CC BY
227
УДК 004.771
ОБЛАЧНЫЕ ТЕХНОЛОГИИ: УГРОЗЫ И РИСКИ
Демин И.С., д.э.н., профессор кафедры «Прикладная информатика», ФГОБУ ВО «Финансовый университет при Правительстве РФ» Статья посвящена потенциальным угрозам и информационным рискам, возникающим при переходе к облачным технологиям. Ключевые слова: облачные технологии, информационная безопасность.
CLOUD TECHNOLOGIES: THREATS AND RISKS
Demin I., Doctor of Economics, Professor of Applied Informatics chair, FSBEI HE «Financial university under the government of the Russian
Federation»
Key threats and information risks of moving towards cloud computing are described in this article. Keywords: cloud computing, information security.
Проникновение облачных технологий в самые различные области человеческой деятельности, так или иначе связанные с решением информационных задач, может ощутить любой рядовой пользователь Интернета. Если же у него не возникает ощущения «миграции в облака», то это, вероятно, оттого, что процессы перехода на облачные сервисы происходят мягко и незаметно для большинства людей, сидящих перед компьютером.
Движение в сторону облачных технологий воспринимается большинством людей - как специалистов, так и рядовых пользователей - как несомненно положительный процесс, облегчающий все стороны взаимодействия человека и информационных систем. Более того, возникает дополнительное чувство надежности и уверенности. Владельцы смартфонов больше не переживают, что утрата или порча аппарата приведет к потере всех контактов: достаточно подключить новый аппарат к своему аккаунту, и через несколько минут буквально вся информация из старого телефона -данные записной книжки, календаря, закладки браузера и даже история навигации в Интернете - вновь будет в его распоряжении.
Столь заметные преимущества скрывают очевидные угрозы, среди которых одна из главных - угроза конфиденциальности информации. Применяя в работе многочисленные Интернет-приложения, предоставляемые по модели SaaS1, например, редакторы текстов или графики, пользователь не просто получает программно-технические ресурсы облака в виде услуги. Он отдает облаку свои данные. Ключевое для модели SaaScлово <«оИдааге»принято переводить на русский как «программное обеспечение». Вместе с тем, в реальности оно обозначает все, что не является «hardware» (техническим обеспечением), то есть в принятой в российской науке классификации это совокупность программного и информационного обеспечения. Разделить программы и информацию нельзя, и если мы используем конечные приложения, расположенные на облаке, то там же в момент работы должна находиться и наша информация. Что будет с ней потом? Уничтожит ли провайдер услуги ее безвозвратно или же отправит в архив, которым могут воспользоваться недоброжелатели? Часто об этом мы не имеем ни малейшего представления.
В этом состоит одна из ключевых проблем облачных технологий: рядовой пользователь зачастую просто не понимает их границ. С сетевыми хранилищами, такими как Dropbox или Google Диск ситуация выглядит вполне ясно: клиент передает провайдерам информацию на временное хранение. Однако и в этом случае лишь малый процент пользователей понимает, можно ли удалить личную информацию безвозвратно или же она навсегда останется у провайдера, и имеет ли право провайдер каким-то образом использовать эту информацию, хотя бы в целях аналитики. Еще более смутное представление у пользователей об онлайн-сервисах, предоставляющих услуги редактирования документов, например, Google Документы или OnlyOffice. В глазах большинства речь идет о программном обеспечении, которое провайдер временно предоставляет клиенту для решения его задач. В действительности все ровно наоборот: это клиент временно передает свой документ на сервер провайдера для редактирования средствами провайдерского программного обеспечения.
Неочевидной для большинства пользователей остается и угроза надежности хранения информации. Облачные хранилища очаровывают своим удобством: больше не нужно хранить информацию на
внешних носителях, которые так легко потерять или заразить вирусом. Облакам доверяют даже самую ценную личную информацию. Когда-то почтовые программы аккуратно архивировали переписку на компьютер пользователя. Сейчас все больше людей использует веб-клиенты электронной почты, и все почтовые сообщения, контакты, расписания полностью остаются на единственном облачном сервере. Нужно сильно доверять технологиям провайдера, чтобы полностью вверить ему личную информацию за много лет.
Отчего эти угрозы мало кем воспринимаются серьезно? Прежде всего, в качестве провайдеров облачных сервисов мы привыкли видеть гигантов профессионального рынка, таких как Googleили Эти компании, создавшие операционные системы для миллионов пользователей, удобные программы, которыми мы пользуемся каждый день, воспринимаются как образцы профессионализма. Хотя большинству пользователей неизвестны детали, все уверены, что их информация хранится на облаке в исключительно надежных условиях: многократно архивированная на надежных хранителях и неуязвимая для вирусов.
Крупные компании, в особенности зарубежные, вызывают и определенное доверие. Мы охотно верим в их обещание не использовать нашу личную информацию в незаконных, аморальных или просто не санкционированных нами целях. Кроме того, почти все наши информационные системы так или иначе связаны с Интернетом. Даже если мы совсем не будем использовать облачные технологии, останутся существенные угрозы для конфиденциальности со стороны вредоносных программ, вирусов и действий хакеров. На этом фоне некоторое увеличение риска от гипотетических действий информационных корпораций, крайне не заинтересованных в снижении доверия со стороны клиентов, представляется ничтожным.
Вместе с тем, стремительный рост популярности облачных технологий приводит к росту числа провайдеров облачных услуг. Все чаще в таком качестве выступают не только гиганты информационной индустрии, но и более скромные компании. Зачастую они пользуются тем же кредитом доверия пользователей. Оставляя в стороне вопросы добропорядочности и надежности малых провайдеров, нужно признать, что этот кредит доверия не всегда является заслуженным. Убедившись на примере крупнейших компаний, что облачные технологии могут быть безопасными (во всяком случае, относительно), мы порой представляем, что они являются безопасными всегда.
Вместе с тем, это далеко не так. Вопросы конфиденциальности и надежности хранения пользовательской информации почти целиком зависят от провайдера. Определенную информацию в этом отношении может дать политика конфиденциальности компании-провайдера (с которой, кстати говоря, знакомится меньшинство пользователей). Но часто провайдеры оставляют за собой довольно обширные права в отношении хранения и использования информации: иногда пользователь вообще не в состоянии удалить свои личные данные с облака. Не всегда можно быть уверенным и в полном соблюдении компанией своей собственной политики. Кроме того, за пределами политики конфиденциальности остаются вопросы предотвращения угроз от действий злоумышленников-инсайдеров. Разумеется, полностью обезопасить себя от таких угроз не может ни одна компания, но насколько активные действия в этом отношении предпринимает провайдер, пользователям обычно неизвестно. Наконец, совершенно неясно, что будет с личной информацией
1SaaS - Software as a Service (Программное обеспечение как услуга)
пользователей в том случае, если компания по каким-то причинам прекратит свое существование.
Нельзя не упомянуть о том, что облачные услуги может оказывать сейчас практически любой ресурс, в том числе анонимный сайт, не связанный ни с какой официально зарегистрированной организацией. Увы, но можно ожидать появления в глобальной сети многих облачных сервисов со злонамеренными целями: например, таких, которые наряду с необычайно удобными онлайн-услугами ведения личных финансов или составления налоговых деклараций станут похищать личные данные клиентов.
Безусловно, ситуация не является безнадежной; облачные технологии неизбежно будут развиваться в направлении снижения рисков их применения. В качестве примера можно привести Интернет-банкинг, который выработал в процессе своей эволюции ряд защитных мер, и в настоящее время является достаточно безопасным, несмотря на то, что ему также присущи угрозы конфиденциальности и надежности хранения. Лавинообразное развитие новых информационных технологий невозможно без рисков, и нужно быть готовыми к ним. Вместе с тем, ясное понимание специфических рисков, связанных с облачными технологиями, насущно необходимо всякому, кто так или иначе их использует.
Литература:
1. Balaji Palanisamy. Top 10 Risks in the Cloud - http://www. coalfire.com/medialib/assets/PDFs/Perspectives/Coalfire-Top-10-Risks-in-the-Cloud.pdf
2. Cloud Computing for Business : Understanding Cloud Risk -http://www.opengroup.org/cloud/cloud/risk.htm
3. Pravin Kothari. Cloud computing: how can companies reduce the security risk? -http://www.theguardian.com/media-network/ media-network-blog/2013/jun/13/cloud-computing-companies-security
4. Priya Viswanathan. The Risks Involved in Cloud Computing. Problems Associated with Cloud Computing and How Companies can Tackle Them - http://mobiledevices.about.com/od/additionalresources/ tp/The-Risks-Involved-In-Cloud-Computing.htm
5. Завгородний В.И. Эффективность и безопасность облачных технологий (Сб. трудов МНК „Информационные технологии
- стратегический приоритет в экономике знаний" Республика Болгария, г. Свиштов, 14-15 октября, 2011 г., с. 58-62.)
6. Сергей Орлов Облачные сервисы: безопасность и надежность
- «Журнал сетевых решений/LAN», № 12, 2012.
УДК 658
ФОРМИРОВАНИЕ ПОКАЗАТЕЛЕЙ ОЦЕНКИ ЭФФЕКТИВНОСТИ ГЧП В
ТРАНСПОРТНОЙ ОТРАСЛИ КНР
Чун Шань, аспирант кафедры «Менеджмент», ФГБОУ ВПО «Дальневосточный государственный университет путей сообщения»
В статье рассматривается возможность применения государственно-частного партнёрства в транспортной отрасли КНР,и предлагаются показатели, позволяющие оценить эффективность управления транспортом на основе ГЧП.
Ключевые слова: транспорт, КНР, реформа, государственно-частное партнёрство, эффективность, показатели эффективности.
THE FORMATION OF PUBLIC-PRIVATE PARTNERSHIPS EFFECTIVENESS EVALUATION INDICATORS IN THE CHINA TRANSPORT INDUSTRY
Chong Shan, the post-graduate student of the Management chair, FSEIHPE «Far Eastern State Transport University»
The article discusses the possibility of using public-private partnership in transport sector of China and proposes indicators to assess efficiency of transport management on a PPP basis.
Keywords: transportation, China, reform, public-private partnership, efficiency, performance.
Транспорт является основой национальной экономики Китая. В настоящее время транспорт Китая развивается невиданными темпами: строятся высокоскоростные автомобильные трассы и железнодорожные пути, развиваются морские внешнеторговые перевозки, увеличивается количество крупных аэропортов.Актив-ное освоение транспортной системы требует развитие новых видов инвестиционных моделей финансирования, которые заключаются в формирование национальных инвестиций, локального франчайзинга, социального финансирования, использования иностранных инвестиций. Эти вопросы являются сложными и актуальными и их решение невозможно без создания новых экономических механизмов управления, углубления институциональной реформы на транспорте и в других отраслях. Государственный совет КНР 14 марта 2013 г. принял проект институциональной реформы, в соответствии с которой количество министерств и ведомств сокращено на четыре. В соответствии с проведенными мероприятиями по выполнению решений Государственного совета КНР Министерство железных дорог было упразднено. Функции министерства по разработке технических стандартов эксплуатации железных дорог, контроля за безопасностью эксплуатации железных дорог, качеством оказания услуг железнодорожных перевозок и качеством железнодорожного строительства переданы созданному Государственному управлению по железным дорогам КНР в составе Министерства транспорта КНР. Функции управления железнодорожным транспортом, оказания услуг пассажирских, грузовых и специальных железнодорожных перевозок, строительство железных дорог переданы создаваемой Китайской железнодорожной компании, которая будет нести ответственность за безопасность железнодорожных перевозок. Причиной упразднения Министерства железных дорог в решении ВСНП (Всекитайского
собрания народных представителей) названа необходимость разделения функций государственного управления в сфере железнодорожного транспорта от функций по управлению железнодорожным движением и оказанию услуг железнодорожных перевозок. Вместе с тем, основной причиной является масштабная коррупция и неэффективность министерства. Вместе с сотрудниками и активами Министерства железных дорог КНР Китайской железнодорожной компании перешёл долг Министерства железных дорог, который оценивается в 428 млрд. долларов США. Тем не менее, государство продолжает политику поддержки развития железнодорожного транспорта и субсидирования железнодорожных перевозок[1].
В этой связи механизм государственно-частного партнёрства (ГЧП) является эффективным средством реализации долгосрочных инвестиционно-инновационных инфраструктурных проектов. Несмотря на то, что механизм ГЧП в Китае применяется уже более 30 лет и достаточно широко применяется на практике в сфере развития инфраструктуры (строительство дорог и скоростных магистралей, мостов, учебных учреждений и т.д.), до сих пор в стране не существует комплексного закона о государственно-частном партнёрстве на транспорте, а тем более показателей, позволяющих оценить эффективность ГЧП в транспортной отрасли [2,3].ГЧП - это очень широкая концепция, в рамках которой могут рассматриваться все возможные формы взаимодействия государства и бизнеса: благотворительность, коллективные договора между государством, профсоюзами и работодателями, понуждение к социальной ответственности и любые формы контрактных и иных отношений частного бизнеса и государства[2,3,5].
Понятие «эффективность» отражает продуктивность использования ресурсов в достижении какой-либо цели; экономическая
