? – подчеркивает Антон Федоров. – Модель совместной ответственности позволяет четко разграничить задачи между провайдером и клиентом, но при этом всегда остается совместная зона ответственности.»
Обеспечение информационной безопасности предполагает правильное применение технологий, которые предоставляет провайдер, но у заказчиков часто не хвататет ресурсов или экспертизы для их надлежащего использования. Для провышения уровня знаний можно задействовать курсы для специалистов в области облачной безопасности Oracle Certified Cloud Security Professional и привлекать партнеров Oracle к разработке стратегии облачной безопасности и проектированию систем защиты данных.
Миф 2. Персональные данные нельзя отдавать в облако
Требование законодательства о локализации персональных данных действует около 5 лет, но до сих пор живет миф, что все ПДн должны обязательно храниться на территории России. «В законе написано следующее: ПДн российских граждан в период их сбора должны размещаться в базах данных РФ, – подчеркивает Михаил Емельянников, управляющий партнер консалтингового агентства «Емельянников, Попова и партнеры». – Речь идет исключительно о периоде сбора персональных данных, а не об их дальнейшем использовании».
Закон не обязывает дальнейшие действия с персональными данными выполнять только на территории России. Никаких препятствий для передачи данных за пределы РФ не существует, если созданная база данных поддерживается в актуальном состоянии и соблюдается порядок трансграничной передачи. Однако, использование ПДн должно соответствовать целям, заявленным при их сборе. Если данные собирались для подбора персонала, то их нельзя использовать для целей продвижения продукции.
Если в информационной системе генерируются какие-либо сведения о субъекте ПДн с использованием ее функциональных возможностей, то их локализовывать не нужно. «Если в системе кадрового администрирования рассчитывается уровень компетентности сотрудника или создается напоминание о необходимости направить его на повышение квалификации, то такие данные не подлежат обязательной локализации, поскольку они получены не от субъекта ПДн», – поясняет Михаил Емельянников.
Не каждая система, где могут появиться персональные данные, например, учетные данные пользователей, является информационной системой персональных данных с точки зрения закона. Например, Oracle Management Cloud, комплексное и интегрированное облачное решение для операционной ИТ-аналитики, безопасности и управления, такой базы не содержит, поскольку она не нужна для целей передачи телеметрической информации.
Для практических целей важное значение имеет вопрос, что понимать под базой данных. Создание полноценного электронного хранилища может потребовать от оператора персональных данных перестройки ИТ-инфраструктуры. Кроме того, оно влечет необходимость реализации системы защиты для такой базы данных. Все вместе выливается в значительные затраты.
Миф 3. Средства защиты ПДн подлежат обязательной сертификации
Незнание законов не освобождает от ответственности. Но в случае ИБ незнание законов порой приводит к тому, что сотрудники отделов безопасности накладывают на организации излишние обязательства. Так, многие ошибочно считают, что средства защиты персональных данных подлежат обязательной сертификации, а сами данные необходимо шифровать. Для бизнеса это означает не только неоправданные расходы, но и задержки при выводе на рынок новых продуктов и сервисов.
«В законе о персональных данных отсутствует требование применять сертифицированные средства защиты. Более того, в нем нет требования и об обязательном шифровании обрабатываемых данных, – объясняет Алексей Лукацкий, бизнес-консультант по безопасности, Cisco, – Да, в законе есть положение про обеспечение конфиденциальности, но это не одно и то же, что шифрование. Конфиденциальность – это непредоставление данных третьим лицам без согласия их обладателя (субъекта ПДн в случае ПДн). При наличии согласия данные можно передавать даже в открытом виде.»
Средства защиты должны лишь пройти оценку соответствия в установленном порядке. Это может быть, например, приемка или ввод в эксплуатацию. «Если вы разработали программную методику испытаний и провели их, то после выхода приказа о вводе информационной системы, включая используемые средства защиты, в промышленную эксплуатацию, все требования законодательства считаются выполненными с точки зрения оценки соответствия средств защиты. Вы не обязаны в этом случае применять сертифицированное средство защиты», – говорит Алексей Лукацкий.