Обыск в офисе, изъятие серверов и жестких дисков... А как будут действовать правоохранительные органы, когда компании в массовом порядке станут держать свою корпоративную информацию в облаках, а удаленный сервер хранящий данные обыскиваемой фирмы, и вовсе окажется неизвестно где, а то и за рубежом?
Облачные сервисы развиваются намного стремительнее, чем это могут «переварить» законодатели и клиенты, которые еще не успели поверить в то, что их данные будут намного целее при удаленном хранении. Российские провайдеры облачных услуг сейчас как раз находятся на «просветительской» стадии, демонстрируя рынку технические возможности и удобства сервиса. «Преимущества очевидны, — говорит Илья Трунин, руководитель отдела информационных технологий City Express. — Провайдеры обеспечивают многократное резервирование информации, что гарантирует защиту от ее потери. Центры хранения и обработки данных многих публичных облачных провайдеров сегодня имеют даже более высокую степень защиты, чем серверы средних российских компаний. Однако пока переход к облачным услугам сдерживается рядом факторов. В компании уже есть своя сложившаяся система, она достаточно эффективна, есть необходимое оборудование, программное обеспечение и так далее. Для перехода на облака потребуется многое менять и перестраивать с учетом новой специфики. А если система работает эффективно, зачем ее менять?»
С традиционно обсуждаемыми облачными рисками, связанными с утечкой информации и простоями, провайдеры уже научились справляться. Сейчас, пожалуй, главной ахиллесовой пятой сервисов является слабая регуляторика этой области, а также отсутствие практики страхования информационных рисков. «Отдельного закона, который регулировал бы деятельность провайдеров, предлагающих облачные сервисы, нет, — поясняет Владимир Разбегаев, руководитель службы информационной безопасности «Пепеляев Групп». — Однако к законам, влияющим на такой вид деятельности, относятся законы «О связи» и «О персональных данных». А также статьи законодательства о тайнах — банковской, коммерческой и прочих. Сейчас готовится ряд нормативных актов, призванных улучшить регулирование облачных сервисов, и документы ГОСТа по облачным вычислениям. Судя по всему, этой области предстоит долгое время регулироваться с помощью поправок. Отдельный закон об облачных вычислениях находится даже не на стадии проекта, а в формате концепции».
Поскольку правовое регулирование хранения информации в облаках не проработано, все держится на ответственности компаний, которым, впрочем, выгодно сохранять ответственность перед своими клиентами. «Облако удобно для бизнеса, — констатирует Игорь Кузнецов, ИТ-директор юридической группы «Яковлев и Партнеры», — но... это будет продолжаться до тех пор, пока законодатель как следует не взялся за эту область».
Пока не совсем понятно, как могут складываться отношения провайдеров с правоохранительными органами, если последние заинтересуются данными кого-нибудь из клиентов. Например, если раньше у сотрудников полиции, желающих провести следственные мероприятия внутри компании, всегда была возможность изъять жесткий диск, то в случае хранения данных где-то в облаке задача заметно усложняется. Тем более что ЦОДы, как правило, разнесены территориально, а часто и вовсе находятся за пределами страны. «Отношения с правоохранительными органами станут проще и одновременно сложнее, — уверен Михаил Емельянников, управляющий партнер консалтингового агентства «Емельянников, Попова и партнеры». — С одной стороны, с выемкой или получением доступа к информации в дата-центре, обеспечивающем облачные вычисления, особых проблем у них нет. С другой — нужно установить, где «объект устремлений» правоохранителей хранит свои данные, и при необходимости — получить доступ к ключам шифрования и так далее. А это совсем другой уровень мероприятий».
Со временем правоохранительные органы научатся решать свои проблемы и находить провайдера с интересующей их информацией. Но как быть в этом случае компаниям, если их угораздило оказаться в одном облаке с соседом, которого проверяют? Ведь в облаке «все яйца лежат в одной корзине» — и вряд ли силовики будут отсеивать зерна от плевел: скорее всего, они заберут с собой все данные. «Это тот риск, с которым сложно что-то сделать, — считает Владимир Разбегаев. — Если возникнет подобная ситуация, ни один из клиентов провайдера не застрахован от того, что их данные попадут в чужие руки. А как крайний случай — можно говорить о приостановке деятельности самого провайдера».
«Похожие прецеденты уже были, — рассказывает Кирилл Рубинштейн, руководитель ГК NAUMEN, — хотя и не совсем в облаках, а в дата-центре. Совершенно очевидно, что в подобных случаях правоохранительные органы не будут вычленять данные конкретной организации и заберут с собой все «железо» — а значит, простои будут не только у «подозрительной компании». И даже юридическое сопровождение не решит эту проблему: вряд ли слово юриста сможет остановить силовиков. В принципе, репликация данных является выходом, однако это скажется на тарифах».
Казалось бы, разнесенные территориально дата-центры являются гарантом безопасности информации, однако и здесь все не так однозначно. Тем более если клиенту самому не известно, где именно она хранится, притом что данные могут находиться на серверных ресурсах, расположенных в разных странах, и тем самым подпадать под юрисдикцию каждой из них.
«Среди самых очевидных рисков использования облачных технологий — определение применимого права и незнание норм права государства, на территории которого будет храниться ваша информация, особенно та, что составляет коммерческую тайну или являет собой персональные данные, — объясняет Ирина Нестерова, руководитель юридического отдела по России и СНГ компании «Сежедим». — Так, например, согласно законам США, государственные органы могут получить доступ к любой информации, находящейся на серверах, которые физически расположены на территории этой страны. При этом в США сегодня расположено самое большое количество дата-центров. Стоит особо отметить, что компании, оказывающие такие услуги, в некоторых случаях не имеют права разглашать даже факт передачи информации (US Patriot Act). Похожая ситуация существует и в Великобритании (Regulation of Investigatory Powers Act)».
Если данные хранятся за границей, возникает еще один нюанс. Дело в том, что в этом случае вступает в силу понятие «трансграничная передача данных», прописанное в российском законодательстве — законе «О персональных данных». «То есть если, например, компания хранит в облаке данные своих сотрудников, а дата-центры находятся вне России, получается, что она обязана собрать и зафиксировать согласие на это со всех своих сотрудников, — объясняет Владимир Разбегаев. — В противном случае у регулятора будут основания придраться к компании».
В свете законодательных пробелов многое зависит оттого, какую позицию займут регуляторы. По мнению Рустэма Хайретдинова, CEO компании Appercut Security, вследствие неудобств (с точки зрения регуляторов), связанных с местоположением серверов, на которых хранятся данные, есть вероятность запрета хранения определенных типов информации в облаках. «В этом случае может наступить период охлаждения рынка, так как преимущество получат компании с хостингом только на территории страны, а таких сейчас немного, — объясняет Хайретдинов. — Впрочем, вслед за этим — период роста, когда все игроки, заинтересованные в российском рынке, откроют свои дата-центры на территории страны. Если же требования регуляторов будут компромиссными и затронут не физическое расположение данных, а их защищенность (например, шифрование мест хранения и каналов передачи данных), то рынок ждет быстрый рост, поскольку игроки смогут использовать уже развитую инфраструктуру».
Как бы то ни было, по мнению юристов, у облачных сервисов есть все шансы рассчитывать на нормализацию законодательства. Ведь российское право, согласно тенденциям последних лет, идет по пути калькирования международного. «Как пример, — рассказывает Владимир Разбегаев из «Пепеляев Групп», — можно рассмотреть законодательство Германии, где в 2011 году была принята резолюция, согласно которой провайдер обязан держать регуляторов и клиентов в курсе того, где находятся ЦОДы, как в этих центрах хранится и обрабатывается информация, а также каков тип информации, которая размещается в облаке. Все это позволяет подстраховаться в том числе и провайдерам от претензий к ним со стороны регуляторов, если клиент разместит в облаке что-то подпадающее под ограничения — например, персональные данные или информацию, подпадающую под действие законов по защите разных видов тайн». Пока же — при отсутствии больших законодательных ограничений — юристы советуют и провайдерам, и клиентам полагаться на договорные отношения друг с другом. По мнению Ирины Нестеровой («Сежедим»), в договорах следует прописывать ряд обязательных вопросов. Это места размещения информации, средства ее защиты, схемы резервного копирования информации, системы оповещения о нарушениях безопасности, а также применимое право, арбитражная оговорка и последствия расторжения договора.
Михаил Емельянников считает, что провайдер должен иметь внятную и доступную для клиента модель угроз безопасности и не менее внятное описание реализованных мер, обеспечивающих нейтрализацию этих угроз. «Подобные тексты должны входить в состав договорных документов, с тем чтобы клиент на этапе принятия решения четко понимал, какой конкретно уровень безопасности ему представит провайдер. А с унификацией требований ФСТЭК к безопасности такие модели угроз и системы защиты могут стать универсальными».
Впрочем, по мнению Емельянникова, основные риски клиентов, пользующихся облачными сервисами, вовсе не связаны с регуляторами или правоохранителями, а лежат в другой плоскости. Например, обеспечение заданных показателей доступности информации (ведь для облачных сервисов нужен непрерывный и, как правило, хорошего качества доступ в Интернет). Кроме того, нет четких ответов на вопросы о возможности и доступности миграции клиента к другому провайдеру со своими данными; возникают технические проблемы обеспечения заданной пропускной способности шлюза при использовании шифрования в канале связи и масса других, от регуляторов не зависящих трудностей. Отдельной проблемой является минимальная, но все-таки вероятность утраты данных, а также отсутствие ясности в вопросах ответственности компании-хостера в этом случае. Тем более что непонятна стоимость информации, которая хранится в облаке.
«Потенциально крупные клиенты облаков могут считать, что стоимость переданных на хранение данных является очень высокой, — констатирует Михаил Козлов (СЮ). — Например, оператор сотовой связи вполне может оценивать минуту простоя своей биллинговой системы в сотни тысяч долларов, исходя из суммы счетов, которые не были выставлены клиентам. Очевидно, что провайдеры не готовы брать на себя эти риски. Однако по мере развития рынка часть рисков могли бы разделить с провайдерами страховые компании. Впрочем, такое страхование на первых порах было бы очень дорогим, и клиенты, несмотря на «бесценность» данных, массово пока не готовы оплачивать такую страховку. Соответственно, они не доверяют публичным облакам, поскольку не смогут компенсировать реальную стоимость своих потерь. На самом деле проблема как раз не в провайдерах, чьи технологии уже обеспечивают уровень отказоустойчивости и непрерывности бизнеса в среднем выше, чем у самих клиентов. Рынок не созрел со стороны тех крупных клиентов, которые не строят моделей рисков и не знают, какие задачи и данные для них на самом деле являются рискованными, а какие можно беспрепятственно выносить в облака».