Депутатская авантюра с хранением конфеденциальных данных в облаках может дорого обойтись стране
Идея народных депутатов "перевести государственный сектор" на облачные сервисы является достаточно модной.
Для тех, кто не в курсе. Википедия описывает этот принцип так: Облачное хранилище данных (англ. cloud storage) — модель онлайн-хранилища, в котором данные хранятся на многочисленных распределённых в сети серверах, предоставляемых в пользование клиентам, в основном, третьей стороной. В отличие от модели хранения данных на собственных выделенных серверах, приобретаемых или арендуемых специально для подобных целей, количество или какая-либо внутренняя структура серверов клиенту, в общем случае, не видна. Данные хранятся и обрабатываются в так называемом «облаке», которое представляет собой, с точки зрения клиента, один большой виртуальный сервер. Физически же такие серверы могут располагаться удалённо друг от друга географически, вплоть до расположения на разных континентах.
На Западе «клаудизация» отдельных сегментов правительственных документов началась давно и интенсивно продолжается. Об "успехах" этого процесса можно узнать у Эдварда Сноудена, хоть его информация уже не совсем актуальна. Случай с бывшим шпионом очень показателен. США после его разоблачения пришлось вложить огромные средства в создание новой парадигмы защиты данных, правительство было вынуждено пересматривать всю свою политику в отношении стратегии безопасности страны.
Тем не менее, лидерами по внедрению облачных технологий являются США, Австралия, страны Евросоюза, Япония. По прогнозам Market Research Media, в период с 2015 по 2020 годы расходы мировых правительств на облачные технологии будут расти в среднем на 6,7% в год и достигнут $118 млрд. В то же время, уже несколько лет назад США и Великобритания подвергли критике использование облачных хранилищ для конфиденциальных данных, о чем мы расскажем ниже.
Законопроект №4302 "О внесении изменений в некоторые законодательные акты Украины относительно обработки информации в системах облачных вычислений", похоже, исключением не стал.
Но как уже писал InternetUA, текст законопроекта не совпадает с декларируемыми в объяснительной записке целями.
Документом разрешается третьим лицам, нерезидентам, хранить государственные данные за пределами Украины.
Компания Gartner провела анализ использования публичных облаков и пришла к настораживающим выводам. В частности, одни компании за сохранность данных клиентов ответственности не несли, другие могли удалять информацию, если сервисом не пользовались определенное время, а для госструктур, которые работают с персональными данными, выход в открытое облако оказался вообще невозможным.
Приватные, в отличие от публичных облаков, теоретически обещают более высокий уровень безопасности. Однако затраты на хранение информации в них значительно выше.
К слову, альянс HITRUST подготовил отчет по утечке данных, которые хранятся в облаках. Основное внимание они акцентировали на медицинских данных. По их подсчетам, было похищено 21,12 млн записей из медицинских карт, произошло 495 утечек. Общая стоимость похищенных данных составила 4,1 млрд долларов.
Также в законопроекте не прописано распределение ответственности за персональные данные граждан между организацией-собственником облачного сервиса, интернет-провайдером и государством, что способствует появлению зон информационной опасности.
При «переводе» государства в облака необходимо помнить, что никто не застрахован от форс-мажорных ситуаций. Яркий пример, обыски в дата-центре "Парковый", когда представители СБУ и Генпрокуратуры остановили работу облака. В результате, в аэропорту «Борисполь» погасли табло. Кроме того, под угрозой оказалась работа ряда сервисов, связанных с жизнеобеспечением людей, среди которых службы логистических компаний, детские медклиники, банки.
Стоит отметить, что правительственный комитет отклонил данный законопроект, но вмешалась Администрация Президента и решение правительственного комитета было отменено.
Вывод комитета от 6 июля 2016 года
О том, что законопроект «сырой» и не соответствует базовому уровню безопасности, говорят и эксперты.
Геннадий Гулак, к.э.н., эксперт по IT-безопасности, заместитель главы наблюдательного совета Sl Global Service:
- В законопроекте очень слабо прописаны вопросы защиты информации. Например, в статье 9.1 предлагается оценивать уровень защиты информации в системе облачных вычислений в соответствие со стандартом ISO/IEC 27001. Стандарт ISO вообще не является стандартом защиты информации. Это стандарт системы управления информационной безопасности. Он никак не может заменить стандарты, которые определяют критерии оценки безопасности. Они, между прочим, также отсутствуют в законопроекте. Существует всемирно признанный стандарт ISO 15408, который вводит критерий оценки безопасности информационных технологий, но его в тексте документа нет. Как в таком случае говорить о защите информации?
Кроме того, у нас слабо развита система сертификации на соответствие стандартам ISO 27001. Из-за этого могут также возникнуть проблемы.
Что касается криптографии, то с ее помощью вы можете обеспечить только конфиденциальность ваших данных. А их целостность – это уже на совести собственника облачного сервиса. Если владелец сервиса недостаточно проработает технологию безопасности, то может повториться ситуация, случившаяся в ГФС, когда из-за отказа серверов и хранилищ данных было утеряно порядка 500 тыс. документов.
Иван Петухов, глава Комиссии УСПП по вопросам науки и IT:
- Говоря о данном законопроекте, хочу заметить, что ни одна уважающая себя в мире страна не располагает свои национальные информационные ресурсы/базы данных с чувствительной информацией (медицинские данные, данные об образовании, права на собственность, финансовая и другая персональная информация) о своих гражданах за ее пределами, да, еще на неуправляемой ею инфраструктуре.
Более того, законопроектом прописывается один единственный из имеющихся международных стандартов системы менеджмента информационной безопасности - ISO/IEC 27001 или ДСТУ ISO/IEC 27001, что уже является законодательным нонсенсом и несет в себе коррупционные риски. Более того, он используется в платформе облачных вычислений Microsoft Azure, что дает нам право понять имя одного из лоббистов данного законопроекта.
Защита безопасности и собственности граждан — основная функция государства. А при таком подходе, сами представители государства создают все условия для вероятной «потери» собственности своих граждан!
В законопроекте также не предусмотрена ответственность за утечку информации. Там только говорится о соблюдении конкретного международного стандарта, который, повторюсь, содержит только общие требования для поддержания системы менеджмента информационной безопасности, но не устанавливает ответственности за утечку данных в «облачных вычислениях».
Василий Вовк, генерал-майор СБУ, эксперт по вопросам государственной безопасности:
- Украине необходимы реформы и облачные технологии в данном случае - не исключение. Мир движется вперед и мы не должны отставать. Использование облачных технологий позволят качественно и количественно снизить расходы.
Безусловно, риски защиты персональных данных и государственной тайны есть. Но у нас осталось мало государственных тайн. Практически все они имеются в распоряжении России. У нас никогда не было тайн ни от США, ни от РФ. Персональные данные – это более опасный момент. Ведь здесь уже идет речь о каждой конкретной личности. Но подобные риски вряд ли коснутся рядовых украинцев. Скорее тех, кто имеют отношения к международной сфере, у кого есть бизнес за границей.
Поэтому защищать данные нужно более системными мерами. Очень важно не только принятие закона, а то, как он будет внедряться и реализовываться. Но я не вижу особых рисков. РФ и без всяких облаков может получить любую нашу информацию.
Соавтор данного законопроекта также соглашается, что документ несовершенен и в него нужно вносить правки.
Алена Шкрум, народный депутат от «Батьківщини», автор законопроекта №4302:
- В законопроекте много недоработок. Когда мы его разрабатывали, то брали опыт других стран, потому что у нас такого никогда не было. Поэтому однозначно его нужно будет дорабатывать после первого чтения. Кроме того, сейчас в законопроекте присутствуют непрозрачные механизмы. В частности, нужно прописать механизм отбора поставщика облачных технологий, данные должны храниться не на одном сервере. Законопроект должен быть максимально прозрачным.
Игроки рынка поддерживают принятие данного законопроекта, что, впрочем, и не удивительно. Однако и они считают, что документ далеко не идеален.
Максим Агеев, генеральный директор De Novo:
- Появление подобного законопроекта - позитив. Однако в нем недостаточно четко прописаны все положения. Во-первых, законопроект носит разрешающий характер. Использовать облачные технологии государственные органы могут на свое усмотрение. В США, Великобритании, в меньшей мере ЕС, подобные вещи носят обязывающий характер, дают приоритетность. У нас же в законопроекте приоритетность не выписана.
Во-вторых, необходимо менять норму о разрешении госорганам работать с нерезидентами за пределами Украины. Потому что таким образом государство дает сигнал всему рынку, что не доверяет оно своим операторам. Кроме того, это несет угрозу для нашего рынка. Украинские компании не смогут просто конкурировать с международными монстрами.
В-третьих, недостаточно понятно прописано, кто может выступать посредником. Когда посредник перепродает чужие услуги по облачным сервисам, он никак не гарантирует выполнения обязательства. В пояснительной записке к законопроекту указано, что должно быть понятие оператора, но в самом документе оно четко не прописано, как и ответственность за сохранность данных.
Очевидно, что если народные избранники не хотят подвергать риску персональные данные граждан, то им еще предстоит нелегкая работа над законопроектом. Ведь если не позаботиться о надлежащим уровне безопасности, то несанкционированное использование данных станет серьезной проблемой и, как отмечают эксперты, страна может попасть под внешнее управление.