Удобство облачных хранилищ оценили и обычные пользователи, и бизнес-структуры. Сектор растет быстрыми темпами: через 10 лет более половины всей частной и корпоративной информации будет храниться на облачных сервисах. Однако настройки безопасности «облаков» пока не гарантируют полной защиты конфиденциальных данных.
На облачных хранилищах обычно размещают файлы большого объема, например, программные продукты. Удаленное хранение экономит место на стационарных компьютерах и не перегружает оперативную память.
Популярные облачные сервисы включают:
Значительная часть облачных сервисов общедоступна, поэтому компании, которые заботятся о безопасности, используют «облака» главным образом для обработки или передачи большого объема данных, а не для хранения важной корпоративной информации.
Из-за неправильного хранения информации в первую очередь рискуют потерять данные:
От утечек данных не застрахованы даже такие крупные и популярные облачные хранилища, как Dropbox и Amazon. В 2016 году получил огласку инцидент, когда хакеры похитили персональную информацию 68 миллионов пользователей Dropbox: имена, пароли, адреса почтовых ящиков. Причина масштабной утечки заключалась в том, что что администрация сервиса не установила защиту от поисковика Google на базы данных. Однако ресурсу и пользователям повезло: злоумышленники не использовали сведения в криминальных целях, и большинство клиентов даже не узнало об утечке.
Без последствий обошелся и инцидент, в результате которого злоумышленники похитили размещенные на серверах Amazon персональные данные 93 миллионов избирателей Мексики. Личную информацию не использовали в криминальных или коммерческих целях. Причиной утечки в данном случае стала халатность сотрудников Amazon, которые при обновлении сетевой конфигурации направили данные по дублирующей сети, а не по основному каналу передачи.
Компания Apple долгое время хранила историю местоположений клиентов на своих серверах. Однако способ хранения информации был небезопасным, что закономерно вызвало возмущение пользователей. Ряд громких скандалов заставил компанию усилить меры защиты.
Специалисты делят угрозы утраты информации из облачных хранилищ на две группы: потеря информации и утечка данных из облачных сервисов.
К первой группе относятся технические и операционные проблемы, но они касаются только небольших проектов. Крупные поставщики услуг многократно копируют и резервируют данные, хранят сведения на серверах, расположенных на разных континентах. Поэтому утечка информации из облачных хранилищ, которые используют большие компании, намного вероятнее. Среди причин потери данных специалисты в области информационной безопасности выделяют:
Профессиональные атаки, нацеленные на нарушение работы системы провайдера, основаны не нескольких технических приемах. Это атаки на гипервизор – ключевой элемент системы хранения данных, атаки на системы управления и использование динамичности виртуальных машин.
Множественные уязвимости сервисов привели к тому, что государственный сектор полностью отказался от использования «облаков». Частным пользователям и коммерческим организациям приходится выбирать: мириться с угрозами или отказаться от использования облачных сервисов, несмотря на выгоду и удобство. Притом что для небольших компаний порой даже безопаснее хранить информацию в «облаке», чем на собственных серверах, уязвимых изнутри.
Чаще всего компании используют комбинированные способы хранения: менее ценная и более объемная информация размещается в «облаке», а коммерческие тайны или ноу-хау – на внутренних, более защищенных ресурсах. При выборе облачного хранилища учитывают возможные риски и степень обеспечения безопасности данных. Выявление возможных утечек через облачные хранилища стало одним из этапов риск-менеджмента. При комбинированной защите используют специализированные решения и инструменты, которые отслеживают необычную активность администраторов хранилищ в сетевом окружении.
Чтобы проверить защищенность облачных хранилищ от утечек информации, нужно анализировать техническое оснащение и процессы управления компании. Чек-лист проверки надежности облачных сервисов включает определение:
В зависимости от сферы деятельности компаниям также может понадобиться установить, при каких обстоятельствах и на каких основаниях провайдер готов предоставлять клиентскую информацию проверяющим организациям.
После начала работы с облачным сервисом для выявления утечек необходимо регулярно сканировать данные, находящиеся на «облаке». Для этого используются программы типа Data Discovery, которые выявляют сведения, которые хранятся или переносятся в системе с нарушением установленных правил.
Хакеры и криминалисты используют несколько способов для получения информации из «облаков» и баз данных социальны сетей. Например, программы типа UFED Cloud Analyzer. Подобное ПО позволяет быстро получать информацию из хранилищ, систематизировать данные и форматировать массив для использования в качестве судебных доказательств.
По аналогичному принципу работает программный комплекс «Мобильный криминалист», который легко извлекает из смартфонов пароли, токены и другие сведения, используемые для входа на интернет-ресурсы.
Предотвратить утечку информации из облачных хранилищ можно только отказавшись от использования «облаков». Российское законодательство обязывает провайдеров при передаче персональных данных предупреждать пользователей о том, насколько защита передачи соответствует законодательно установленным нормам. Но это помогает не всегда.
Документально провайдеры не несут ответственности за разглашение коммерческой тайны, а пользовательские соглашения о предоставлении услуг не содержат пунктов, которые гарантируют сохранность информации разработчиком.
Сами операторы облачных хранилищ, которые заинтересованы в привлечении и удержании клиентов, сочетают различные элементы для обеспечения надежной защиты данных:
Также провайдеры рекомендуют пользователям при угрозах получать сертификаты безопасности, полностью обновлять учетные данные, генерировать новые API-ключи и токены протокола авторизации OAuth.
Компаниям при работе с облачными хранилищами для усиления защиты рекомендуется:
Защита от утечек информации должна учитывать как внутренние процессы в компании, так и работу с внешними ресурсами. Важно правильно выбирать облачные хранилища, не размещать в «облаках» важную информацию и регулярно проверять надежность защиты от утечек.
Подпишитесь на нашу рассылку и получите
свод правил информационной безопасности
для сотрудников в шуточных