Легендарный журнал о современных технологиях Компьютерра

Как ИТ-компании работают с персональными данными и почему информация попадает в чужие руки

Компьютерра
29 октября 2022
На чтение: 6 минут

«Кто владеет информацией, тот владеет миром». А также деньгами, если это конфиденциальная информация о банковском счете, или личными тайнами, если речь про медицинскую информацию.

Произнося свою легендарную фразу, немецкий банкир Натан Майер Ротшильд даже представить не мог, насколько вырастет ценность персональных данных в современном мире. Сегодня конфиденциальную информацию хранят самые различные компании и структуры. В нашем материале мы разберем, как эти организации работают с данными клиентов, как обеспечивается безопасность информации в публичном облаке и какие лицензии и сертификаты должны быть у облачного провайдера.

Как организовано хранение в облаке

У компании, которая собирает и обрабатывает персональные данные, есть два варианта действий: вложиться в организацию и обслуживание собственного ЦОД или обратиться к облачному провайдеру. Второй вариант более простой и быстрее реализуемый, так как не требует времени на закупку, настройку, замену и обслуживание оборудования On-Premise. Именно его мы и рассмотрим. 

В облачных сервисах информация также хранится в ЦОД, которые принадлежат поставщикам услуг. За безопасность данных отвечают профессионалы из отделов информационной безопасности поставщика. Таким образом компания перекладывает часть ответственности за хранение и обработку данных на облачный сервис. Есть несколько популярных сценариев использования облачных сервисов: резервное копирование, разработка и тестирование ПО, совместный доступ и хранение данных. Чаще всего в облаках хранят большие массивы Big Data и IoT, архивы, видеохостинги и фотостоки, данные порталов, игровых и образовательных платформ, а также интернет-магазинов.

Ритейл, медицина и образование — одни из главных потребителей облачных решений

Ритейл 

Благодаря развитию онлайн-торговли и цифровизации офлайн-магазинов в сфере ритейла спрос на облачные сервисы в 2021 году вырос в 1,5 раза. Чаще всего в облака переносят интернет-магазины и сервисы доставки, чтобы повысить скорость и безотказность их работы. Облачные платформы помогают повысить эффективность управления финансовыми, ERP- и CRM-системами, справиться с пиковыми нагрузкам в праздничные дни и во время распродаж, а также повысить уровень защиты от кибератак. 

Поскольку интернет-магазины и программы лояльности работают с данными покупателей, они должны соблюдать требования 152-ФЗ «О персональных данных».

Образование

Во время пандемии у многих вузов и школ появились платформы для дистанционного обучения. Кроме того, компании перевели обучение своих сотрудников в онлайн, а действующие онлайн-школы привлекли новых пользователей. Помимо места для размещения обучающего контента таким площадкам необходимо безопасное пространство для хранения и обработки данных обучающихся. Сюда относятся фамилии и имена учеников, их паспортные данные, электронные адреса, фото, информация о платежных картах и результатах обучения. 

Все это относится к персональным данным, для работы с которыми нужна отказоустойчивая и масштабируемая инфраструктура.

Здравоохранение

Современные медицинские учреждения тоже используют информационные системы для хранения и обработки данных о пациентах. Например, клиника может хранить информацию об исследованиях, назначенном лечении и рекомендациях. Эту информацию можно хранить и обрабатывать в облаке. Это особенно важно, если речь идет о сети клиник. Но если персональные данные попадут в руки злоумышленников, они могут стать предметом шантажа. Поэтому для медицинских учреждений важно обеспечить защиту данных в соответствии с 152-ФЗ.

Почему происходят утечки данных

Логично, что больше всего утечек происходит в тех сферах, где сосредоточено максимальное количество конфиденциальных данных. Речь идет о службах доставки, интернет-магазинах, медицинских организациях и образовательных сервисах. Так, в 2022 году произошли громкие утечки в службах доставки СДЭК, Почта России, «Яндекс.Еда» и Delivery Club, онлайн торговой площадке Wildberries, в банке ВТБ и в бизнес-школе «Сколково». Позже стало известно о базе из 6 миллионов пользователей Geekbrains, которую взломали и выложили в сеть злоумышленники. А из лаборатории «Гемотест» «утекли» в открытый доступ 31 миллион записей. Данные содержали ФИО, даты рождения, адреса, телефоны и паспортные данные пользователей из разных городов России.

Причина 95% утечек — в несоблюдении требований к обеспечению безопасности данных. Например, киберпреступники могут получить доступ к данным через фишинговые атаки, кражу паролей, человеческие ошибки или злонамеренные действия, вирусы для мобильных телефонов и программы-вымогатели.

Как облачные сервисы обеспечивают безопасность данных

Безопасность данных, которые хранятся в облаке, зависят и от пользователей, и от облачных провайдеров. Первые должны использовать надежные способы аутентификации, а вторые — соблюдать требования регуляторов, разграничивать уровни доступа как на физическом уровне (в помещение ЦОД), так и на уровне инфраструктуры.

Для обеспечения безопасности данных провайдер обязан выполнять множество действий. Например, делать резервное копирование, своевременно выявлять и устранять уязвимости. Сами СХД должны находиться в надежных ЦОД уровня Tier III. Дата-центры такого уровня могут ремонтироваться без отключения оборудования обладают системой резервирования критически важных компонентов, а их отказоустойчивость достигает 99.982%. 

Частное облако — максимальная безопасность

Публичное облако одного из крупнейших российских провайдеров ITGLOBAL.COM предусматривает возможность размещения и аттестации информационных систем заказчика в соответствии с требованиями ФЗ-152 РФ. Если отдел информационной безопасности предъявляет повышенные требования к защите данных, соблюсти их поможет переход в частное облако. Это изолированная на физическом уровне IT-инфраструктура, которая выделяется под клиента и полностью им контролируется. 

Частное облако ITGLOBAL.COM можно развернуть на инфраструктуре провайдера, в локальном дата-центре или в гибридном облаке. При этом степень изолированности может быть разной, от предоставления отдельного кластера серверов, до полностью выделенной инфраструктуры.

Пользователи частных облаков могут дополнительно защитить данные с помощью средств шифрования, антивируса и фаервола веб-приложений.

Частное облако отличается надежностью и высокой доступностью, так как каждый элемент зарезервирован и работает без единой точки отказа. Облака ITGLOBAL.COM размещены в одном излучших сертифицированных ЦОД в России. В них можно развернуть любую инфраструктуру под 152-ФЗ. 

Рассмотрим, как провайдеры обеспечивают безопасность хранения персональных данных на примере  ITGLOBAL.COM.

15 процессов информационной безопасности

  1. Назначение ответственных за безопасность. Руководитель выбирает сотрудников, в задачи которых входит создание и поддержание в актуальном состоянии политик, стандартов и инструкций по ИБ.
  2. Проверка сотрудников перед приемом на работу, обучение принципам и политикам ИБ, а также контроль соблюдения требований информационной безопасности.
  3. Обеспечение бесперебойной работы IT-систем.
  4. Проведение аудитов и пентестов.
  5. Обеспечение безопасности хранения персональных данных.
  6. Предоставление разных уровней доступа к персональным данным для разных сотрудников.. администратор всегда будет знать, у кого есть доступ к конфиденциальной информации.
  7. Управление информационной инфраструктурой.
  8. Управление изменениями. контроль изменений, контроль конфигураций, контроль разработки и внедрения информационных систем
  9. Управление инцидентами и уязвимостями. Аудит событий ИБ, управление уязвимостями и использование средств защиты.
  10. Защита от вредоносного кода и вирусного программного обеспечения.
  11. Взаимодействие с третьими сторонами.
  12. Безопасная разработка ПО. Помогает обеспечивать безопасность информационных систем на каждом этапе жизненного цикла.
  13. Управление учетными записями пользователей и администраторов.
  14. Обеспечение физической безопасности. Сюда относится мониторинг доступа к  физическим объектам информационных систем.
  15. Криптографическая защита. Шифрование информации для безопасного хранения, обработки и передачи информации третьим лицам.

Какие лицензии и сертификаты должны быть у облачного провайдера

При выборе облачного сервиса для безопасного хранения персональных данных, важно обращать внимание на сертификаты, которые есть у компании. Их получение свидетельствует о том, что провайдер прошел все необходимые проверки и признан соответствующим требованиям регуляторов.

Список лицензий, необходимых облачному провайдеру на примере компании ITGLOBAL.COM:

  • Лицензия ФСТЭК РФ. Данная лицензия дает право оказывать услуги по контролю доступа к конфиденциальной информации, проектированию систем информатизации и помещений для них и установке средств защиты информации.
  • Лицензия ФСБ РФ. Разрешает разрабатывать, производить и распространять криптографические средства и IT-системы, защищенные с использованием этих средств.
  • Лицензия ФСБ (гос. тайна). Допускает проведение работ, связанных с использованием данных, являющихся государственной тайной.
  • Аттестат соответствия Облако ФЗ-152. Данный аттестат подтверждает, что облако соответствует требованиям ИБ.

Помещение данных в облачный сервис грамотного облачного провайдера на сегодня является одним из самых безопасных способов их хранения. При этом важное значение имеет то, в каком ЦОД будет храниться информация, как часто будет проводится аудиты и тестирование на проникновение и какой тип облака будет выбран.

Что будем искать? Например,ChatGPT

Мы в социальных сетях