CC BY
38
НАУЧНЫЙ РАЛЗДЕЛ
УДК 004.9 А. В. КАЛАЧ
начальник кафедры безопасности информации и защиты сведений, составляющих государственную тайну ФКОУ ВО Воронежский институт ФСИН России, доктор химических наук, профессор, полковник внутренней службы
Воронеж
ANDREY V. KALACH
Head of the Department of Information Security and Protection of Information Constituting State Secret of the VRI of the FPS of Russia, Doctor of Chemistry, Professor, Colonel of the Internal Service
Voronezh
А. С. КРАВЧЕНКО
начальник кафедры информационной безопасности телекоммуникационных систем ФКОУ ВО Воронежский институт ФСИН России, кандидат технических наук, доцент, майор внутренней службы
Воронеж
ANDREY S. KRAVCHENKO
Head of the Department of Information Security and Telecommunication Systems of the VRI of the FPS of Russia, Candidate of Technology, Assistant Professor, Major of the Internal Service
Voronezh
Д. Г. ЗЫБИН
заместитель начальника ФКОУ ВО Воронежский институт ФСИН России по научной работе, кандидат технических наук, доцент, полковник внутренней службы
Воронеж
DMITRY G. ZYBIN
Deputy Head for Research of the VRI of the FPS of Russia, Candidate of Technology, Assistant Professor, Colonel of the Internal Service
Voronezh
Современное состояние обеспечения защиты данных, расположенных в облачных хранилищах
The current state of providing the protection of data located in cloud storage
Аннотация. Рассматривается проблема, связанная с правовым регулированием облачных вычислений. Производится анализ сведений об утечках информации через облачные хранилища.
Ключевые слова: правовое регулирование, интеллектуальная собственность, облачные технологии.
Abstract. The problem associated with the legal regulation of cloud computing is considered. The analysis of information on data leaks through cloud storage is carried out.
Key words: legal regulation, intellectual property, cloud technologies.
В современном состоянии уголовно-исполнительная система Российской Федерации демонстрирует стремительное развитие и повсеместное внедрение информационных систем в своей деятельности. Тенденцией развития информационных систем является их усложнение и охват все более широких предметных областей. Информационные системы переходят в пространство, где доступ к ним возможен из любой точки, где есть подключение к телекоммуникационной сети. Возрастание сложности может оцениваться с двух сторон: это и решение новых, более масштабных задач, и повышение вероятности возникновения ошибок функционирования, а также потребности в квалифицированном обслуживании. Для введения в эксплуатацию и поддержания бесперебойной работы требуются высококвалифицированные специалисты, причем проблему создает то, что их штат должен содержаться везде, где развернута функциональная часть информационной
системы. Это обстоятельство может быть преодолено путем выбора облачного подхода к организации процесса хранения и обработки информации.
Применение облачных технологий для функционирования информационных систем сопряжено с необходимостью решения задач защиты информационных ресурсов от угроз распространения и блокирования.
Согласно данным Роскомнадзора, в 2019 году количество жалоб и обращений в сфере защиты прав субъектов персональных данных выросло на 28 % и превысило 50 тысяч. Это связано как с увеличением объемов обрабатываемой информации о личности, в том числе в сети Интернет, так и с повышением правовой грамотности граждан. Людей волнуют не только утечки информации как таковые, но и другие нарушения, связанные с личной информацией: распространение персональных данных, создание фейко-вых аккаунтов, обработка персональных данных в целях, отличных от цели ее пер-
воначального сбора, а также отсутствие на сайтах политики конфиденциальности [1]. Это означает, что тема защиты персональных данных находит отклик у граждан, каждая единица личной информации начинает восприниматься людьми как ценный актив, который необходимо оберегать.
В большинстве случаев доводы в обращениях и жалобах обоснованны - Рос-комнадзор в 2019 году удовлетворил требования 78 % заявителей.
Специалистами аналитического центра Info Watch были изучены различные источники утечек информации о персональных данных за 2019 год - начиная с государственных органов и организаций и заканчивая коммерческими предприятиями. Всего был проведен анализ 1 748 случаев утечек по всему миру [2].
Результатом такого огромного количества утечек стала компрометация персональных данных (имена, фамилии, медицинские, паспортные данные, номера документов социального страхования, контактные номера телефонов и электронной почты и так далее). В общей сложности, без учета сведений о платежной информации, подверглись угрозе 13,7 миллиарда записей персональных данных.
По сравнению с 2018 годом число утечек персональных данных выросло на 22,5 %, скомпрометировано на 99,0 % записей больше.
В России в то же время зарегистрированы 322 утечки (+56,3 % по сравнению с 2018 годом), в результате которых были скомпрометированы более 172 миллионов записей персональных данных (в 6,5 раз больше, чем в 2018 году).
В общей структуре утечек в мире за 2019 год компрометация персональных данных составила 74,8 % случаев, а в России - 85,2 %. В 2018 году доля персональ-
ных данных в общей структуре мировых утечек составила 69,5 %, а в нашей стране - 80,2 %.
Чаще всего утекают основополагающие персональные данные - личные имена, а также фамилии (на других языках -родовые наследственные имена человека). В нашей классификации эта пара данных (иногда это триада ФИО - фамилия, имя, отчество) обозначена как «имена». В мире этот тип личной информации зафиксирован в 56,6 % случаев утечек персональных данных, в России - в 63,0 % всех случаев [2].
На представленной диаграмме (рисунок 1) обращает на себя внимание, что в России существенно чаще, чем в мире, утекают телефонные номера (включая детализацию вызовов) и паспортные данные - каждый из этих типов утечек можно встретить более чем в 30 % случаев утечек [2].
Такие показатели можно связать в первую очередь с высокой ликвидностью личных данных, сведений о переговорах или же информации из официальных документов на черном рынке, поскольку подобные данные проще всего продать злоумышленникам. Во-вторых, они свидетельствует о низкой степени защищенности российских хранилищ с паспортными данными, сведениями о доходах и телефонными номерами. Такие типы данных уязвимы прежде всего перед лицом внутренних угроз. Отметим и положительное отличие нашей страны: в глобальном масштабе существенно чаще, чем в России, утекают адреса, даты рождения, адреса электронной почты, учетные данные (пароли) и ключевые идентификаторы налогоплательщиков - номера ББМ в США и их аналоги в других странах [2, 3, 4].
В настоящее время многие частные компании и государственные организа-
Рисунок 1. Утечки персональных данных в России и мире в 2019 году [2]
ции используют в своей инфраструктуре облачные технологии. Однако данный сервис вызывает новые вопросы и проблемы, связанные с правовым регулированием этой сферы деятельности, поскольку в российском законодательстве не обозначены указания на правовую природу облачных сервисов. Одним из объектов правовой охраны интеллектуальной собственности являются компьютерные базы данных. Облачные хранилища являются одной из их вариаций.
Стоит отметить увеличивающуюся популярность данной технологии как в России, так и за рубежом: облачные вычисления отмечаются в Стратегии развития отрасли информационных технологий в Российской Федерации на 2014-2020 годы и на перспективу до 2025 года, ут-
вержденной распоряжением Правительства Российской Федерации от 01.11.2013 № 2036-р [5], и в плане мероприятий («дорожной карте») «Развитие отрасли информационных технологий», утвержденном распоряжением Правительства Российской Федерации от 30.12.2013 № 2602-р [6].
В настоящее время на первый план выходит вопрос обеспечения безопасности хранения информации, размещенной на облачных сервисах. Имеющиеся средства безопасности не способны обеспечить ее защиту в облачных инфраструктурах. В связи с этим большая часть всех утечек конфиденциальной информации из открытых хранилищ есть следствие неправильного предоставления прав доступа или же неверная настройка конфигура-
ции систем [7, 8, 9]. Аналитический центр InfoWatch фиксирует ежегодное увеличение почти в 1,5 раза утечек конфиденциальных данных через облачные серверы и хранилища с доступом через сеть Интернет. И эта тенденция сохраняется на протяжении нескольких лет. Например, по сравнению с 2016 годом утечек стало больше в 4,4 раза [2]. За 2018 год потери данных с открытых серверов составили 1,3 миллиарда записей, в самом крупном инциденте было потеряно 400 миллионов записей.
В период 2017-2018 годов наибольшая доля утечек, связанных с неправильным обслуживанием и настройкой облачных серверов, а также с другими ошибками при работе с виртуализацией данных, пришлась на высокотехнологичный сегмент - производителей ИТ-продукции, ИТ-сервисы, социальные сети и другие. Около 90 % всех данных, которые были утеряны с незащищенных серверов в 2018 году, пришлись именно на хайтек-инду-стрию (таблица 1) [2].
Таблица 1
Распределение утечек из открытых облачных ресурсов за период 2017-2018 годы по отраслям
Большая часть утечек, а именно более 80 %, приходится на персональные данные. В 9,2 % случаев компрометации данных из открытых хранилищ - это утечки платежной информации, а также коммерческих секретов и производственных ноу-хау (таблица 2) [2].
Таблица 2
Распределение утечек из открытых облачных ресурсов за период 2017-2018 годы по типам данных
Тип данных 2017 год, % 2018 год, %
Персональные данные 77,8 81,6
Коммерческие секреты 8,9 9,2
Платежная информация 6,7 9,2
Государственная тайна 6,7 -
Утечки данных из незащищенных облачных хранилищ приобрели угрожающий масштаб во всем мире. Жертвами таких инцидентов стали многие крупные компании, такие как American Express, Honda, Nokia, Sky Brazil, и ряд государственных структур [2].
При передаче бизнес-процессов внешним компаниям организация также передает информацию из-за отсутствия единой точки входа в облачное хранилище, итогом этого является эскалация риска реализации угроз модификации и распространения информационных ресурсов.
В 2011 году была разработана Стратегия правительства США в области облачных технологий. Данный документ определяет политику в области облачных вычислений, содержит определение понятия облачных вычислений, а также взгляды федерального правительства на перспек-
Отрасль 2017 год, % 2018 год, %
Государственные организации 14,3 8,5
Медицина 8,2 11,4
Высокие технологии 32,6 40,0
Образование 4,1 7,2
Ретейл 10,2 7,2
Промышленность и транспорт 12,2 7,2
Банки, финансы и страхование 12,2 1,4
Другие 6,2 17,1
тивы внедрения технологии в деятельность государственных структур США. Облачная платформа NASA Nebula создана Министерством внутренней безопасности США и является примером использования облачных технологий в государственных учреждениях. В общей сложности информационная система содержит 100 тысяч электронных адресов сотрудников различных подразделений министерства [10].
Облачные сервисы представляют обширный интерес как для государствен-
ных структур, так и для бизнес-сообщества, хотя их использование сопряжено с недостаточным правовым регулированием соответствующей сферы.
Таким образом, становится очевидной необходимость совершенствования действующих и разработки новых правовых норм в области облачных вычислений, которые должны обеспечить создание режима функционирования информационных систем на базе облачных технологий с обеспечением мер защиты информационных ресурсов. ■
1. В 2019 году вновь выросло количество поступивших в Роскомнадзор жалоб по тематике защиты персональных данных // Роскомнадзор : официальный сайт. 2020. 21 января. URL: https://rkn.gov.ru/news/rsoc/news71528.htm (дата обращения: 15.06.2020).
2. Исследование утечек конфиденциальной информации через незащищенные облачные хранилища / Аналитический центр InfoWatch : [сайт]. 2019. URL: https://www.infowatch.ru /resources/analytics/reports/15553 (дата обращения: 18.11.2019).
3. Худобина К. Н. Облачные хранилища данных: актуальность и тенденции развития // Nauka-Rastudent.ru : электронный научно-практический журнал. 2016. № 3. С. 33. URL: https: //nauka-rastudent.ru/27/3300/ (дата обращения: 18.11.2019).
4. Ковтун М. А. Безопасность информации в облачных хранилищах данных // Вестник молодых ученых Санкт-Петербургского государственного университета технологии и дизайна. 2015. № 1. С. 38-41.
5. Стратегия развития отрасли информационных технологий в Российской Федерации на 2014-2020 годы и на перспективу до 2025 года : утв. распор. Правительства Рос. Федерации от 01.11.2013 № 2036-р. Доступ из СПС «КонсультантПлюс».
6. План мероприятий («дорожная карта») «Развитие отрасли информационных технологий» : утв. распор. Правительства Рос. Федерации от 30.12.2013 № 2602-р. Доступ из СПС «Кон-сультантПлюс».
7. Облачные технологии: вызовы правового регулирования // Капитал: центр деловой информации : [сайт]. 2016. 3 декабря. URL: https://kapital.kz/gosudarstvo/55665/oblachnyye-tekhnologii-vyzovy-pravovogo-regulirovaniya.html (дата обращения: 18.11.2019).
8. Полякова Т. А., Химченко А. И. Правовые проблемы обеспечения информационной безопасности при использовании облачных технологий // Правовая информатика. 2013. № 2. С. 12-16.
9. Савельев А. И. Правовая природа «облачных» сервисов: свобода договора, авторское право и высокие технологии // Вестник гражданского права. 2015. Т. 15, № 5. С. 62-99.
10. Дрожжинов В. И., Куприяновский В. П., Евтушенко С. Н., Намиот Д. Е. Стратегический подход к формированию цифрового правительства США // International Journal of Open Information Technologies. 2017. Vol. 5. № 4. P. 29-54.
1. In 2019, the number of complaints received by Roskomnadzor on the subject of personal data protection increased again // Roskomnadzor : official website. 2020. January 21. URL: https://rkn.gov. ru/news/rsoc/news71528.htm [Accessed 15th June 2020].
2. Research of confidential information leaks through unprotected cloud storage / Info Watch Analytical Center : [site]. 2019. URL: https://www.infowatch.ru/resources/analytics/reports/15553 [Accessed 19th November 2019].
3. Khudobina, K. N. (2016) Cloud data storage: relevance and development trends // Nauka-Rastudent.ru : electronic scientific and practical journal. 3, 33. URL: https://nauka-rastudent. ru/27/3300/ [Accessed 18th November 2019].
4. Kovtun, M. A. (2015) Information security in cloud data storage // Vestnik of St. Petersburg State University of Technology and Design. 1, 38-41.
5. The strategy for the development of the information technology industry in the Russian Federation for 2014-2020 and for the future until 2025 : approved by Ordinance of the Government of the Russian Federation of 01.11.2013 No. 2036-r. Access from Legal Reference System «Consultant Plus».
6. Action plan («road map») «Development of the information technology industry» : approved by Ordinance of the Government of the Russian Federation of 30.12.2013 No. 2602-r. Access from Legal Reference System «Consultant Plus».
7. Cloud technologies: challenges of legal regulation // Capital: business information center : [site]. 2016. December 3. URL: https://kapital.kz/gosudarstvo/55665/oblachnyye-tekhnologii-vyzovy-pravovogo-regulirovaniya.html [Accessed 18th November 2019].
8. Polyakova, T. A., Khimchenko, A. I. (2013) Legal problems of ensuring information security in using cloud technologies // Legal Informatics. 2, 12-16.
9. Saveliev, A. I. (2015) The legal nature of cloud services: freedom of contract, copyright and high technology // Civil Law Review. Vol. 15, 5, 62-99.
10. Drozhzhinov, V. I., Kupriyanovskiy, V. P., Evtushenko, S. N., Namiot, D. E. (2017) On strategic approach to the formation of the US digital government // International Journal of Open Information Technologies. Vol. 5, 4, 29-54.
