Вопросы безопасности сейчас занимают практически каждого. Телевидение рекламирует продукты для обеспечения безопасности, а в новостях нередки сюжеты об утечках данных. Но помимо мнения общественности, у каждой организации есть обязательства по обеспечению сохранности личных данных своих сотрудников и клиентов.
Закон запрещает использование некоторых данных для целей, отличающихся от тех, для которых эти данные были изначально собранны. Например, нельзя собирать данные о здоровье сотрудников, а затем заставлять курильщиков оплачивать более дорогую страховку. Также нельзя передавать некоторые данные сторонним организациям. В мире облачных вычислений все еще сложнее, так как здесь «сторонняя организация» занимается поддержкой и управлением вашей инфраструктурой. Сама природа взаимоотношений предусматривает доступ поставщика этих услуг к вашим данным.
Если вы собираете и храните в облаке данные, которые подчиняются определенным нормативным актам, например закону об ответственности и переносе данных о страховании здоровья граждан (HIPAA) или закону Грэма-Лича-Блайли (GLBA), необходимо удостовериться, что поставщик облачных услуг надежно защищает ваши данные. Как и информация собранная внутри вашей организации, собранные в облаке данные должны использоваться только для тех целей, ради которых они были первоначально собраны. Если пользователь точно указал и разрешил только одну цель использования данных, нужно обеспечить выполнение этого требования.
В заявлении о конфиденциальности часто говорится, что пользователи могут получать доступ к своим данным, удалять или редактировать их. Если данные находятся в среде поставщика облачных услуг, требования по безопасности продолжают действовать, и вы должны убедиться, что данные доступны в тех же временных рамках, как если бы они хранились локально. Если доступ к данным разрешен только персоналу поставщика облачных услуг, нужно убедиться, что задачи выполняются этим персоналом надлежащим образом.
Если одним щелчком мыши вы приняли условия стандартного договора, предоставляемого поставщиком облачных услуг, вам придется выполнять условия. Даже если договор изменен лично для вас, поставщик облачных услуг будет пытаться ограничить контроль данных, чтобы обеспечить унификацию всех соглашений. Это помогает поставщику облака избежать лишних затрат и необходимости содержать специально обученных сотрудников. Если необходим полный контроль над данными, необходимо знать об этом заранее и не соглашаться на условия предлагаемые поставщиком облака.
Существует множество облачных поставщиков, которые специализируются на определенных рынках и разрабатывают свои услуги именно для этих рынков. Очень вероятно, что в следующие несколько лет появятся поставщики, занимающиеся только определенными рынками. Например, деятельность поставщиков облаков, которые предлагают свои услуги в сфере здравоохранения, будет регулироваться соответствующим законодательством, таким как HIPAA. А за необходимую обработку и контроль они, видимо, будут брать соответствующую плату.
Расположение данных
Любая компания, действующая полностью или частично в Интернете, или частные лица, ведущие блоги в социальных сетях, хранят данные на одном или нескольких серверах, которые могут находиться где угодно. Размещаете ли вы личную информацию в Facebook или поддерживаете бизнес-связи в LinkedIn — все эти данные должны где-то храниться. Так как компании движутся ко все более тесному активному использованию услуг облачных сервис-поставщиков, в свете безопасности данных, правовых и нормативных запросов к ним, место расположения данных будет становиться все более значимым.
Глобальным компаниям необходимо обеспечить, чтобы любая служба, развернутая в облаке, использовалась в соответствии с законом и правовыми нормами, применимыми к сотрудникам, иностранным дочерним компаниям и сторонним организациям. Законы США могут заметно отличаться в разных штатах, так что если службой пользуются ваши сотрудники, но в другом регионе страны, следует обеспечивать выполнение законов, действующих на территории, где эти сотрудники находятся.
Дочерние компании в разных регионах могут подчиняться другим, немного отличающимся законам, хотя общие требования могут быть одинаковыми. Зарубежные дочерние компании могут не испытывать проблем при обмене информацией с одним регионом, а в другом в этой области могут серьезные затруднения. Если в эту и без того непростую обстановку добавить поставщика облачных услуг, получим дополнительный уровень сложности.
Для соблюдения всех этих законов и нормативов необходимо знать расположение основных данных и резервных копий. Часто, бывает необходимо определить место хранения резервных копий. Например, у Amazon.com Inc. есть большие центры данных в США и Ирландии, и при использовании их для хранения резервных копий данных некоторых типов данных могут возникать серьезные правовые проблемы.
Законы о защите данных в странах Евросоюза, впрочем, как и во многих других регионах, чрезвычайно сложны и содержат определенный список предъявляемых требований. Передача личных данных из этих регионов должна осуществляться особым образом. Например, в ЕС требуется, чтобы собирающая или управляющая данными компания в обязательном порядке информировала граждан о том, что данные будут отправлены и обработаны за границами ЕС. Кроме того, договоры таких компаний должны пройти одобрение в организации, контролирующей обработку данных. Уровень сложности зависит от региона, где планируется обрабатывать информацию. Между США и ЕС существует обоюдное соглашение, при этом получатель данных в Соединенных Штатах должен только самостоятельно сертифицировать свои процедуры обработки данных, зарегистрировав их в Министерстве торговли США.
Вы должны убедиться, что все поставщики облачных услуг, с которыми вы работаете и которые находятся вне вашей юрисдикции, обладают адекватными средствами безопасности. Сюда входит местоположение основных и резервных копий данных, а также любых промежуточных хранилищ, если данные переносятся из-под одной юрисдикции в другую.
Помещая ваши данные на сервер третьей стороны, облачного или любого другого поставщика, вы фактически передаете ваши данные этой третьей стороне. Поэтому вы должны быть уверены в существовании у третьей стороны надлежащих средств безопасности соответствующих вашим потребностям и отвечающим всем предъявляемым к ним законодательным и правовым нормативам. Процессы управления и процедуры поставщика также не должны противоречить никаким региональным законам в месте установки сервера. Если вы заключили соглашение с компанией в Соединенных Штатах, которая потеряла данные на сервере в ЕС, скорее всего вы будете вынуждены подчиняться законам ЕС, если захотите внести данные или получить их из системы.
Эти законы могут быть более жесткими, если сервер находится в некоторых регионах, например, в Китае, где законы часто требуют предоставить местным властям неограниченный доступ к данным независимо от их конфиденциальности. Вы также можете быть ограничены в средствах шифрования или шифрование может быть запрещено, если не местным властям не предоставлены средства расшифровки данных.
Рынок поставщиков облачных услуг растет, но количество игроков, способных предложить масштабируемые приложения и размещение данных, все еще ограничено. Это может вынуждать компании к заключению субдоговоров на полное или частичное размещение данных с другими компаниями, возможно в другом регионе. Прежде чем заключать какой либо договор, проконтролируйте, не заключены ли поставщиком услуг хранения какие-либо субдоговоры и проверьте имеющиеся на предмет соответствия требованиям безопасности.
Какие-то из поставщиков облачных услуг неминуемо обанкротятся или прекратят свою деятельность. Сразу же возникнет вопрос о доступе к вашим данным. Место нахождения сервера может стать решающим фактором, потому что для возвращения данных может потребоваться обратиться в юрисдикцию другого региона, где доступ к данным может осуществляться совсем по другим правилам.
Вторичное использование данных
В зависимости от типа поставщика облака, с которым вы заключили договор, может потребоваться выяснить, будет ли поставщик или другие лица работать с вашими данными. Воспользоваться вашими данными могут без вашего ведома или в результате ошибки конфигурации на стороне поставщика. При достаточно высокой конфиденциальности данных может потребоваться, чтобы договор запрещал или ограничивал использование этих данных поставщиком облачных услуг.
Это может быть особенно сложно при использовании стандартных договоров, заключаемых простым щелчком мыши, подтверждающим согласие с условиями договора. Как известно, мало кто читает набранный мелким шрифтом текст договора — мы просто щелкаем кнопку согласия. В 2009 году, когда Facebook изменила условия обеспечения безопасности данных, это вызвало недовольство многих людей. Однако большинство пользователей продолжило пользоваться этим сервисом, потому что сочли его полезным. Если встанет вопрос о безопасности, скорее всего ваши пользователи отреагируют так же.
Данные, которые вы храните в облаке, могут быть конфиденциальными и содержать личную информацию, для которой необходимо обеспечить безопасность. Скорее всего у поставщика облачных услуг будет доступ к этим данным для поддержки и управления вашими серверами. Вам необходимо убедиться, при работе с данными не будет места злоупотреблениям любого рода. С юридической точки зрения договор может защищать вас от последствий подобных действий поставщика облачных услуг, но это не избавляет вас от необходимости убедиться, что поставщик сможет обнаружить несанкционированный доступ к вашим данным.
Аварийное восстановление
Нельзя переоценить важность непрерывности бизнес-процесса и аварийного восстановления. В плане аварийного восстановления, нужно учесть возможность возникновения некоторых ситуаций: поставщик может прекратить свою деятельность, или центр данных может потерять работоспособность. В первом случае главная задача — получить обратно свои данные и перенести их к другому поставщику. Это необходимо продумать до развертывания данных в облаках. Также вам необходимо обеспечить дополнительную защиту, организовав регулярное резервное копирование данных.
Набросайте себе план для перехода в облако и регулярно корректируйте его. Рыночные факторы и другие внешние обстоятельства меняются довольно часто. Есть несколько примеров того, как центры данных страдали от катастрофических аварий, приводивших к потере данных или неполадкам в работе многих веб-сайтов и бизнес-процессов, в том числе:
- Пожар в центре обработки данных в компании Green Bay, штат Висконсин, в 2009 году привел к длительному простою (до 10 дней) сайтов, размещенных у этого хостинг-провайдера.
- Простой в компании Fisher Plaza (Сиэтл) в июле 2009 года затронул множество сайтов, включая Bing Travel.
- Взрыв в центре обработки данных The Plant в Хьюстоне в 2008 году коснулся около 9 тыс. клиентов, которые на несколько дней оказались отключенными от Интернета.
- В компании Rackspace US Inc. в 2009 году случился сбой работы центров обработки данных в Далласе, который длился около часа.
- Простой центра обработки данных The 365 Main в 2007 году, который коснулся Craigslist, Yelp и других.
- В феврале 2009 году в Google случилось отключение центра обработки данных из-за ошибки обновления ПО, в результате чего многие пользователи лишились доступа к почтовой службе.
В зависимости от уровня вашей подготовки подобные происшествия может стать легким неудобством или неизбежной угрозой для бизнеса. Маленькие компании обычно страдают сильнее, так как в них меньше времени уделяют проверке и у них меньше ресурсов. Простой может серьезно отразиться на их бизнесе.
Как видно из этого списка происшествий, причиной неполадок в центре обработки данных может стать не только физический сбой электроэнергии или поломка охлаждения, но и ошибки ПО. Отказ в обслуживании из-за атаки хакеров на некоторый веб-сайт может затронуть и ваш сайт, если оба сайта располагаются в одном центре обработки данных.
Нарушения безопасности
Находясь в облаке, ваши данные могут подвергнуться компрометации или взлому. В таком случае вас об этом уведомят через систему поставщика или другим способом. Хочется надеяться, что об этом вам сообщит не покупатель, у которого украли личные данные.
Вы должны четко понимать, какую политику проводит ваш поставщик облачных услуг в области нарушения конфиденциальности и как быстро он проинформирует вас об утечке. В большинстве штатов США существуют законы об утечке конфиденциальных данных, которые требует от владельца данных уведомить граждан о компрометации их данных. Эти законы требуют, чтобы вы явно уведомляли о каждой утечке, предпочтительно способом, указанным в договоре.
С другой стороны, если вы обнаружите утечку данных, вам может потребоваться сообщить об этом поставщику облачных услуг. Это может иметь последствия для других клиентов поставщика. Вы, скорее всего, будете делить среду поставщика с другими организациями, и нарушение конфиденциальности у вас может как-то отразиться на их работе. Определив в договоре средства защиты и согласовав действия по предотвращению негативных последствий можно добиться, чтобы обе стороны как можно меньше пострадали из-за нарушения защиты.