ИТ-организации часто обнаруживают, что находятся между молотом и наковальней, когда дело касается проблем обеспечения соответствия требованиям регуляторов в эпоху облачных вычислений. Существует большое число требований, которые во многих случаях делают перенос данных в облако по меньшей мере проблематичным. Хотя не каждое требование детально сформулировано, дух таких требований, если не их буква, удерживает от работы с облаком компании, ответственные за данные покупателей.
Для многих ИТ-департаментов обеспечение безопасности данных о заказчиках и их соответствия требованиям регуляторов часто тормозится консьюмеризацией ИТ
Безусловно, надлежащий контроль над данными заказчиков редко наблюдается в эпоху, определяемую как эра консьюмеризации ИТ. Сотрудники не задумываются над последствиями загрузки корпоративных данных на свои персональные устройства или в облачные сервисы, контролируемые посторонними организациями. В жизни большинство пользователей будет оправдывать такие действия их абсолютной необходимостью ради повышения производительности. Попытки ограничить подобное поведение сотрудников часто ставят ИТ-департамент в нелегкое положение принудительного применения политик, которые официально не существуют или предусматривают применение формальных санкций.
“Когда дело касается облака, существует огромная вероятность нажить неприятности”, — считает Ларри Миллер, директор по ИТ и электронной коммерции компании MainGate, специализирующейся на создании и управлении веб-сайтами для спортивных команд, ассоциаций и других организаций.
Еще больше усугубляет ситуацию то, что даже в случаях, когда возможно применение юридических санкций, штрафы за нарушения соответствия требованиям регуляторов так редко взимаются или так мала, что они рассматриваются просто как вынужденные издержки ведения бизнеса.
“В огромном числе случаев штрафы просто слишком малы”, — сказал Майк Эллсуорт, ИТ-менеджер компании CareerOneStop, финансируемого федеральным правительством сайта по поиску работы в шт. Миннесота.
За пределами государственных организаций, системы здравоохранения и торговых сетей задача соответствия требованиям в значительной степени является предметом субъективной интерпретации. И даже в правительстве, медицинских учреждениях и торговле нет ясности о том, как следует выполнять требования регуляторов в случаях использования мобильных и облачных технологий.
Недавний опрос 798 ИТ-специалистов, выполненный исследовательской организацией Ponemon Institute по поручению компании WatchDox, специализирующейся на разработке мобильных приложений корпоративного класса, показал, что более 80% ИТ-профессионалов не знают, какой объем их корпоративных данных, попадающих под требования регуляторов, хранится на мобильных устройствах или в облачных сервисах.
Основная проблема, как указывает Ларри Понемон, президент Ponemon Institute, заключается в том, что даже если ИТ-департамент обнаружит, что данные, попадающие под требования регуляторов, оказались за пределами компании, необязательно, что именно ИТ-специалисты должны предпринимать в этой связи какие-либо действия. Не только потому, что такой шаг еще больше усилит негативное отношение работников к ИТ-департаменту, но главное — у него просто нет времени, мастерства и ресурсов, необходимых для отслеживания каждого нарушения.
Отчет Ponemon Institute показал, что в большинстве организаций установлены весьма слабые системы контроля за данными. 73% опрошенных ИТ-специалистов указали, что они полагаются не на приложения для автоматизированного управления, а на применяемые вручную политики. “В огромном числе случаев ИТ-организации подходят к решению проблем по принципу “невежество — это блаженство”, — сказал Понемон.
“Огромное число людей, занимающихся обеспечением соответствия требованиям регуляторов, не являются серьезными техническими специалистами, — считает Райан Кэлембер, директор по производству компании WatchDox. — Они готовы праздновать свою победу сразу же после того, как написана политика”.
Конечно, в настоящее время до конца не ясно, насколько серьезной может оказаться проблема обеспечения соответствия требованиям регуляторов в случае облачных вычислений.
Хотя никто не будет оспаривать тот факт, что текущая ситуация не является идеальной, большинство организаций пытаются добиться соответствия требованиям, следуя букве регулирующих документов, которые часто неоднозначны. Причина этого в том, что темпы инноваций в ИТ намного опережают способность регулирующих органов идти в ногу с развитием событий, считает Эми Роланд, сотрудник юридической компании Waller, занимающейся проблемами соответствия требованиям. Тем не менее он настоятельно советует организациям переходить в облако только после серьезного обсуждения: “Это не то решение, которое надо принимать волей-неволей. Переход в облако должен планироваться и производиться только после самого тщательного его рассмотрения”.
Позитивным в этой ситуации является то обстоятельство, что скандальные факты слежки со стороны правительства и кражи интеллектуальной собственности агентствами, спонсируемыми государством, заставляют предпринимателей и ИТ-менеджеров уделять гораздо больше внимания вопросам безопасности и выполнению требований регуляторов. К негативным последствиям можно отнести повышенное внимание, которое стало уделяться недостаткам корпоративной ИТ-инфраструктуры в свете необходимости организации безопасного совместного доступа к данным с помощью мобильных устройств.
Поскольку внутренняя ИТ-организация часто воспринимается как чересчур строгая, сотрудники часто берут на себя решение своих проблем управления и доступа к данным. Это нередко выливается в использование облачных файлообменных сервисов потребительского класса с пренебрежением к возможным последствиям нарушений требований регуляторов.
Для устранения корневых причин проблем с обеспечением соответствия требованиям регуляторов ИТ-организации должны действительно перейти к управлению ИТ как сервисом, считает Кент Кристенсен, менеджер по практике виртуализации компании Datalink, специализирующейся на ИТ-услугах. Только в этом случае ИТ-департамент получит возможность развернуть частное облако, обеспечивающее необходимый пользователям уровень гибкости, без нарушения требования регуляторов. “Осведомленность в этих вопросах растет экспоненциально, — заметил Кристенсен. — Это одна из причин бурного роста интереса к частным облакам”.
Конечно, многие частные облака разворачиваются во внешних центрах обработки данных из-за стремления заказчиков к сокращению расходов. Но часто заказчики упускают из виду тот факт, что правила регуляторов требуют размещения механизма контроля в том же месте, где находятся ИТ-администраторы, имеющие доступ к этим облакам. “Людям нужно помнить, что из множества существующих сущностей требования соответствия нормативам и правилам применяются только к одной из них в каждый момент времени, — сказал Мейджор Хайден, главный архитектор по безопасности компании Rackspace. — Вы можете иметь “золотой образ” вашего приложения, но при этом не знать о том, кто обладает ключом шифрования для вашей системы в каждый конкретный момент времени”.
По этой причине компания Rackspace решила использовать технологии компании SSH Communications, запустившей недавно приложение для оценки рисков, помогающее ИТ-организациям выяснить, кто имеет доступ к ключам Secure Shell (SSH). “SSH представляет собой огромную потенциальную проблему при работе с облаками, на которую большинство людей не обращают достаточного внимания”, — указал Тату Ялонен, исполнительный директор компании SSH Communications.
Безусловно, главная часть задачи обеспечения соответствия требованиям регуляторов при использовании облачных сервисов будет решена, если организации начнут следовать более строгим правилам безопасности. Однако глобальное исследование с привлечением 4205 ИТ-специалистов, выполненное Ponemon Institute по заказу компании Thales e-Security, выпускающей программные системы шифрования, показало, что 53% организаций, участвовавших в опросе, уже переносят данные в облако, не обращая внимая, зашифрованы эти данные или нет. И даже при всем понимании проблем безопасности при работе в облаке, еще 31% компаний планирует такой перенос в ближайшие 24 мес независимо от того, будет ли при этом применяться шифрование информации или нет.
“Существует мнение, что провайдер облачных сервисов должен нести ответственность за безопасность данных, — сказал Ричард Моулдс, вице-президент по стратегии и управлению продуктами компании Thales e-Security. — Однако было бы чересчур бесцеремонным предполагать, что эта ответственность лежит на провайдере сервисов”.
Очевидно, что не все данные должны быть зашифрованы. Однако когда дело касается облачных вычислений, организации могут захотеть зашифровать максимально возможный объем данных, поскольку испытывают неуверенность по поводу того, кто может получить доступ к этим данным и где они в конце концов могут оказаться.
“Когда встает задача обеспечения более высокого уровня безопасности, соблюдение требований регуляторов становится сопутствующей задачей, — считает Махмуд Шер-Ян, вице-президент по управлению продуктами компании ID Experts, специализирующейся на разработке инструментов оценки и анализа рисков утечки информации. — Однако бывает трудно объяснить бизнесу возвращение такого рода инвестиций”. По этой причине компания ID Experts начала борьбу за продвижение инициативы ANSI PHI Project, призванной помочь организациям в создании финансовых кейсов для обоснования увеличения инвестиций в защиту от утечек.
Нет никакого сомнения, что с точки зрения ИТ всё, что связано с соблюдением требований регуляторов и обеспечением безопасности, чревато рисками. Но совершенно ясно, что задача ИТ-директора — добиться, чтобы эти проблемы не препятствовали развитию компании. На первом этапе, это может означать фокусирование на обучении сотрудников рискам, связанным с использованием теневых (принадлежащих сторонним владельцам) облачных ИТ-сервисов.
Однако до тех пор, пока не будет предложен надежный набор альтернативных сервисов, всегда будет существовать напряжение между недовольными сотрудниками и ИТ-департаментом, выливающееся в случаи нарушения требований регуляторов. Вместо того, чтобы относиться к таким сотрудникам, как к преступникам, будет гораздо лучше ИТ-департаментам предложить им безопасные способы выполнения необходимых действий.