Безопасность: облако, которому можно доверять

Илья Шабанов. Обсуждение кибербезопасности на специализированной ИТ-конференции свидетельствует о том, что кибербезопасность занимает одно из первых мест среди приоритетов ИТ-отрасли, и эта тенденция сохранится в ближайшие годы. Рынок уверенно мигрирует в облака, и темпы миграции продолжают увеличиваться. Преимущества облачных технологий понятны многим, но основные сомнения связаны с доверием и пониманием того, как именно обеспечивается безопасность в облаке. Поэтому особый интерес представляют инструменты ИБ в облаке, а также дополнительные сервисы безопасности, которые можно использовать как для защиты самого облака, так и для локальной инфраструктуры.

Итак, по моему мнению, краеугольным камнем для перехода в облако является доверие. Необходимо понимать, как функционирует облако, и выстраивать основы для безопасного использования его услуг. Как добиться доверия и как реализуется безопасность в облаке?

Александр Лугов, K2 Cloud. Чтобы ответить на этот вопрос и понять, в чем особенности безопасности облачных сред, давайте порассуждаем, что из себя представляет публичное облако?

Публичное облако — это как большой торговый центр, где множество арендаторов делят общее пространство. Каждый арендатор (компания) получает свой отдельный магазин (сервер или приложение), но все пользуются общей инфраструктурой.

Для всех арендаторов этого торгового центра можно выделить общие особенности, например

• «единая охрана, но разные замки» — торговый центр предоставляет всем арендаторам базовый набор мер безопасности, такие как охрана и противопожарная система, но при этом каждый арендатор может дополнительно позаботиться о защите своего магазина. Арендатор может установить сигнализацию и сменить ключи от замка.
  Таким образом возникает необходимость в четком разделении ответственности между облачным провайдером и заказчиком.
• «стеклянные витрины» — товары могут быть видны всем, если не принять меры по их сокрытию.
  Корректная настройка правил межсетевого экранирования в облаке — одна из самых важных задач. По нашим наблюдениям, порой достаточно всего пары часов работы незащищенного приложения с отключенными правилами межсетевого экранирования, чтобы виртуальная машина стала частью ботнета.
• «типовые планировки» — все помещения имеют схожую структуру, что может облегчать злоумышленникам поиск уязвимостей.
  Тут уместна рекомендация не использовать стандартные конфигурации и не работать от имени пользователя с повышенными привилегиями.

Важно правильно и полноценно использовать инструменты безопасности, которые предоставляет облачная платформа.

А если мы говорим про особенности защиты инфраструктуры самого облачного провайдера, то это мало чем отличается от защиты любой другой on premise инфраструктуры, за исключением острой необходимости соответствовать самым высоким требованиям безопасности.

Илья Шабанов. Что потенциальный клиент ожидает от облачного провайдера в сфере безопасности?

Сафрон Дандаев, ПСБ. Заказчику важно, чтобы облачный провайдер гарантировал неприкосновенность данных. Для Промсвязьбанка такие стратегии как cloud only или cloud first неприемлемы в чистом виде. Речь идет не про особый статус банка, а в целом про финансовую отрасль, где есть понятие банковской тайны. Закон (в том числе Гражданский кодекс, федеральные законы «О платежных системах» и «О банковской деятельности») не предусматривает передачу банковской тайны третьим лицам. Уже появились законодательные инициативы, предлагающие разделить ответственность, в том числе с облачными провайдерами, но они пока остаются инициативами.

При этом можно вспомнить, например, СТО БР 2018 года, об управлении рисками при аутсорсинге, в котором предусмотрены компенсирующие меры при передаче банковской тайны без раскрытия В целом они применимы для сервисов IaaS.

Поэтому мы, как банк, понимаем, что облака — это передовые технологии, которые уменьшают time to market и т. д., однако нам необходимы критерии доверия. В первую очередь — это сертификаты соответствия, например, PCI DSS для держателей платежных карт, ГОСТ Р 57580.1–2017, Приказ № 21 ФСТЭК, ISO 27018 о защите персональных данных именно в облачной инфраструктуре. Наличие такого сертификата свидетельствует о том, что у облачного провайдера есть необходимый уровень зрелости. Однако нужно оценивать сам предмет получения этого сертификата соответствия, потому что он мог быть получен только для инфраструктуры или уже после того, как заказчик разместил информационную систему.

Если говорить про практическую безопасность, то заказчика, во-первых, интересует, кто фактически, а не формально, является собственником защищаемой информации, которая размещается у облачного провайдера. Гарантирует ли облачный провайдер, что его администраторы не скопируют базу данных или виртуальную машину инфраструктуры, не украдут данные на физических дисках и не продадут их? Банковская информация — это деньги.

Кроме того, важный процесс — контроль привилегированных пользователей. Применяет ли провайдер необходимые меры, например, двухфакторную аутентификацию, PAM-системы и SIEM-системы. Готов ли он делиться с заказчиком такой информацией?

Илья Шабанов.Я согласен, что прозрачность важна. Мне хотелось бы видеть, кто получает доступ, и контролировать этот процесс. Например, если сотрудники провайдера управляют моей инфраструктурой, я хочу видеть, как именно. Кроме того, я бы оценивал экспертизу провайдера, т. е. его команду, ИБ-специалистов, их компетенции и навыки, наличие сертификатов и т. д., поскольку эти специалисты в своей зоне ответственности должны уметь обеспечивать кибербезопасность.

Наконец, не стоит забывать о требованиях регуляторов, в том числе по защите персональных данных. Можно ли считать, что эти требования в настоящий момент ограничивают потребление облачных услуг?

Рустам Гусейнов, RAD COP. Требования регуляторов важны, особенно в отношении защиты персональных данных и критической инфраструктуры. Например, в финансовой отрасли, где существует жесткий запрет на распространение банковской тайны за пределами отрасли и уполномоченных организаций или надзорных органов, возникают большие сомнения относительно миграции в облака. При этом можно разворачивать частные облака и получать преимущества от этих технологий, зачастую с использованием услуг тех же провайдеров, но при этом ни с кем не делиться банковской тайной.

Если не говорить о банковской или государственной тайне и рассматривать широкий спектр других организаций, запрета на использование третьей стороной чего угодно нет, и институт сертификации, аттестации, оценок соответствия, который существует и регламентирован со времен гостехкомиссии, прекрасно с этим справляется. Однако остается вопрос доверия к тому, что написано в соответствующем сертификате, аттестате или заключении.

При этом вы, как представители той или иной организации можете усомниться не только в соответствии внешнего поставщика, но и в качестве работы собственных системных администраторов и разработчиков, в компетенциях собственной кибербезопасности, а также в достоверности внутренних отчетов, показателей, KPI и метрик.

Крупные организации, обладающие большой экспертизой в информационной безопасности, скорее всего, инвестировали в это и выстроили масштабные службы, которые постоянно следят за актуальными изменениями, вхожи в кабинеты регуляторов, вендоров, и у них есть свои лаборатории. Но для значительной части рынка остро стоит вопрос о том, что есть закон, который позволяет делегировать процессы поставщику.

При этом существует институт оценки соответствия поставщика, результаты которой закреплены специальными аттестатами соответствия, сертификатами или заключениями (например, в случае соответствия требованиям PCI DSS, ISO 27001). Вполне возможно, что по совокупности факторов, таких как стоимость сопровождения, наличие локальной экспертизы у провайдера, специализирующегося именно на этом классе решений, возможность в случае чего призвать его к ответственности, а также посмотреть на результаты оценки в соответствующих документах, это будет менее рискованно.

Таким образом, можно сделать предварительные выводы по аттестованному сегменту, рассчитать время, деньги и риски и принять решение о возможности миграции в облако. В настоящее время любой достаточно крупный поставщик аттестует, сертифицирует и оценивает себя на соответствие требованиям в области персональных данных, КИИ, PCI DSS, а также ISO 27001. Это джентльменский набор, который подтверждает, что у организации достаточно ресурсов для того, чтобы выдерживать серьезную нагрузку, причем не только бумажную, потому что за этим стоят определенные инвестиции в средства защиты, в процессы и персонал. Таким образом, переход в облако возможен, если организация готова взвесить риски и учесть требования регуляторов.

Александр Лугов, K2 Cloud. Дополню как представитель облачного провайдера. Каждый хочет оценить уровень информационной безопасности как своей инфраструктуры, так и облачного провайдера, подобно тому, как бухгалтер смотрит на рейтинг надежности контрагента перед оплатой счета. Клиенты хотят быть уверены в том, что провайдер соответствует высоким стандартам безопасности. Для этого мы регулярно проходим независимые аудиты ИБ.

Одним из наиболее значимых является аудит на соответствие Федеральному закону № 152-ФЗ, который подтверждает, что заказчик может обрабатывать в облаке персональные данные любого типа.

Еще одним важным стандартом является PCI DSS 4.0, который обязателен для возможности обработки данных платежных карт. Этот стандарт требует ежегодного комплексного тестирования на проникновение для организаций и не реже одного раза в шесть месяцев для сервис-провайдеров. Дополнительно у мультитенантных сервис-провайдеров, к которым относится K2 Cloud, проверяются механизмы изоляции ресурсов клиентов от несанкционированного доступа.

Стоит упомянуть о наиболее показательной оценке — оценке соответствия ГОСТ Р 57580.1, включающем более 400 мер защиты информации. Оценка соответствия этому стандарту обязательна для финансовых организаций, размещающих свои системы в облаке. Согласно требованиям ЦБ оценка соответствия этому стандарту должна быть не менее 0,86. Это необходимо, чтобы наши заказчики — финансовые организации — могли размещать в облаке банковские информационные системы.

По результатам этой оценки мы получаем не просто факт соответствия или несоответствия, а конкретный коэффициент соответствия стандарту, где единица — это максимальное (эталонное) значение, подтверждающее, что компания использует все применимые меры безопасности.

Наша команда обеспечивает высокий уровень соответствия требованиям информационной безопасности, а также ее развитие. Для сравнения, год назад коэффициент соответствия нашего облака требованиям ГОСТ Р 57580.1 составлял 0,92 (наивысший результат на рынке на тот момент). Но спустя год нам удалось его повысить до 0.94. Казалось бы, чего стоят эти 0.02? Но в действительности — это более 10 новых реализованных мер защиты.

Илья Шабанов. Большинство российских облачных платформ построены на основе программного обеспечения open source, что вызывает опасения у заказчиков с точки зрения безопасности. Стоит ли об этом беспокоиться и как это отражается на безопасности облачной инфраструктуры?

Андрей Макаренко, К2 Кибербезопасность.Безопасность облачных платформ, основанных на open source, действительно вызывает обеспокоенность, особенно после ряда громких инцидентов, связанных с уязвимостями в открытом ПО. Однако, если подходить к вопросу правильно, open source может быть вполне безопасным. Главное — тщательно проверять зависимости, использовать только проверенные библиотеки и создавать собственные репозитории с доверенными компонентами. Кроме того, важно интегрировать безопасность на всех этапах жизненного цикла разработки (DevSecOps), включая тестирование и проверку бинарных кодов. Все это, как и правильно построенные процессы, команда и продукты, использующие этот код, позволяют свести риски к минимуму.

Илья Шабанов. Со стороны заказчика важно задать правильные вопросы провайдеру, чтобы убедиться в безопасности работы с open source. Прежде всего, необходимо выяснить, какие конкретно open source компоненты используются и как организованы процессы их контроля. Также стоит поинтересоваться, как часто проводятся обновления и проверки безопасности, а также какие механизмы защиты применяются для предотвращения утечек данных.

Андрей Макаренко, К2 Кибербезопасность. Это вопрос выбора облачного провайдера, который мы уже обсуждали. На мой взгляд, compliance — это замечательно, но оценить безопасность платформы помогает ряд простых механизмов.

Первое, на что хочется обратить внимание, — это открытость. Спрашивайте, как организована защита, какие меры принимаются для минимизации рисков. Я думаю, что 90% облачных провайдеров ответят, не раскрывая деталей реализации. Проведение интервью с командой, отвечающей за информационную безопасность, поможет лучше понять, насколько облако надежно и какие средства защиты они применяют. Кроме того, можно использовать собственный чек-лист на основе рекомендаций от организаций, таких как NIST или Cloud Security Alliance, и использовать его при оценке потенциальных партнеров.

«Оценить безопасность платформы помогает ряд простых механизмов. Первое, на что хочется обратить внимание, — это открытость. Спрашивайте, как организована защита, какие меры принимаются для минимизации рисков»
Андрей Макаренко, К2 Кибербезопасность

Илья Шабанов. Насколько важно для облачного провайдера регулярно проводить киберучения или запускать публичные или приватные программы bug bounty? Бывают ли случаи, когда такие программы оказываются полезными?

Александр Лугов, K2 Cloud. Безусловно, это важный этап повышения уровня информационной безопасности. Программа bug bounty позволяет шире проанализировать безопасность систем, чем тестирование на проникновение, поскольку в нее вовлечено большее число специалистов с разными уровнями компетенций и разной мотивацией. Они находят уязвимости, которые могли бы пропустить при обычном тестировании на проникновение. Поэтому хорошо, когда облачный провайдер публично анонсирует программу bug bounty.

Мы скоро запустим программу bug bounty в закрытом формате, в ходе которого решим некоторые технические детали, например, каким образом предоставлять bug-хантерам доступ к нашей платформе, учитывая, что мы работаем исключительно с юридическими лицами в секторе B2B, и в течение 2025 года планируем выйти с публичной программой.

«Мы скоро запустим программу bug bounty в закрытом формате, и в течение 2025 года планируем выйти с публичной программой»
Александр Лугов, K2 Cloud

Илья Шабанов. Где проходит граница между ответственностью провайдера и клиента в вопросах безопасности? Этот вопрос вызывает много недопонимания среди пользователей, и, согласно опросам, многие заказчики ждут от провайдера полной компенсации за нарушения целостности, доступности, конфиденциальности данных, а иногда даже за упущенную выгоду. Каковы реальные границы ответственности облачного провайдера?

Александр Лугов, K2 Cloud. Давайте рассмотрим два формата разграничения зон ответственности. Первый — большинство облачных провайдеров публикуют на своем сайте четкую информацию о границах ответственности по каждому типу услуг: colocation, IaaS, PaaS, SaaS. В зависимости от услуги зона ответственности смещается в сторону провайдера или клиента. Например, в классическом IaaS провайдер отвечает за физическую безопасность, сети, хранение данных и гипервизор, а клиент — за безопасность на уровне виртуальных машин, виртуальных сетей и более высокие уровни.

Второй формат — разграничение ответственности за соответствие стандартам безопасности. Хорошей практикой считается публикация документов, показывающих, кто несет ответственность за каждую меру безопасности. Это может быть совместная или единоличная ответственность. Например, ответственность за физическую безопасность серверов ЦОД всегда остается за провайдером.

Сафрон Дандаев, ПСБ. Представим, что Промсвязьбанк вынес в облако часть инфраструктуры по модели IaaS. Но мы хотим обладать всей полнотой информации для принятия решений. Вы готовы предоставить нам read only доступ к контролю действий привилегированных пользователей (например, администраторов)?

Александр Лугов, K2 Cloud. В нашей платформе underlay и overlay уровни жестко изолированы, при этом наши администраторы не имеют доступа к инфраструктуре заказчика (что прописывается в документах). Для контроля инфраструктуры заказчика предназначены такие сервисы, как «журнал действий», который логирует все события в инфраструктуре, и IAM-модуль в части разграничения прав доступа, в котором можно очень гибко и гранулярно назначить права доступа вплоть до каждого API-метода. То есть каждое ваше нажатие в веб-интерфейсе — это определенный API-метод, и вы можете создать политики, определяющие минимальные права доступа для определенных групп.

Илья Шабанов. Права доступа можно настроить. Однако кто будет нести ответственность за утечку персональных данных у клиента? Сейчас за утечку персональных данных клиентов, на обработку которых мы не имеем права, предусмотрены оборотные штрафы или даже уголовная ответственность (до 10 лет). Как будет определяться эта тонкая грань?

Андрей Макаренко, К2 Кибербезопасность. Грань не тонкая, а очень понятная. Все на уровне до виртуальных машин — зона ответственности облачного провайдера. Если утечка произошла через информационную систему, развернутую в облаке, ответственность ложится на владельца этой системы. Облачный провайдер может помогать в расследовании, но у него нет доступа к системам клиента.

Илья Шабанов. Как разграничивается ответственность, если мы потребляем какой-то сервис безопасности, который по определенной причине не срабатывает?

Денис Прохорчик, Positive Technologies. Мы как производитель облачных решений предъявляем строгие требования к нашим технологическим партнерам на этапе выбора, чтобы обеспечить стабильность сервисов. Как вендор, мы должны поддерживать

• круглосуточную доступность защиты;
• высокий уровень экспертизы продуктов, чтобы защищать не только от вчерашних уязвимостей;
• компетентность команды облачного провайдера, для которой мы проводим обучение, выстраиваем каналы коммуникации для обычной работы и экстренных инцидентов, а также для мониторинга с нашей стороны;
• с учетом атак на цепочки поставок, критично, чтобы вендоры облачных решений не только предоставляли защиту, но и сами были защищены и безопасны, поэтому мы сами используем программы bug bounty для проверки нашей продукции. Наш облачный продукт с 2023 года круглосуточно находится на платформе bug bounty, чтобы гарантировать, что мы не станем точкой утечки для заказчика.

Вопросы разграничения ответственности определяются договором между облачным провайдером и заказчиком. Важно внимательно изучать условия контракта перед подписанием.

Илья Шабанов. В случае инцидента, когда причина инцидента не ясна, на что может рассчитывать заказчик? Например, некоторые западные гранды предлагают всего месяц бесплатной работы в случае полного отказа системы.

Ожидаемое возмещение ущерба по SLA

Денис Прохорчик, Positive Technologies. У нас применяется похожая практика. Инциденты рассматриваются в частном порядке с учетом серьезности и класса ущерба. Определяющими являются отношения с технологическим партнером, и мы ничего не гарантируем заказчику напрямую. Практика компенсации упущенной выгоды не применяется. Мы поддерживаем идею страхования киберрисков, чтобы компенсировать возможные убытки в зависимости от обстоятельств, которые привели к инциденту.

Андрей Макаренко, К2 Кибербезопасность. Важно читать договор. Мы принимали участие в расследовании инцидента, в котором были задействованы облачный провайдер и третья компания. В процессе расследования выяснилось, что размещаемая компания использовала открытый пароль admin/admin. В таком случае облачный провайдер не несет прямой ответственности, но должен участвовать в расследовании. Это не отменяет возможные цепочки атак через платформу, но все инциденты необходимо расследовать.

Сафрон Дандаев, ПСБ.Меня как заказчика больше интересует, как инцидент у другого заказчика может повлиять на мою инфраструктуру, если мы находимся в одном облаке. Даже с логической изоляцией существует риск человеческого фактора или неправильной конфигурации. Даже в банках люди по ошибке переводят триллионы долларов, и ошибку в облачной платформе исключать нельзя.

Рустам Гусейнов, RAD COP. Именно поэтому частные облака или частные ЦОД имеют право на жизнь для критичных систем — они предлагают более высокую степень изоляции.

«Частные облака или частные ЦОД имеют право на жизнь для критичных систем — они предлагают более высокую степень изоляции»
Рустам Гусейнов, RAD COP

Сафрон Данаев, ПСБ. Мы двигаемся именно в сторону технологии частных облаков в соответствии с ГОСТом. Мы выделяем контур безопасности, т. е. группу ИТ-систем, для которых действуют одни и те же требования, и строим для них частное облако.

Александр Лугов, K2 Cloud. Самым лучшим ответом на ваш запрос будут выделенные сервера. Заказчик покупает услугу «выделенный сервер», который работает под управлением облака. Выделенный сервер управляется стандартными инструментами облачной платформы, обеспечивая физический барьер между клиентами.

Илья Шабанов. Предположим, провайдер все сделал правильно: провел все аудиты и тесты и обеспечил безопасность своей инфраструктуры. Какие дополнительные сервисы безопасности заказчик должен применять для своей инфраструктуры, развернутой в облаке?

Рустам Гусейнов, RAD COP. Начните с мониторинга инфраструктуры и анализа конфигурации облака, включая активы, доступные на внешнем периметре. Это позволит своевременно выявлять проблемы и угрозы, поскольку облако часто дополняет существующую инфраструктуру заказчика, и заказчик не занимается управлением облаком, обращая внимание на другие активы.

Далее, используйте классические инструменты. Next generation firewalls (NGFW), средства мониторинга данных и утечек, инструменты отслеживания вредоносной активности на хостах предлагаются как сервисы, что обеспечивает дополнительные преимущества, например, в форме интеграции с существующими дашбордами или другими инструментами.

Денис Прохорчик, Positive Technologies. Если мы говорим о публичном облаке, нужна классика: антивирусы, системы защиты от DDoS-атак, антифрод-решения и межсетевые экраны уровня приложений. Сейчас стали доступны различные виды анализаторов, включая анализаторы кода, как статические, так и динамические. В этом году планируются разработки, связанные с песочницами, которые будут функционировать в виде облачной инфраструктуры для мониторинга электронной почты и загружаемых файлов.

Мы разрабатываем новые продукты и модернизируем существующие решения, переходя на облачную инфраструктуру. Наша стратегия включает трансформацию существующих продуктов с возможностью их адаптации к работе в облаке. Таким образом, перспективы для развития платформ и интеграции в облачные среды уже определены и будут реализованы в ближайшее время.

Андрей Макаренко, К2 Кибербезопасность. Многие компании продолжают довольствоваться базовым набором мер безопасности, таким как антивирус и пакетные фильтры. Однако в условиях растущих угроз необходимо переходить на более продвинутые решения, такие как next generation firewall (NGFW) с функцией предотвращения вторжений (IPS), подключать WAF, anti-DDoS, песочницу для больших инфраструктурных решений, а также включать в стратегию реагирования на инциденты сбор логов (например, SIEM или Graylog) не только для сбора, но и для анализа.

Илья Шабанов. Можно ли приобрести все рекомендованные сервисы безопасности непосредственно из облака, включая anti-DDoS, WAF, услуги анализа защищенности и управления доступом и т. д?

Андрей Макаренко, К2 Кибербезопасность. Да, большинство современных облачных провайдеров предлагают широкий спектр сервисов безопасности по модели MSSP. Однако есть нюансы, особенно относительно сложных систем управления привилегированными учетными записями (PAM), требующих тщательного контроля. Например, внедрение системы предотвращения утечек данных (DLP) предполагает адаптацию контента под конкретных заказчиков, что выходит за рамки простого сервиса и требует проектной работы.

У каждого облачного провайдера есть собственный маркетплейс, где можно выбрать нужные услуги. Принцип прост: пришел, выбрал, получил доступ. Именно к такой модели стремятся многие игроки рынка.

«У каждого облачного провайдера есть собственный маркетплейс, где можно выбрать нужные услуги. Принцип прост: пришел, выбрал, получил доступ. Именно к такой модели стремятся игроки рынка»
Андрей Макаренко, К2 Кибербезопасность

Илья Шабанов. Было бы логичным ожидать появления такой системы гораздо раньше, возможно, даже много лет назад. Тем не менее мы постепенно движемся в этом направлении. Еще пять лет назад покупка WAF из облака была настоящим приключением — найти подходящий продукт было сложно, а цены зачастую оказывались высокими. К счастью, сегодня ситуация меняется в лучшую сторону.

Андрей Макаренко, К2 Кибербезопасность. Мы меняемся недостаточно быстро. Например, многие компании по-прежнему просят только антивирус и пакетный фильтр, и таких компаний не становится меньше. Компаниям приходится рассказывать про киберугрозы, поскольку наша страна с 2022 года стала полигоном для киберпреступлений, и концепцию необходимо менять.

Илья Шабанов. Что будет происходить с безопасностью на стороне облачного провайдера в ближайшем будущем? Какие услуги будут появляться?

Александр Лугов, K2 Cloud. Облачные провайдеры будут продолжать интегрировать больше сервисов безопасности непосредственно в свои платформы. Это сделает их частью базовой функциональности и упростит заказчикам обеспечение безопасности своей инфраструктуры. Среди перспективных направлений — PAM, DLP и SIEM-системы. Доступность и удобство использования облачных решений продолжат расти, что сделает их все более привлекательными для заказчиков.

Рустам Гусейнов, RAD COP. Облака будут развиваться вместе с изменениями в отрасли информационной безопасности. Новые средства защиты и новые подходы будут адаптироваться облачными провайдерами по мере возникновения новых угроз и вызовов. Одним из ключевых трендов являются лингвистические модели, которые могут использоваться как для написания эксплойтов, так и для выявления уязвимостей. Это открывает новые горизонты для автоматизации процессов, но также создает новые риски, которые мы не можем предсказать. Важно осознанно подходить к выбору мест размещения активов и быть уверенным в принимаемых мерах безопасности, поскольку от этого будет зависеть наше спокойствие.

Сафрон Дандаев, ПСБ. Заказчики сталкиваются с проблемами, связанными с нехваткой ресурсов для реализации желаемой системы информационной безопасности. Бизнес-интересы часто превалируют над безопасностью, оставляя безопасников перегруженными. Было бы полезно, если бы облачные провайдеры помогали внедрять такие концепции, как zero trust и кибериммунитет, облегчая реализацию принципов безопасности.

«Было бы полезно, если бы облачные провайдеры помогали внедрять такие концепции, как zero trust и кибериммунитет, облегчая реализацию принципов безопасности»
Сафрон Дандаев, ПСБ

Александр Лугов, K2 Cloud. Можно воспользоваться нашими Professional Services, когда мы как партнер подсказываем нашим заказчикам, как лучше использовать ресурсы в облаке, и делимся best practice.

Денис Прохорчик, Positive Technologies. Вендорам необходимо снизить порог входа в инфобез и сделать его более доступным для широкого рынка. Этого можно добиться, создавая платформы, объединяющие различные продукты информационной безопасности, чтобы упростить их использование и снизить зависимость от отдельных специалистов. Кроме того, вместо продажи отдельных продуктов ИБ предлагать комплексные решения, закрывающие конкретные проблемы заказчиков без привязки к продуктам ИБ. Это позволит эффективнее и экономичнее защищать их инфраструктуру.

Илья Шабанов. Хотелось бы иметь возможность обеспечить безопасность, просто поставив нужную галочку в личном кабинете.

Андрей Макаренко, К2 Кибербезопасность. Будущее информационной безопасности связано с развитием сервисов в облаке, включая защиту искусственного интеллекта и машинного обучения. Информационная безопасность будет развиваться в тесной взаимосвязи с ИТ-инфраструктурой. Облачные провайдеры и компании, переносящие свои информационные системы на облачные платформы, будут активно использовать программы bug bounty и киберучения для подтверждения безопасности своих систем.

Илья Шабанов. Примерно семь лет назад я общался с высокопоставленным менеджером западной ИТ-компании, работавшей в России. Он удивлялся, почему российские компании не развивали свои центры обработки данных (ЦОДы) и облачные инфраструктуры в России, хотя у них было все необходимое: компактная территория, развитая сеть каналов связи и огромный потенциал рынка. Тогда это казалось странным.

Прошли годы, и в 2022 году произошел значительный скачок, который дал мощный импульс развитию облачного рынка в России. Мы наблюдали впечатляющий ежегодный рост на уровне 30–60% в год. Этот период, на мой взгляд, предоставил историческую возможность для формирования полноценной облачной инфраструктуры внутри страны.

В этом контексте я убежден, что безопасность должна идти рука об руку с развитием информационных технологий. Если ИТ-инфраструктура переходит в облако, то и средства обеспечения безопасности должны быть интегрированы в облако. Следовательно, будет расти число соответствующих сервисов и маркетплейсов, предлагающих различные решения.

Моя мечта — доступ ко всем необходимым инструментам безопасности через одного провайдера и возможность легко собрать нужную систему из различных компонентов, выбрав подходящие решения среди множества вариантов. Например, если мне нужен межсетевой экран, я хочу видеть предложения от нескольких вендоров, а не ограничиваться единственным вариантом. Такой подход обеспечит гибкость и разнообразие выбора, что, безусловно, полезно для конечного потребителя.

Надеюсь, что рынок рано или поздно придет к этому.