Пора менять подход к обеспечению ИБ облаков, угрозы уже другие...

Аватар пользователя prozorov
Автор: Прозоров Андрей, Независимый эксперт и блоггер
(0)
()
В прошлую среду я принял участие в конференции Skolkovo Cyberday Conference 2017 и выступил с докладом про Shadow IT в секции "Ключевые проблемы кибербезопасности облачных сервисов".

Кстати, саму презентацию ""Теневые" облака: контролировать или запрещать" можно посмотреть и скачать тут:
Когда я ее создавал и потом слушал доклады коллег, то меня не отпускала мысль, что происходит что-то очень странное с безопасностью облаков..

Смотрите, с одной стороны на конференциях по ИБ часто говорят, что надо строить только безопасные облака (защищать от DDoS, использовать шифрование, планировать отказоустойчивую инфраструктуру, защищать от целевых атак, четко разграничивать права доступа, обеспечивать физическую безопасность и прочее), а использовать только доверенные (желательно физически расположенные на территории РФ, аттестованные и обладающие сертификатами типа ISO 27001, ISO 20000, а также SOC (Service Organization Control) и TIER высокого уровня (3+)). А потом вспоминают, что даже у крупных и защищенных компаний-провайдеров облачных услуг (например, Accenture, Amazon, Verizon и других) иногда происходят инциденты ИБ (ой, а мы-то надеялись на гарантию 100% защиты за минимальные деньги). Может они плохо защищают? И тут обычно идут 2 варианта предложений: "а давайте откажемся от облаков вообще", "а давайте мы вам расскажем, как надо было защищать (да, используя наш лучший в Мире продукт)".

С другой стороны, стоит посмотреть и на цифры по рынку облаков хотя бы просто по России:
  • «Прогноз объема рынка облачных услуг в России в 2015-2020 гг., млрд. руб.». Источник: SAP СНГ, февраль 2017 г.
  • А согласно отчету IDC Russia Cloud Service Market, в 2016 году облачные услуги стали одной из самых динамичных областей ИТ-рынка в России. Общий объем рынка, включая публичные и частные облака, достиг объема $422,11 млн, что на 20,1% превысило показатели аналогичного периода прошлого года. Из них 63,4% приходится на SaaS (программное обеспечение как услуга). Вот ссылка на неплохую статью об этом на cnews

Получается, что пока мы ИБ-шники спорим и философствуем о безопасности облаков, бизнес их уже использует и будет использовать все чаще...

В своей презентации я приводил первые результаты небольшого опроса по Shadow IT (кстати, пройдите его - https://www.shadow-it.ru):
Получается, что подход "А давайте строить/использовать безопасные облака, сейчас мы вам расскажем про угрозы" уже не актуален. И нам пора думать в парадигме "Блин, облака уже используют. Теперь нам надо понять кто и какие, и как мы можем это контролировать".

Да-да, подумайте над этим...





Оцените материал:
Total votes: 60
 
Комментарии в Facebook
 

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.