Информационные технологии доминируют и лихорадочными темпами развиваются сегодня во всех областях нашей жизни. Не успела Всемирная паутина оплести планету по-настоящему плотной сетью, а ИТ-аналитики уже говорят о том, что в ИТ на смену эпохи Интернета идет новая эпоха — облачная.
Базируясь на сконцентрированных в ЦОДах вычислительных и коммуникационных ресурсах, облачные вычисления предоставляют способ производства и доставки ИТ-сервисов конечным потребителям (как корпоративным, так и частным) по требованию. Возможно, очень скоро мы действительно будем получать ИТ-сервисы “из розетки”, подобно тому, как сегодня потребляем электроэнергию.
Облачная архитектура подарила вторую молодость технологии виртуализации вычислительных ресурсов, которая в разы увеличивает эффективность их использования и на десятки процентов сокращает энергопотребление. Но вместе с этим облака и виртуализация породили новые проблемы в организации защиты информации, которая для распределенной серверной архитектуры была хорошо формализованной, структурированной и обеспеченной промышленными продуктами и решениями.
Облака разрушают парадигму периметровой защиты ИТ-инфраструктуры. Объектами защиты становятся гипервизоры, виртуальные машины и устройства доступа к ИТ-сервисам. Нужно отдать должное разработчикам средств защиты информации — они довольно расторопно начали реагировать на вызовы новой парадигмы в ИТ и уже приступили к выпуску на рынок специализированных средств защиты виртуальных сред.
Одни из них предлагают программные модули (virtual appliance), представляющие собой готовые виртуальные образы средств защиты (межсетевых экранов, систем обнаружения и предотвращения вторжений, антивирусов, туннелирования VPN и т. д.) виртуальной среды на уровне гипервизора. Другие фокусируются на программных агентах, защищающих непосредственно виртуальные машины. Третьи разрабатывают средства, способные замыкать на себя сетевой трафик виртуальной среды и тем самым предоставлять возможность управлять им и защищать его. Четвертые сосредоточены на средствах поддержки ролевого доступа к виртуальным ресурсам.
Пройдет время, и эти технологические подходы можно будет объединять в единую систему обеспечения ИБ виртуальных и облачных сред. Сначала, как показывают первые практические реализации, это произойдет в решениях для частных облаков, а затем и для публичных.
Однако наряду с техническими проблемами в новой парадигме развития ИТ есть еще и аспекты организации бизнес-отношений между поставщиками облачных ИТ-услуг и их клиентами. Они характеризуются такими свойствами, как доверительность и гарантированность качества услуг, в первую очередь в отношении защищенности клиентской информации. Роль катализатора в этой области может сыграть законодательное регулирование, которое должно определить ответственность первых перед вторыми, способствовать развитию института страхования ИТ- и ИБ-рисков.
Хотелось бы надеяться, что законодательная гармонизация отношений между поставщиками и потребителями облачных ИТ-услуг будет менее драматичной, чем попытка регулирования отношений между операторами и субъектами персональных данных (ПД) посредством закона “О персональных данных” (ЗоПД).
Изначально неверно выбранный законодательной и исполнительной властью нашей страны подход к ответственности операторов ПД за утечки этих данных (через контроль организации защиты и используемых для этого технологий) привел к тому, что на протяжении более чем четырех лет ЗоПД никак не удается запустить в полную силу. Вот и опять указом Президента РФ, подписанным в самом конце 2010 г., продлен до 1 июля 2011 г. срок приведения в соответствие с требованиями этого закона информационных систем ПД, созданных до 1 января 2011 г. Необходимость очередного переноса сроков власть объясняет ростом затрат коммерческих компаний на приведение информационных систем в соответствие с требованиями закона.
Властью признается, что выполнение ЗоПД в его нынешней редакции государственными органами, муниципалитетами и бюджетными организациями влечет за собой увеличение расходов, которое не вписывается в государственные и местные бюджеты. Как будто обо всем этом ИТ-специалисты не говорили уже вскоре после опубликования закона в 2006 г.!
Любопытно, каких увеличений в бюджетных поступлениях и в прибыльности российского бизнеса ожидает госрегулятор, надеясь, что с 01.06.11, требования ЗоПД придут в гармонию со стоимостью их выполнения? Ведь нужно еще учитывать переход ИТ на облачные технологии, в которых защиту ПД нужно будет строить практически с чистого листа. Долгожданной гармонизации ЗоПД можно ожидать, скорее всего, после его дальнейших серьезных доработок, учитывающих происходящие изменения в технологиях (а еще лучше вообще отказывающихся от технологических аспектов в контроле защищенности ПД).
Слабая законодательная база существенно тормозит также развитие направления расследования кибер-преступлений (РКП). ИБ-эксперты признают, что необходимым компонентом завершающей фазы в цикле процесса организации ИБ должно стать РКП. Помимо того что хорошо налаженное РКП грозит неотвратимостью ответственности за нарушение ИБ (что само по себе является отличным сдерживающим фактором для кибер-преступников), расследования также позволяют выявлять слабые места в системе ИБ. К тому же те из компаний, которые, используя усовершенствованную законодательную базу и услуги профессионалов в области РКП (а такие бизнес-услуги, помогающие работе правоохранительных структур, набирают в нашей стране обороты), будут завершать расследования не в кулуарах офисов, а в залах судебных заседаний, получат конкурентные преимущества, попав в число организаций, которые кибер-преступники предпочтут обходить стороной.
Новую форму межгосударственного противостояния в едином информационном пространстве, затрагивающую аспекты международной и национальной ИБ разных стран, выявила деятельность веб-ресурса WikiLeaks. Станет ли ресурс WikiLeaks реальным демократическим рупором международного информационного сообщества, способствующим повышению прозрачности в международных отношениях и укреплению доверия между странами, или он будет разыгрываться как джокер (возможно, переходящий из рук в руки) в международной политике, покажет время.