Наш третий материал из серии, рассказывающих о том, как проходил форум Облачные технологии в России, сегодня посвящается второй и, на мой взгляд, одной из самых интересных пленарных сессий мероприятия- «Защита данных — современные вызовы безопасности». Специалисты в области защиты данных обсудили основные угрозы и пути их преодоления при построении облачной инфраструктуры и переходе компаний в public cloud. Дискуссия охватила, как вопросы соблюдения законодательства, так и технические аспекты мероприятий по защите данных, опытом которых поделились представители телекоммуникационных компаний, провайдеров и банков.
Участники:
Модератор дискуссии, Кирилл Запольский, руководитель разработки, Сбербанк-Технологии
Андрей Томиленко, управляющий директор, Big Data Host
Вадим Фролов, генеральный директор, телекоммуникационная компания «МедиаСофт»
Артем Федосеев, руководитель проектов, RUVDS
Дмитрий Краснов, начальник управления информационных технологий АКИБ «Образование» АО
Артем Пайзанский, отдел DMA и алгоритмической торговли, АО «ФИНАМ»
Поприветствовав гостей и спикеров, слово взял модератор, Кирилл Запольский, руководитель разработки, Сбербанк-Технологии:
— Пока наши спикеры выходят, я постарался подготовиться, может быть даже в некотором смысле помочь всем участникам. Я распечатал 152-й ФЗ, поэтому, если вдруг у кого-то будет желание его посмотреть, так сказать, сразу опереться на фактические данные, то можете поднять руку, я с удовольствием передам эти 25 страниц увлекательного чтения. Наверное, это все во вступительной части, наверное, уже нет смысла говорить, то есть уже тот период, когда все говорили, что защита данных это очень важно, прошел уже сейчас наверно, это уже все понимают. Нет смысла долго рассуждать на эту тему, поэтому мы постараемся, сразу перейти, наверное, к вопросам, дать высказаться нашим спикерам, ну и по ходу обсуждения обсудить все эти вопросы прикладные.
— Я немножко тоже скажу о терминологии, которую мы будем использовать, значит согласно закону 152, там есть такой термин, как «оператор персональных данных» — это компания или группа компаний, или человек, который хранит, получает, хранит, обрабатывает каким-либо образом персональную информацию о человеке, это может быть телефонные номера паспортов, фамилия, имя, отчество, ну в общем, любые данные, которые так или иначе имеют отношение к физическому лицу. Я думаю, что этот термин будет всецело использоваться всеми, и хотел бы, чтобы он просто был всем понятен. Давайте, наверное, тогда сразу задам вопрос всем участникам сессии: «Как именно Вам пришлось столкнуться с этим законом, потому что он касается многих аспектов обработки персональной информации, как именно Вам пришлось столкнуться с этим законом? Как Вы собственно его реализуете? Какие сложности, какие тонкие моменты из Вашей практики, которые вы встречали ввиду применимости 152 ФЗ?»
Дмитрий Краснов, начальник управления информационных технологий АКИБ «Образование» АО:
— Ну, давайте я начну, как представитель банка. Значит с точки зрения обработки персональных данных проблем особых никаких не возникает, возникает только то, что его меняли, его меняли несколько лет назад, достаточно часто, и была неопределенность. Когда закон уже, так сказать, стал более-менее постоянным, вопросов никаких не возникает. Информационная безопасность добавляет документов, вносит необходимые положения, с каждого клиента берется подпись на согласие обработки персональных данных, и процесс, в принципе, отлажен. На данный момент в банке все персональные данные, они хранятся во внутреннем облаке, то есть пока мы не торопимся переводить, так как инфраструктура у нас уже для этого подготовлена, готова, и дальнейших перспектив не видим, но сложностей тоже с этим никаких нет. Если передавать данные кому-то третьим лицам, на это тоже есть все бюрократические процессы, они все прописаны, даже более того, мы имеем несколько сервисов, которые продают нам другие вендоры, там, для физических лиц, оно находится у нас на обеспечении в другой компании. И никаких проблем с этим не возникает. Сколько проверок и Центрального Банка, и Роспотребнадозора мы проходили, и ФСБ, никаких проблем не возникает. То есть запрашивается определенный пакет документов, договорная база и все.
Андрей Томиленко, управляющий директор, Big Data Host:
— С точки зрения хостинг интернет-провайдера, провайдера облачных технологий, особых проблем тоже нет. Понятно, что при регистрации пользователь указывает свои некоторые базовые данные: фамилия, имя, отчество, e-mail, телефоны, но единственное требование закона, по сути – это прописать в оферте, что пользователь должен согласиться с обработкой персональных данных. При самой регистрации он подтверждает, что он согласен на обработку персональных данных, ну и все, и обязанность провайдера облачных услуг не предоставлять эти данные на третью сторону и обеспечить их сохранность. Вот и все.
Артем Федосеев, руководитель проектов, RUVDS:
— Добрый день, коллеги! Я хотел бы добавить следующую вещь, что основываясь на опыте работы с нашими клиентами нашего хостинга, один клиент, достаточно компетентный в области законодательства, затребовал от нас удалить свои личные данные и перед этим предоставить список целей, для которых мы эти данные собирали. Тут важно заметить, что в случае, когда идет работа с банком, как правило, это клиент «face to face», клиент, которого вы видите, он подписывает, бумагу, которую он, формально по крайней мере, должен прочитать, и он понимает, для чего эти данные обрабатываются. Когда, ну для того, чтобы вы, например, кредит получили, вас кредитное бюро должно оценить. Когда вы покупаете или арендуете виртуальный сервер, сбор, иногда, паспортных данных для клиента не очевиден. Зачем, казалось бы, на «виртуалку» за 240 рублей просить паспортные данные? Тем не менее, есть требования законодательства, которое заставляет хостинг провайдера хранить данные о том клиенте, который использует ваши условия, использует наши услуги, по той причине, что были случаи инициации атак, в частности на гос. ресурсы с хостинг-сервисов. Не буду называть, конкретно какие, но их достаточно много, и если вы изучите статистику атак, в частности, на банки, вы увидите, что порядка 10% это DDOS-атаки, которые, как правило, делаются тоже с неизвестных анонимных серверов, которые были куплены или взяты в аренду без каких-либо данных. И этот клиент, требуя показать, зачем мы собираем данные, был абсолютно прав, потому что 152 закон обязывает провайдера объяснить. И этот же закон обязывает любого оператора данных, даже если он формально в списке Роскомнадзора оператором данных не является, собирать только те персональные данные, которые достаточны для предоставления услуг, они не должны быть избыточными. И возникает такой тонкий момент, когда клиент от вас требует удаления данных, вы одновременно находитесь между двух огней: вы обязаны данные удалить, но при этом, у вас есть Роскомнадзор, ФСТЭК, ФСБ, который может прислать запрос к вам на фирму по подозрению в каком-то преступлении вашего клиента, вы обязаны предоставить все данные. Если вы не сохраните акт об уничтожении, в котором есть максимальный объем данных о клиенте по его запросу, вы можете стать потенциально даже соучастником преступления. Поэтому тут такой двоякий момент, что вроде как вы данные удалили, а вроде как они и остались, и вы обязаны их предоставлять, и об этом нельзя забывать, потому что мы, с одной стороны, живем в России, и чем больше данных вы о клиентах собираете, тем более безопасно, более спокойно вы спите. Вот почему коллега не хочет хранить данные Роскосмоса, потому что он спать хочет, не дай Бог, что-то с ним случится. Вот, здесь надо даже на маленьком уровне тоже надо учитывать. Грубо говоря, люблю приводить пример, что даже если вы владеете простой парикмахерской, которая записывает телефон постоянного клиента, фактически вы тоже регулируетесь этим законом, другое дело, что если вы не передали эти свои данные на сторону, вы не обязаны регистрироваться в установленном порядке. Вот такое замечание, по поводу того, как этот закон в целом вот на практике применим. Я, наверное, Вадима еще хотел бы послушать на эту тему.
Вадим Фролов, генеральный директор, телекоммуникационная компания «МедиаСофт»:
— Да, ну на самом деле, персональные данные, мы тоже являемся как провайдерами, то есть это, обосновать при регистрации любого логина, мы храним логин в соответствии фамилии или там юридического лица, и ну, контактные e-mail, контактные телефоны. Ну, то есть внедрялся, это мы отдавали на аутсорс, плюс дополнительно делали, ну как бы свои системы безопасности, ну это система контроля доступа серверов, где стоят, хранятся непосредственно сервера с персональными данными, ну системы видеонаблюдения. Обычно вопросы по этому закону возникают либо когда возникают конфликтные ситуации с клиентами, ну я так понимаю, что он просто хотел вас что-то заставить сделать, не более чем, я думаю, либо если произойдет утечка, ну там по безопасности ее украдут и опубликуют. И возникнет скандал, и тогда, наверное, будут возникать какие-то вопросы. А в целом, в принципе, закон для соблюдения достаточно нормален и прост, просто нужно стараться избегать каких-то конфликтных ситуаций, в других случаях люди, наверное, никогда об этом и не спрашивают, и не задумываются.
Кирилл Запольский (Модератор): — Я бы хотел просто немножко опять же вернуться немножко назад, когда готовился к сегодняшнему мероприятию, я наоборот прочитал очень много отзывов на счет того, что многим непонятно как работает этот закон, многим непонятны какие-либо аспекты, многие аспекты очень и очень расплывчаты, используют формулировки типа «достаточное, необходимое», то есть то что не дай Бог в суде может быть истолковано двояко. Вот хотел бы уточнить у участников, которые, как мне показалось, продемонстрировали весьма уверенное видение будущего своего относительно этого закона. Действительно ли там все так гладко? Действительно ли все формулировки этого закона понятны, все пункты легко исполнить, и единственное, что нужно – это следовать букве закона?
Артем Федосеев: — Просто сейчас мы занимаемся получением лицензии ФСТЭК и приходится в связи с этим достаточно дотошно изучать требования федеральной службы по техническому и экспортному контролю. Там действительно, очень много формулировок, таких что «ваши средства защиты должны обеспечивать достаточный уровень защищенности данных». Есть целый набор программного обеспечения или железа, по сути каких-то датчиков, которые при различном лицензировании, то есть можно получить на средства защиты конфиденциальной информации на разработку этих средств защиты. Если вы защищаете помещение, то у вас есть достаточно длинный список датчиков, которые до недавнего времени можно было вообще купить за рубежом, в связи с санкциями, в связи со всей этой ситуацией приходится обращаться только к российским аналогам, производство которых не на таком массовом уровне реализовано, во-первых, а во-вторых, качество, к сожалению, по словам тех же лицензиатов, оно уступает западным аналогам. Это при том, что западные аналоги так же сертифицированы ФСБ, поэтому есть определенные проблемы. И когда ты выбираешь из этого списка, ты вроде бы как делаешь достаточные усилия для работы, но при этом всегда есть возможность сказать со стороны регулятора, который будет тебя проверять ежегодно, что, по их мнению, этого недостаточно. Например, у вас 2 помещения, защищаемых, точнее одно основное помещение защищаемое, где находится база данных, а в другом у вас, например, стоит вентиляция, между ними есть труба, которая используется для прогона воздуха. Вот там есть целый список потенциальных датчиков, которые нужно поставить в трубу, для того, чтобы контролировать непередачу звуковой информации туда, не говоря уже, на мой взгляд, об абсолютно бредовых требованиях некоторых лицензиатов по защите от утечки по наводящимся лучам от ЭЛТ-мониторов, которые сейчас уже нигде не используются. И даже если ты их не используешь, они тебя могут заставить поставить этот датчик. И это, конечно же, является, на мой взгляд, скажу, может быть не очень официально, но это бред. Да, есть и формулировки от ЦБ, которые также достаточно расплывчаты, они вроде бы не запрещают, но в явном виде не разрешают. И формулировки «достаточно, хорошо», они очень похожи на западные законы, где законодатели исходят из общего уровня граждан, которые будут делать во благо другим гражданам. И они будут понимать однозначно фразу «хорошо». В нашей специфике, к сожалению, фраза «хорошо» может быть понята разными сторонами совершенно по-разному. Это, к сожалению, есть, на мой субъективный взгляд, это есть. И сейчас мы именно поэтому очень долго прописываем поэтому все моменты по лицензированию нашей компании, чтобы не попасть потом на такие вещи. Мое мнение вот такое.
Кирилл Запольский (Модератор): — Отсюда, я думаю, можно сразу вывести вопрос: «Сколько стоит вообще эта инфраструктура для хранения, чтобы соблюсти вот все, датчики поставить, то есть потому что, если говорить обычным людям про хранение информации, они думают, что это просто сервер, на котором там диск какой-то, да, и программное обеспечение, которое как-то защищает. Как оказывается, не совсем так. Сколько вообще, все это стоит? На сколько все это долго и дорого устанавливать?
Артем Федосеев: — Если мы говорим о защите дата центра, то только средства защиты информации, без производства средств защиту, то есть мы же не Касперский, мы же не программируем антивирус, то это ценник, минимум, от 1 млн. рублей, это прям, без изысков, без учета найма сертифицированных сотрудников, которые должны быть в компании. Мало того, сейчас еще возможно выйдет постановление Правительства о том, что эти сотрудники должны иметь руководящий опыт, предыдущий, то есть тоже возникнет коллизия, потому что где взять столько безопасников. Насколько я знаю, МГУ выпускает специалистов по защите информации на военной кафедре, там выпуск порядка 60 или 100 человек в год, плюс поток программистов на ВМК. Очевидно, что такие объемы, они в других ВУЗах еще меньше, они не обеспечат отрасль нужным количеством специалистов, поэтому вот тут тоже есть такой момент, что они грозятся принять подобное постановление. От миллиона это прям минимум, а дальше от фантазии зависит. На этом строится целый бизнес, там очень большие объемы денег могут быть.
Дмитрий Краснов: — Давайте я добавлю, мы как банк, каждые 5 лет проходим переаттестацию ФСБ, и вот последняя переаттестация, она была год назад, и в принципе, никаких особых проблем не вызывала, да, вот правильно Артем сказал, у нас есть такое помещение, сервер, да оно действительно аттестовано, подготовлено, стоят все эти датчики. И вложившись в эту структуру один раз, мы спокойно проходим переаттестацию. Но бывает, да, они выносят некоторые замечания, связанные с техническим или с обеспечением доступа, но они все дают время на их устранение, так что не стоит этого бояться. И я не думаю, что это какая-то большая проблема, с другой стороны, долго, да, зато потом у вас будет документ, которым вы будете привлекать всех клиентов.
Артем Федосеев: — Вот получение лицензии ФСТЭК, в целом, на мой взгляд оно более целесообразно, чем получение западной лицензии, при всем уважении к страшим западным партнерам, по той причине, что потребителей услуг с подобной лицензией значительно больше, те же банки, те же брокеры. Одно дело перевести на облако какие-то данные клиентов, возможно даже обезличенные, или хранить там какую-то часть бухгалтерии, другое дело, когда у нас есть полностью лицензия, мы можем буквально продублировать всю инфраструктуру, до 80% брокера или банка. И естественно ценник там не будет такой как для розничного клиента за сервер там за 200 рублей. Конечно, все эти затраты, они будут отражены в ценах, но тут как раз баланс такой, что клиенту не нужно содержать инфраструктуру. Это значительное преимущество перевода из CAPEX в OPEX, при этом быть уверенным в том, что контрагент отвечает за свои действия и у него есть лицензии, и в случае какого-то провала он отвечает за это не просто там какими-то словами, что мы друг друга знаем, все будет хорошо, а у него и лицензию отзовут, и денег он лишится. Но и в целом получение лицензии это уже год времени, то есть это жалко. Поэтому, когда уже кому-то есть что терять, особенно тому, кто деньги получает, в данном случае это поставщику услуг, это уже более надежная схема работы.
Кирилл Запольский (Модератор): — Хотел еще тоже уточнить, насколько трудоемкий процесс получения всех этих лицензий, как вообще долго, сколько документов для этого требуется, сколько человек и дней, часов нужно провести, изучая акты, чтобы все это дело получилось?
Дмитрий Краснов: — Правильно сказал, около года. Мало того, что изучение актов, нужно еще подбирать специалистов, и следить за их сертификатами, чтобы они соответствовали, у них было образование. Это достаточно тяжелый процесс.
Кирилл Запольский (Модератор): — Нужно понять сразу, что такой процесс доступен только большим компаниям, банкам, специализированным институтам.
Артем Федосеев: — Грубо говоря, если компания такой лицензией обладает, то уже явно не однодневка, как приводил пример Никита, что дата-центр вроде как был, а на следующий день его не стало, то есть это уже другой уровень отношений. А тут есть просто еще такой момент, что естественно, чтобы получить лицензию, вы нанимаете юридическое агентство, которое помогает вам пройти все этапы, для того, чтобы не изобретать велосипед заново. Но к сожалению, в нашем городе, по крайней мере, есть агентство очень известное, я не буду называть его, кто будет искать информацию, найдет, которые берут деньги за то, чтобы ты сам это все изучил, при чем берут деньги немалые. Поэтому даже когда вы собираетесь получать лицензию надо тоже подходить к выбору юридической конторы очень хорошо, очень тщательно, по той причине, что по сути они должны вас научить правильно работать, а не говорить, что вот здесь вот ссылки на законы, изучайте, мы с вас просто денег возьмем за то, что отправим за вас письмо в ФСТЭК. Они должны нести обучающую роль, в частности, как правильно работать. Вот такой момент еще.
Кирилл Запольский (Модератор): — Хорошо, мы получили инфраструктуру, мы получили лицензии, как дорого стоит все это дело поддерживать, потому что известно, что стоимость поддержки, каких-то IT-решений и лицензий может быть как раз, обучение персонала нового, если вдруг человек у нас уволился, ушел, пришел новый. Как в процентном соотношении это? Насколько дорого поддерживать всю инфраструктуру и вообще, насколько часто меняются требования к этой инфраструктуре и как дорого всё это дело обновлять?
Дмитрий Краснов: — Мне, как банку, поддерживать такую инфраструктуру нужно не только для соблюдения закона о защите персональных данных, у меня достаточно много требований других регуляторов, они, в принципе, под одно помещение подходят. Мне действительно это нужно у себя в организации иметь. Другое дело тем организациям, которым это не нужно и которые озабочены только сохранением персональных данных. Им, конечно, будет выгоднее в облако разместить. Я, честно говоря, не считаю такие цифры, потому что мне считать это не нужно. Мне это нужно просто делать. Вот и всё.
Артем Федосеев: — Собственно, мы то ещё только получаем, но я исхожу из того, что само наличие лицензии не должно быть определяющим фактором в плане отношений с клиентом. Есть определённые моральные нормы, этические нормы. Я понимаю, что если буду с клиентом, которому ФСТЭК не нужен, обращаться как не с клиентом нормальным, т.е. отдавать его данные, не следить за этим, не защищать, то у меня бизнеса не получится. ФСТЭК — это как некий диплом у человека, некая марка, которая показывает, что ты о чём-то соображаешь и, в целом, можешь вести бизнес. Но это не достаточное условие для работы. Можно и без этой лицензии работать по нормам ФСТЭКа в целом, чтобы клиент был доволен и понимал, что это нормальные люди. Вообще в целом, независимо работаешь ты в Брокере, работаешь ты в Хостинге, клиенту важно иметь обратную связь с компанией. Т.е. если он понимает, что компания к нему относится как к недочеловеку, то ему не важно лицензия у тебя или нет. А если у тебя нет лицензии, но ты при этом чутко реагируешь на каждую просьбу клиента, то успех скорее придёт.
Кирилл Запольский (Модератор): — Хотел бы спросить немного про то, собственно, от чего мы защищаемся? Какие самые распространённые типы атак и что вообще пытаются сделать с инфраструктурой? Т.е. каким-то образом расшатать, достать оттуда данные, скомпрометировать. С чем, чаще всего, сталкиваетесь вы, как специалисты в этой области?
Дмитрий Краснов: — У меня самый большой риск — это подмена платежа. Т.е. у меня риск не то, что мои данные уведут, а то, что их изменят. И все действия, которые мы строим по безопасности, они направлены на то, чтобы избежать данного риска. Два года назад ещё были атаки на дистанционное банковское обслуживание клиентов. Именно клиентов, т.е. подменяли платежи. И мы с этим достаточно успешно поборолись, обязав всех использовать вторичную авторизацию, либо СМС, либо другие технические средства. И сейчас таких атак достаточно мало. Но злоумышленники больше нацелились на инфраструктуру банка и, в частности, на ту машину, которая находится на связи с Центральным банком. И приходится их полностью изолировать от сети интернет, т.е. разделять две сети: сеть, которая по работе с АБС-кой с Центральным банком и сеть, которая имеет доступ в интернет. Но вот тут тоже большие проблемы возникают как это всё разделять, если мы у себя оставляем доступ в интернет, теоретически, конечно, злоумышленник может проникнуть и подделать как-то платёж. Вообще, это действительно очень большая проблема и Центральный банк, даже, это признаёт. И в СМИ есть информация про такие взломы, которые осуществлялись, так что, это действительно большая проблема. Даже когда завладеют хотя бы одним компьютером сети банка, это уже огромный риск для бизнеса банка. Не для клиентов, а именно для бизнеса банка.
Артем Пайзанский, отдел DMA и алгоритмической торговли, АО «ФИНАМ»:
— Я, в основном, работаю с клиентами. Я, как представитель брокера, предоставляю клиентам прямой выход на биржу. У нас есть сервер, который ребята обслуживают в зоне коллокации, также мы пользуемся серверами в их дата центр. И клиенты больше всего интересуются как там защищены данные, проходят ли какие-то атаки. Они волнуются за свои стратегии, за своих роботов, которые пишут. Они понимают то, что выходят на другой уровень. Очень переживают за это региональные клиенты, потому что они понимают, что скорость их торговли улучшается во много раз, потому что сервера уже стоят ближе, не в Челябинске. Их ноутбук посылает сигналы напрямую на биржу, а даже из дата-центр ребят. Это не большие деньги для них и они спрашивают как защищаться, от чего защищаться. В принципе, мы уверены, что вся защита есть. Некоторых DDOS-ят, маленькое число клиентов, но DDOS-атаки проходили. Успешно всё было отбито. С вирусами, пока что, даже не приходилось сталкиваться, никто на эти компьютеры не проникал. Есть защита абсолютно разная, как и по ip-адресам, как говорила Лада, по портам. В принципе, проблем особых нет. Может быть они есть у ребят, но мы их не замечаем, в основном.
Вадим Фролов: — Проблемы они действительно есть и они, в первую очередь, падают на дата-центр. Первая самая из атак, это когда UDP-флуд, но UDP-флуд, так называемый, когда пытаются забить входные каналы, которые приходят, непосредственно, к интернет провайдеру дата-центра. В первую очередь нужно определить атакуемый ip-адрес, заблокировать его, для того, чтобы не страдали соседи либо по облачной инфраструктуре, либо по самой стойке в целом, либо в целом сам дата центр. После, когда определён IP-адрес, тогда уже предпринимаются меры уже по какой-то индивидуальной защите данного абонента. Т.е. IP-адрес, как правило, сразу же блокируется, потому что, в принципе, в дальнейшем его использовать какое-то время смысла нет, потому что он известен уже атакующей стороне. И они постоянно будут предпринимать атаки. А далее уже необходимо понимать, насколько самому абоненту необходима эта защита. Т.е. какой это клиент, с технической точки зрения преодолеет эту защиту дополнительными средствами либо аппаратными, либо программными. Это всё возможно. Далее уже нужно понимать нужно это клиенту или нет. Если, допустим, это банк и кто-то атакует сервер, где находится непосредственно клиент-банк, то там, конечно, банк уже сам понимает, что защита необходима и далее уже необходимо индивидуально работать. Если это просто абонент, который не готов тратить деньги на это дело, то тогда обычно мы рекомендуем уйти на аутсорсинг, на какие-то недорогие сервисы, которые непосредственно это предоставляют. Мы как дата-центр в основном сталкиваемся, если это не корпоративный, а розничный клиент, то там обычно кто-то на кого-то обиделся, кто-то кому-то что-то недоплатил, либо какой-то игровой сервис, тут уже соответствующие вещи. Корпоративному сектору всегда рекомендуем непосредственно прямые соединения, свои автономные системы, несколько интернет сессий с различными операторами, для того, чтобы было какое-то поле манёвра. Либо как на базе компаний RUVDS, они непосредственно разделили общие клиентские услуги и зону риска, тех, кого непосредственно атакуют. Для этого были сделаны дополнительные резервные каналы, дополнительные резервные маршрутизаторы, т.е. если какого-то абонента начинают атаковать, то он переносится в зону фильтрации, потому что атака — это всегда зона риска, любой клиент, которого атакуют даже когда ему помогаешь, это всегда зона риска, его нужно, в первую очередь, изолировать и отделить. Поэтому это всё сразу выносится на отдельное оборудование и там уже работают непосредственно с тем, кого атакуют.
Артем Федосеев: — Я бы хотел добавить, то, что Вадим сказал, да, мы запускали второй канал, по известной причине. Дмитрий знает, что была там одна техническая задача, которая затребовала нам немного видоизменить инфраструктуру. Но она вполне успешно реализована. Я хотел сказать, атаки с нашей стороны, точнее не то, что мы атакуем, а вот именно как мы смотрим на весь этот процесс. Конечно, нас это касается в меньшей степени. Нас интересует больше DDOS-защита, потому что мы свои ресурсы защищаем таким образом и предоставляем защиту клиентам. Проблемы вирусов или каких-то атак, типа нулевого дня, они не так для нас актуальны. В том плане, что за своё ПО у нас отвечает клиент, потому что не можем и настраивать за него и быть экспертом в каждом типе программного обеспечения. Это не наша роль. Естественно, клиент отвечает за это сам. С нашей стороны больше задача — ограничение деятельности недобросовестных клиентов, когда с наших серверов проводятся атаки на клиентов. Как я приводил пример, что с одного из серверов был атакован гос. ресурс, к сожалению, ФСБ очень медленно реагирует, атака была в январе, запрос они прислали в мае. В то время у нас был семидневный тестовый период, клиент в течении 7 дней бесплатно использовал ресурсы. Естественно, мы учли требования ФСБ, мы контролируем, стараемся. Естественно, мы не имеем права зайти на сервер, мы можем фильтровать только трафик. Если мы видим, что деятельность клиента потенциально вредоносна, то мы связываемся с этим клиентом и пытаемся выяснить, чем он занимается. Это наша основная проблема. Я всё думал по поводу защиты вообще банковской, особенно, структуры и на опыте предыдущей моей работы в брокерской компании, я помню, что мы внедряли антифрод защиту с помощью американской системы IOVATION. В чём она заключается. Клиент при регистрации, авторизации в личном кабинете, в данном случае в интернет-банке, например, на его машине собирается черный ящик из данных о клиенте, всё что можно собрать. Это всё настраивается, гибко. Все данные передаются обезличено, естественно, с помощью шифрования, на сервера антифрод системы. Она сопоставляет данные клиента, данные устройства с теми данными, которые были зафиксированы как мошеннические, вредоносные и т.д. Сейчас у нас такая система создаётся, насколько я знаю, с помощью Центрального банка, она год назад была запущена, называется ФИНСЕРТ. Она буксует. Как я понимаю, что к ней не так много банков подключено. И есть определённые сложности ввиду консервативности банков, передачи данных о клиентах. Я вот, в особенности в связи с предложением, создать какую-то саморегулируемую организацию по облачным провайдерам, у меня возникла мысль, что было бы классно создать какой-то общий сервис, который бы мониторил таких клиентов не только в плане банковского взаимодействия, с брокерами. А вот к примеру, у нас есть список клиентов, которые были уличены в том, что они занимались взломом паролей. Наверное, банку было бы интересно знать, что его потенциальный клиент, который хочет взять у него кредит, занимается подбором паролей или пин-кодов или ещё чего-то. И не ограничивать эту систему тем, что вот только банки наша песочница и всё, а объединять. Греф, он же не просто так в Сбербанк пришёл, точнее Яндекс в Сбербанк пришёл, он же получил доступ к биг дате. И все понимают, что если ты в Яндексе упорно ищешь схему невыплаты кредитов, то наверное, Сбербанк, потом, как-нибудь об этом узнает и кредит тебе не даст. И здесь сделать тоже самое. Только делать не с той подачи, что сверху сказали сделать, а именно с низов пройти путь. Может, мы потом в кулуарах поговорим на эту тему, просто создать такую организацию и начать. Самая проблема в том, чтобы начать. Такую систему я искал и не нашёл, она есть именно в банках. А брокеры никто не защищён от этого.
Дмитрий Краснов: — Я вам могу сказать, что такая система есть, но она не официальная. Потому что официально, конечно, мы опираться на эти данные никак не можем, это мнение «кого-то», потому что клиентам отказать по Конституции мы никак не можем. Но да, есть положительные клиенты и анализ такой проводится. А FinCERT– это немножко другое дело. Он координирует действия по борьбе с мошенниками, а систему он никакую не создает. Они хотели, но пока не стали. И если это FinCERT будет делать, то это еще несколько лет. У них достаточно слабая техническая база в этом плане, они пока смотрят формат. Я Вам могу сказать, что то, что вы сказали про сигнатуры и антифродовые системы, это сейчас все встроено в поставщиков, в программное обеспечение, у них внутренняя система, и они точно такими методами действуют, только не глобально, между собой обмениваясь, а в рамках своей системы. Ну что, в принципе, тоже правильно.
Артем Федосеев: — Просто хочется, чтобы информация обо всех была.
Дмитрий Краснов: — Да, да, да. Но вы же понимаете, что обо всех невозможно рассказать и поделиться, это как раз коммерческая тайна уже будет, а не персональные данные. Кто- то еще?
Кирилл Запольский (Модератор): — Но вот, в частности, зашла речь про DDOS-атаки, и так далее. Андрей, может будет что-то добавить по поводу защиты от DDOS-атак, как раз как именно изолировать клиентов, на которых происходит атака?
Андрей Томиленко: — На самом деле коллеги достаточно подробно осветили этот вопрос. То есть провайдеры, в основном, сталкиваются с двумя проблемами: первая- его клиенты могут подвергнуться DDOS-атаке, а вторая – его сервера могу быть использованы для организации DDOS-атаки. Ну, собственно, в обоих случаях мы используем фильтры трафика, которые позволяют выявить подобного рода клиентов. И для защиты этих клиентов мы также можем использовать и внешние сети, и дополнительные какие-нибудь арендуемые ресурсы. Но, собственно, Вадим этот вопрос подробно осветил уже.
Кирилл Запольский (Модератор): — С точки зрения облачников-людей, людей которые занимаются облачными технологиями, наверное, больше вопрос к Артему… Как сложно вообще организовать, ну понятно, что у вас есть инфраструктура серверов, на каждом физическом сервере, получается так, крутится много-много разных клиентов. И вот происходит атака на одного, да? И у вас на это может лечь какая-то большая часть инфраструктуры и повлияет на клиентов вокруг. А насколько часто это случается? Действительно ли все можно сделать тоньше, быстрее, выключить клиента, на которого происходит атака? Т.е. на сколько вообще сильно ваша инфраструктура подвержена именно тому, что находиться какое-то слабое звено и оно может повлиять сильно на вашу работу.
Артем Федосеев: — У нас, к счастью, сами сервера никогда не ложились от атаки на одного клиента. Как правило, это происходит, вот как Вадим правильно говорил, особенно подвержены атакам игровые ресурсы, вот всякие WarCraft, Counter Strike и прочие ребята. Они зарабатывают деньги на очень конкурентном рынке и часто их ресурсы, действительно, попадают под атаку. Если такой клиент атакован и он не использует нашу защиту от DDOS-атак, то его ip-адрес в течение пары минут фильтруется, к нему блокируется доступ, атака прекращается. Соответственно, сервер, физическая единица, все остальные клиенты, они могут увидеть какой-то лаг в плане понижения скорости, потому что канал забивается, но это краткосрочное явление, после блокировки адреса все проходит в автоматическом режиме. Если клиент воспользовался, купил DDOS-защиту Мы ее продаем порционно там от 0,5 мегабит, кому то ее хватает, если у вас там какой-то небольшой сайт, и, в принципе, не огромная посещаемость, этого трафика хватает. Например там, к крупным игровым ресурсам кто-то берет и по 5 мегабит защиту. Что представляет собой защита — это аналитическая защита, которая позволяет не блокировать ip- адрес, а, именно фильтровать входящий трафик, и на заявленной скорости доносить до серверной единицы именно чистый трафик. В этом случае, как правило: ну на моей памяти не было такого, чтобы клиент, который пользовался DDOS-защитой, из-за DDOS-атаки лег. Пока у нас очень хорошая в этом плане практика работы. Ситуация, когда ложиться весь сервер- это уже форс-мажор. Такого у нас не было, я надеюсь и не будет, потому что все-таки как раз для этого вся эта структура и выстраивается, чтобы не допустить подобного.
Кирилл Запольский (Модератор): — Спасибо большое. Вопрос тоже такой. Как бы имеет две стороны. Со стороны клиента, и со стороны людей которые предоставляют услуги облачных технологий. Какие требования по сохранности данных предъявляются со стороны клиентов, это вопрос к участникам, которые покупают услуги облачных технологий. Что важно для вас, на что именно вы смотрите, какие именно технические вопросы вы задаете, какой уровень копирования, скорость восстановления данных для вас, в принципе, приемлема, то есть с чего вообще можно начать разговаривать. Со стороны облачных провайдеров – что именно вы можете предложить клиенту при таком его вопросе. Я немножко поясню, потому что мы много говорим про инфраструктуру, да, хотя тема нашей секции это защита данных. Сейчас, в принципе, защита данных такова, что может быть иногда даже гораздо больнее компании просто потерять данные, чем они как-то попадут в публичную плоскость. То есть понятно, что кража данных и публикация – это огромный ущерб компании, но по крайней мере, часть клиентов может остаться, потому что подумает «ну с кем не бывает», всех в конце концов ломают. А вот если вы потеряете данные клиента, я думаю, что большинство клиентов просто возьмет и уйдет, поэтому, наверное, сохранность данных тоже очень важный аспект защиты информации.
Артем Пайзанский: — Да, сохранность данных очень важна, несколько клиентов ко мне приходило, с проблемой, то, что написали стратегию робота, ноутбук сломался – все. Спросили про наш сервис виртуальных машин, мы собственно перепродаем услуги компании RUVDS, там есть «бэкапы», можно вернуть обратно всю систему, и люди уже больше, они даже не все спросили про «бэкапы», они просто больше уверены, что если они передадут эти данные кому-то другому, то они там будут в сохранности, не надо следить за железом, не надо следить за старым жестким диском, эти данные лежат где-то в дата центре, в Москве, мы доверяем Москве, там данные будут в целости и сохранности. И мы ребятам верим и знаем, что данные в случае чего можно восстановить, все гарантии нам были предоставлены. Одна из причин почему мы к ним пошли – качество канала, канал проверял, ну собственно, интересует канал до биржи, вайршарком тестировал, канал чистый. Потерь ретрансмитов минимальное количество. Это был один из важных шагов, хотя это обычный интернет канал даже, а не выделенный.
Дмитрий Краснов: — Ну а мне как банку скорость передачи не так важна как… не так существенна как у вас. Но и, естественно, интересует больше надежность. Надежность предоставления определенных сервисов. Ну а то что можно потерять данные, ну сейчас потерять данные надо ухитриться на самом деле, потому что и разворачивать в облаке, и не иметь бэкапов у себя, ну это глупо, и мне кажется, это все умеют. И вот что говорите, что доверяю третьим лицам, нет, не доверяю. Естественно и при размещении в облаке у меня будет бэкап, готовый развернуться в другом облаке на случае чего.
Кирилл Запольский (Модератор): — Проверяете ли когда-нибудь, действительно, возможно все сейчас так думают, ну, это же облако, там все хорошо, в любом случае сможем остановиться. Потом вдруг оказывается, что вот, ну знаете, именно вчера мы вашу машинку не забэкапили. То есть как сказать, не знаю, fat fingers, происходят какие-то проверки со стороны клиента, потому что вам же нужно как-то спать спокойно и быть уверенным что это действительно так а это не просто какие-то слова которые вам сказали сейлзы при продаже продукта.
Дмитрий Краснов: — Если в договоре не будет разделения ответственности, то ответственность за сохранность данных будет лежать на мне. У вас такой ответственности не будет, вы ее не возьмете, я правильно понимаю?
Артем Федосеев: — Смотрите, обычно это регулирует простым SLA, то есть естественно, хостер, будь он даже небольшим дата центром, ну предположим, возьмем, к примеру, дата центр, который продал Павел Дуров, там сделка была на миллиарды. Даже если бы он взял на себя данные Сбербанка и потерял бы их все, то чтобы он отдал? Что Сбербанк может с него взять? Ну возьмет он с него дата центр, Сбербанк что будет делать с этим дата центром? Тоже самое как с обеспечением по ипотеке, да? Вам клиент не выплатил ипотеку- вы забрали у него квартиру. А что банк с этой квартирой будет делать? Не профильный актив. Поэтому здесь естественно все начинается с самого дата центра. В том плане, что дата центр должен иметь как минимум несколько провайдеров связи, несколько линий электропередач, второй момент это даже если все линии передач эти лягут, у него обязательно должен быть дизель генератор, и не один. Помимо ИБП, которые обеспечивают стабильность работы при переключении на дизельный генератор. Давно известно рейд система, это еще когда все учились, знали, что в случае выхода какого-нибудь диска это не смертельно, потому что рейд обеспечит сохранность данных. Как правило для большинства retail клиентов этих мер достаточно, потому что среди сидящих здесь, банкиров крайне мало. Но банку этого мало, он как минимум должен иметь полный бэкап системы, при чем не так что там раз в неделю бэкап делается, а достаточно часто. Второй момент. Если бы я был банкиром, я бы у себя в банке имел небольшую стоечку, которая в случае прям невероятного сценария, выхода из строя каких-либо процессоров которые никогда уже не горят, то есть, есть поговорка что луна скорее сойдет с орбиты чем Intel сгорит. Я все равно у себя имел бы пускай старенькую машинку, которая имела бы на себе этот бэкап и в случае чего, пускай медленно, но она бы работала. Потому что мы как бы говорим про перепродажу облигаций, основанных на страховках. Мы делаем все возможное и невозможное, чтобы эти данные никуда не делись. Но все равно лишней страховки не бывает. Поэтому здесь надо подходить фундаментально, особенно если у вас стратегический бизнес. Надо в этом понимать клиента, когда он говорит, что «я буду иметь у себя резервную копию», это не значит, что он нам не доверяет, он просто понимает, что мера ответственности, она ограничена. Вот как-то так.
Кирилл Запольский (Модератор): — Иногда, наверное, бывает, когда маленькая машинка у себя в офисе не спасет. То есть у нас есть, например, база данных транзакций на 1,5 терабайта, для начала. Очевидно, что маленькую машинку на 1,5 терабайта поставить уже, наверное, не получится. Данных же может быть очень много, огромное количество. Мы до сих пор видим экспоненциальный рост количества информации, которое хранится в наших системах, потому что мы хотим хранить еще аудит какой-то, хотим хранить все транзакции, мы хотим хранить все исходные, все айпишники, все запросы пользователей, то есть данных огромное число. Действительно ли можно решить эти вопросы бекапирования всегда руками, или все-таки облачная платформа, облачные провайдеры действительно как-то резервируются так, что перегоняют данные в соседний ЦОД, потому что ЦОД может просто сгореть, например, или не дай бог очень большой катаклизм, взрыв теплотрассы, что угодно? Инфраструктурно как обычно эти вопросы решаются?
Дмитрий Краснов: — У меня как у банка есть собственный ЦОД, он не такой большой, 4 сервера, они в принципе потянут. По положениям я должен восстанавливать работоспособность банка, даже в случае краха, за один день. И, конечно, у нас есть и генератор, и рейды, но за этим надо следить. А в текущей деятельности генератор может не завестись, если его не завести, он может сломаться – об этом никто не узнает, кондиционер может сломаться – о нем никто не узнает. То есть действительно, это очень сложно. В реальной жизни есть один ЦОД, который вы настроите, и он будет рабочий, и есть резервный: на который вся ваша инфраструктура, раз в день, или по необходимости, копируется. Это просто два разных облачных провайдера. По-моему, это прекрасное решение. Если бы сейчас я строил структуру с нуля, я строил бы именно так. Сейчас предложения, которые есть по резервному ЦОДу, они достаточно конкурентные, это включаешь, загоняешь данные, выключаешь машину – она на паркинге стоит не так уж дорого.
Кирилл Запольский (Модератор): — Что при покупке облачных решений чаще играет роль? Дмитрий уже освящал немножко этот вопрос, может быть другим участникам уже больше. На что в первую очередь обращаете внимание? На стоимость? На качество? На наличие лицензий? На то, как долго компания на рынке? На отзывы какие-то может быть опираетесь? Каким образом можно анализировать поставщика облачных технологий?
Артем Пайзанский: — Наверное это немного личностное. Когда мы выбирали поставщика, мы знали, что ребята уже сталкивались с московской биржей. Они знают приблизительно наши требования. И это, конечно, сыграло свою роль. Далее посмотрели на качество, протестировали на узком круге людей, на каких-то роботах. Второе это было качество. И в конечном итоге – скорость. Но она просто была и ничего нельзя было сделать. Цена, в принципе, интересовала в последнюю очередь, но она стала тоже очень приятной. И дальше при сотрудничестве она становится все лучше и лучше. Мы планируем дальше развиваться. Переносить какие-то свои системы. Уже одну базу начали переносить. Очень удобно работать. С каждым днем все лучше и лучше. Мы как молодой развивающийся отдел, у нас пока не так много людей, потребности появляются уже внутри отдела, а не только по распространению клиентов. Мы уже планируем сами пользоваться.
Артем Федосеев: — Я от хостера хочу добавить. С чем обращаются к нам клиенты. Вообще, почему они к нам приходят. Есть на Западе такой распространенный термин, как восстановление бизнеса в случае схода земли с орбиты. То есть любая компания должна иметь план по максимально быстрому восстановлению всей инфраструктуры. По какой причине это сложно сделать, когда у тебя своя инфраструктура? Она у тебя вышла из строя, ты позвонил поставщику оборудования, купил, настроил, прошло неприемлемое количество времени до реального запуска бизнеса заново. Когда у тебя облачное хранилище, в облаке работают сотрудники, в облаке происходят все транзакции, вся работа, и это облако дублировано, то мало того, что ты свой бизнес поднимешь не моментально, но намного быстрее, чем со своей инфраструктурой, так ты и бизнес свой можешь релатировать как хочешь. У нас очень много, как мы говорили на предыдущей сессии, клиентов. Они фрилансеры, которые не имеют никакого рабочего места, в частности вы знаете пример банка, у которого один офис в разработке, ни одного отделения. И, представляешь, если они уйдут полностью в облако, какая свобода мысли будет у владельца этого банка, он сможет хоть с Антарктиды бизнес вести. Вместе со всей командой. В этом еще большой плюс. Понятно, что есть баланс между тем, что можно туда отдать, что нельзя, всегда будет такая проблема. И я как хостер хочу поддержать Андрея Листопада. Мне не нужны все данные клиента, потому что я хочу жить спокойно и не переживать об этом. Но такой аспект еще нужно учитывать: мобильность бизнеса (как бы не выступали антиглобалисты, глобализация идет), и бизнес должен быть более мобильным, более быстрым, и именно облачные технологии им позволяют такими быть. Этот аспект надо тоже учитывать.
Кирилл Запольский (Модератор): — Вопросы из зала если есть какие-то- можете задавать их сейчас.
Евгений Салтыков, руководитель проектов, Ланит:
— Салтыков Евгений, добрый день. Вопрос такой: по РТО/РПО вашего облачного пространства. Если происходит крах метеорита на Москву, когда я смогу восстановить свое решение?
Артем Федосеев: — Если метеорит упадет на Москву, то мы, наверное, здесь сидеть не будем, и вам это будет не интересно.
Евгений Салтыков: — Я буду на Байкале, допустим.
Артем Федосеев: — Для этого вы должны изначально позаботиться о том, чтобы физически ваши данные были в разных географических точках. Можно привести пример FOREX брокеров, которые распределяют свои дата центры географически. То есть вы, когда будете торговать с ведущими брокерами мира, будете видеть, что у вас один дата центр в Великобритании, другой в России, третий в Дании, четвертый в Америке и еще где-то. Только такая структура вам однозначно позволит все восстановить. Если у вас все яйца в одной корзине, на Москву упал метеорит, а у вас информация в разных ЦОДах по Москве, боюсь, вы их не поднимите. Если у нас упадет, то у нас, максимум, проблемы были со связью пол часа или около того. Падения сервера у нас не было, резервная копия поднимается с hdd-шного диска в рамках 15 минут, с SSD-шного – еще быстрее. С SSD практически моментально восстанавливается.
Евгений Салтыков: — Вопрос, на самом деле, про территориальное распределение. Где находятся ваши ЦОДы что вы можете себе это позволить?
Артем Федосеев: — Конкретно у нас ЦОД один в Москве. Это задача клиента продумать это. Мы не можем думать за каждого клиента, тем более, грубо говоря, впаривать ему распределить свою структуру по разным ЦОД-ам. Не всем это нужно. Мы можем быть одним из звеньев, 1,2 или 3им.
Евгений Салтыков: — Почему бы не рассматривать это как сервис?
Артем Федосеев: — Это инфраструктурные вложения. Как мой коллега Никита сказал, нашей компании чуть больше полугода. Мы были бы рады получить средства на такие инфраструктурные вложения. У нас, более того, есть просьбы сделать дата-центр на Дальнем Востоке, потому что наши цены привлекают клиентов из Китая, которые даже русский не понимая, просто видят цифру за сервер и говорят: «Мы хотим такой сервер, потому что в Москве у нас работа стоит дешево, и хотим такую же на Дальнем Востоке. Сделайте нам дата-центр». Но дата-центр это очень много денег. Поэтому, наша стратегия – это распределенность. Мы будем к этому идти. Это следующий шаг наш. Но это не бывает одномоментно. За полгода нашими партнерами стали Huawei, банки, брокеры. Это и так мы работаем почти круглосуточно. Это очень тяжело так сделать сходу.
Евгений Салтыков: — Получается, что современного решения для такого вызова, как катастрофоустойчивость решения на большие расстояния нет?
Артем Федосеев: — Оно потенциально есть. Если вы услышите предложение создать саморегулируемую организацию, оно как раз в том и есть, чтобы перейти от конкуренции к предоставлению услуг клиенту объединенным фронтом. Грубо говоря, если клиент видит, что в саморегулируемой организации есть дата центр с Дальнего Востока, с Урала, с Москвы, то, наверное, он будет размещать у них свои данные, понимая, что они в одной упряжке, у них одни ценности. К этому нужно идти, это даже более реалистично, с точки зрения денег. Потому что изобретать заново велосипед за всех остальных тоже сложно и дорого.
Кирилл Запольский (Модератор): — Как в России глобально расположены ЦОДы? Потому что мы сейчас затрагивали аспекты территориального разнесения инфраструктуры между Москвой и Владивостоком. Анализировались ли вами, где в России основные ЦОДы расположены, какой вектор развития у этого вопроса? Строятся ли ЦОДы в средней полосе, на Дальнем Востоке? Кому это вообще интересно? Насколько это выгодно всей этой области?
Вадим Фролов: — В основном ЦОДы в Москве, на втором месте – Питер, основная проблема – на Дальнем Востоке, я этим не занимался, но я так понимаю, это оптический канал, откуда он придет: либо он придет сразу откуда-то из-за границы, но протянуть оптику от Москвы до Владивостока возможно она есть, вопрос в том, сколько это будет стоить. Плюс, как дотянуть этот оптический канал до самого дата-центра, это должна быть не одна оптика, а несколько. Либо скорей всего во Владивосток это должно прийти из Китая или из Японии.
Кирилл Запольский (Модератор): — А с Китаем не будет проблем по поводу китайских firewall?
Вадим Фролов: — Я не могу этого со всей уверенностью сказать. В Москве в основном вот так.
Кирилл Запольский (Модератор): — Может кто-то из коллег подскажет? У меня есть полная уверенность что между Москвой и Владивостоком есть оптико-волокно.
Артем Федосеев: — Оно, естественно лежит, там же не просто так космодром то построили.
Вадим Фролов: — Она лежит, вопрос в том, за какие деньги вам разрешат им пользоваться. В Москве какая никакая конкуренция есть, здесь вам разрешат это сделать по каким-то приемлемым ценам, а там – сами понимаете.
Артем Федосеев: — Так сложилось, исторически и географически что экономическая деятельность у нас вся в центре. Не зря же говорят, что вся Россия кормит Москву, и прочие вещи. Экономически целесообразно размещать подобную инфраструктуру здесь. Были разговоры о том, что в Казани сделают дата-центр для наукограда, который под Казанью строится, то же самое в Сколково. В Сколково дата-центр Сбербанка, по-моему. Очевидно, так как экономическая жизнь вся идет в центре страны, оно все здесь и расположено. За счет этого понятны протесты восточной части нашей страны, которые обделены этой инфраструктурой. И эти разговоры, чтобы запустить биржу для Дальнего Востока, космодром, другие стройки, они потенциально, помимо самих этих проектов должны принести за собой сопутствующую инфраструктуру, которая включает в себя и связь. И тогда этот регион будет больше развиваться, но на данный момент, основные дата-центры в России – это в центральной России. Даже в моем родном Волгоградском регионе я даже не могу вспомнить, есть ли там дата-центр. Там, конечно, у банков есть свои стоечки, у каждого свое что-то есть, но чтобы был дата-центр, чтоб я мог прийти и сказать: «Вот я хочу в Волгоградской области работать и делать», — там такого нет, насколько мне известно. И эта ситуация от региона к региону не меняется. Кроме Москвы, Питера, Татарстана (оттуда министр связи у нас), он потому и министр связи, так как вперед всех принимал все эти вещи.
Игорь Башелханов, председатель междисципленарного координационного совета, Финансовый Университет при Правительстве РФ
— Проблема ответственности, я так понимаю, она на первом месте. Что касается страхования деятельности, провайдеров, в таком случае. Если бы это было организовано как страхование вкладов, соответственно многие пользователи были бы рады этому, и эта необходимость назрела, потому что с точки зрения информационной безопасности, никто не хочет брать на себя ответственность, все в конечном счете сваливают проблемы на потребителя, но, я думаю, здесь должен быть надежный институт страхования. И механизмы нужно разрабатывать. В частности, речь шла о нашем предложении о создании цифрового кодекса. Я представитель ФинУниверситета. Как вы смотрите на решение ваших проблем и проблем потребителей с помощью страхования в цифровой сфере?
Дмитрий Краснов: — По поводу страхования – это хорошо, закроет мне эти убытки, но систему я должен восстановить уже завтра, а возмещение по вкладам происходит через месяц в реальной жизни. А месяц простой банка – это невозможно. Это, конечно хорошо, с точки зрения – покрыть риски, всем скинуться, но реально, мне это не нужно, как потребителю услуг и предоставление услуг сервиса для компании, конечно, как ИТ директору мне это не нужно. А во-вторых, такие страховые программы существуют, можно застраховать свою ответственность перед клиентом и даже ДБО, которое на аутсорсе застраховано, в случае мошеннических действий. Такое есть и можно договариваться об этом со страховыми компаниями.
Никита Цаплин, управляющий партнер, RUVDS
— Никита Цаплин, RUVDS. Я хотел бы задать немного обратный вопрос, просто сейчас во время перерыва пообщался с коллегами и многие отмечают такой тренд что помимо выгоды налогообложения при переносе в облако, и экономии затрат, потребители облачных услуг при переходе в облако делегируют часть ответственности защиты данных профессионалам отрасли. При этом всю ответственность несут поставщики. Насколько защищены поставщики услуг? Какая мера ответственности при случае утечек персональных данных может наступить для поставщика? Выгодны ли поставщикам такие клиенты, которые по таким жестким договорам работают? Насколько защищен поставщик? Понятно, что потребителю выгодно переместить ответственность на поставщика. То есть мы выбрали поставщика – мы с себя сняли ответственность. А насколько защищен поставщик после этого?
Артем Федосеев: — С точки зрения закона, как я уже говорил, у нас этот момент очень четко прописан. Первое требование закона – это то, что клиент, который передает данные, предположим банк, брокер, он все равно несет ответственность перед конечным клиентом своим за его личные данные, независимо от того, перенес он их второму, третьему или пятому лицу. Независимо от того, какие у него лицензии. Дальше, при форс мажоре, отношения брокера с облачным провайдером – это отношения только их. Клиент будет разговаривать только с банком или брокером. С точки зрения ответственности, как я и говорил, обычно это регулируется SLA, есть административная и уголовная ответственность за разглашение конфиденциальной информации, если будет доказано что был это случайный выброс, или это был злой умысел, ответственность разная вплоть до сотрудника. Сотрудник, который работает под ФСТЭКовсковой лицензией, он имеет ответственность юридическую за работу с данными. Даже за то, что он воткнул флешку, скопировал себе базу данных. Если об этом кто-то узнает, там тоже есть ответственность юридическая. С точки зрения денег, это может быть отрегулировано только SLA. Если бы к Дурову разместил в его дата центр Сбербанк все свои данные, и он бы их потерял, с Дурова кроме этого дата-центра ничего и не возьмешь. Это всегда баланс между риском, качеством и сервисом. То есть это надо всегда понимать. Если думать: «Я отдал и теперь все хорошо», и головная боль ушла, то это, конечно, абсолютно неправильно.
Никита Цаплин: — Провайдеры здесь, конечно, тоже находятся под определенной угрозой. Они принимают активно клиентов, но не было пока прецедентов утечек, а по факту, какой-то крупный банк, может запросто обанкротить небольшого провайдера в случае утечки.
Артем Федосеев: — Конечно, может. Это риск.
Дмитрий Краснов: — И провайдер может обанкротить банк в случае утечки.
Артем Федосеев: — Надо просто распределять риск. В моем понимании, когда ты торгуешь, ты должен распределять свои деньги между брокерами и банками. Точно также должно быть распределение риска и здесь. Если у тебя стратегический многолетний план работы, ты, какими бы не были хорошими партнеры, должен думать, о том что ему может на голову кирпич упасть, ты всегда должен распределять свой бизнес по нескольким направлениям, чтобы в случае чего, не все ножки твоего стула сломались разом.
Никита Цаплин: — Дмитрий, а ваш банк использует несколько вендеров для облачных услуг?
Дмитрий Краснов: — У меня пока нет такой потребности, у меня же свой ЦОД есть. Я наоборот пока рассматриваю вас, как резервный, но после устаревания своей техники можно повернуть наоборот. Биржа, по-моему, так и сделала. Они же свой ЦОД построили.
Никита Цаплин: — Насколько я знаю, он, конечно, не совсем биржевой. Будем называть его – околобиржевой.
Дмитрий Краснов: — Да-да.
Кирилл Запольский (Модератор): — У нас остается совсем немного времени. Давайте подытожим сказанное, коротко. Какой ваш взгляд на будущее облачных технологий в России? Какие проблемы самые важные? Самые первоочередные нам нужно сейчас будет решать всем вместе? Какие вызовы у нас встанут в скором будущем? Ну то есть то, как вы смотрите на перспективу?
Дмитрий Краснов: — Найти сейчас специалистов по обслуживанию IT-инфраструктуры очень сложно, специалистов по обслуживанию такой дорогой инфраструктуры найти почти невозможно, и отдать это профессионалам на аутсорс – это правильный способ, потому что снимается достаточно много головной боли, мы как непрофильная организация будем заниматься своей деятельностью, а профессионалы будут заниматься своей. Да, пока мы друг за друга держимся. Пока это никак не регулируется – будут сомнения, как только это будет первый прецедент, кто-нибудь из больших игроков заявит, что он ушел в облако, я про свою структуру говорю, то это будет массово. У меня специалисты, и в перспективе если и программное обеспечение подтянется, то есть мы сейчас говори об инфраструктуре как сервис, а если будет программное обеспечение как сервис то это будет вообще хорошо.
Артем Федосеев: — По поводу программного обеспечения, Майкрософт уже помогает со своим SPLA решением. Сейчас они его модифицируют в CSP, дают нам больший объем программного обеспечения в аренду, чтобы уменьшить затраты. С моей точки зрения, в целом между представителями бизнеса с обеих сторон должна быть достигнута какая-то точка доверия. Не то чтобы прецедент даже один. Сбербанк свое облако сделал, вроде как и есть. Должно быть общее состояние атмосферы и климата между игроками, что это люди пришли делать бизнес и я делаю бизнес и цели у нас одни. Отрасль у нас достаточно молодая, и для достижения данного климата просто физически потребуется некоторое время. И, опять же, со стороны государства здесь тоже нужен определенный импульс, в том плане, что они должны с одной стороны почистить закон от формулировок расплывчатых, чтобы всем были понятны правила игры, с другой стороны государство само должно подавать пример в этом плане. Мои документы, мне нравится в Москве, что я прихожу, и мне делают документы в любом месте, хороший шаг, который показывает, что это работает. На мой взгляд, что вектор развития у всех правильный. Всем понятно, зачем это надо, сколько это экономит и к чему это ведет, но нужно время, чтобы проникнуться доверием друг к другу в этом направлении. И, естественно, с ростом числа компаний, обладающих лицензиями, проверенные западными игроками, это будет только улучшаться. Здесь надо просто продолжать развитие, ускорять его несколько в связи с санкциями. В общем, направление вот такое.
Кирилл Запольский (Модератор): — То есть пока идет процесс набора репутации, можно так сказать… Артем?
Артем Пайзанский: — Как я говорил, у нас отдел прямого доступа достаточно новый, я пришел в него только в декабре, до этого я 5 лет работал на московской бирже, и что такое виртуальная машина (VPS), почему люди выбирают ее, я не мог слышать, потому что никто не обращался с такими проблемами, и с таким вопросом. А сейчас этот вопрос стоит более актуально, больше людей узнают про облака, больше людей начинают пользоваться виртуальными серверами, потому что они видят огромное преимущество в этом, бесперебойный интернет канал, бесперебойное электричество, почему-то всегда с этим вопросом обращались на биржу, продолжают обращаться сейчас. И я понимаю, что облака – это отличное решение. Лада тоже говорила о повышении тарифов на VPN соединения от московской биржи – это не очень хороший шаг, потому что это накладывает дополнительные расходы, а предоставление виртуальной машины, которую брокер может поставить себе в стойку и с него выдавать уже отличный канал до биржи, в десятки раз лучше, чем VPN, это замечательно, и нам есть, где развернуться. И, опять же, начинаем свои сервисы переносить в облака. Вижу преимущество, можно работать с документами, с базами данных с различных компьютеров, из дома, откуда угодно, с планшетов. Очень удобно.
Вадим Фролов: — За этим, безусловно, будущее. Люди хотят иметь более готовые решения, не хотят вникать в суть, они хотят получить коробку, так же как взять, например, под CMS, если 5 лет назад люди еще сами программировали сайты, сейчас уже рынок таков, что все перешли на готовые решения. Пощелкали, проинсталлировали – получили готовый продукт. В сфере системных администраторов — примерно то же самое. Тот кто ставил сервера, или особенно те, кто восстанавливал его после сбоя, все это знают, длилось часами, иногда сутками. В облачном решении ты можешь забэкапить эту машину, у тебя установится время копирования на диск, то есть за этим, безусловно, будущее. Поскольку и проблемы с кадрами, и с IT – это очень дорого и квалификация не всегда соответствующая, это все будет упрощаться, ускоряться и убыстряться. Поэтому это, однозначно, удобно и за этим будет будущее.
Кирилл Запольский (Модератор): — Коллеги достаточно подробно сделали выводы. Мы видим, что облачные технологии востребованы в разных масштабах. То есть, начиная от обычного физ. лица, которые покупают самую минимальную конфигурацию для того, чтоб запустить свой собственный сайт, и крупные банки, для хранения данных своих клиентов, данные о транзакциях, итд. То есть, со временем облачные технологии будут только развиваться.
Поделиться с друзьями