CC BY
40
ЗАЩИТА ДАННЫХ ПРИ ИСПОЛЬЗОВАНИИ ОБЛАЧНЫХ СЕРВИСОВ
П.А. Попов, магистрант И.С. Охрицкий, магистрант
Донской государственный технический университет (Россия, г. Ростов-на-Дону)
DOI:10.24412/2500-1000-2021-10-1-126-129
Аннотация. Данная статья посвящена облачным технологиям, которые имеют большую популярность среди активных пользователей сети Интернет, благодаря своей многопользовательской структуре, легкости в работе, экономичности. Это способствует улучшению качества работы и влечет за собой популяризацию облаков на рынке ^ услуг. В связи с огромной распространенностью облачных сервисов, имеются риски потери информации, которые обозначены в данной работе, а также сформированы методы ее защиты.
Ключевые слова: облако, безопасность, пользователи, информация, хранилище, утечки, угроза.
Безопасность облака - это раздел кибер-безопасности, посвященный защите облачных вычислительных систем. Сюда входит защита конфиденциальности и данных во всех объектах сетевой инфраструктуры, онлайн приложениях и платформах. Участвовать в этом должны как поставщики облачных услуг, так и пользователи, будь то частные лица, малые и средние предприятия или корпорации.
Облачные службы размещаются на серверах с постоянным подключением к интернету. Поставщики рассчитывают на доверие пользователей, поэтому в их интересах обеспечивать неприкосновенность хранящихся в облаке личных данных. Тем не менее, облачная безопасность отчасти находится в руках самих пользователей. Для надежной защиты важно, чтобы обе стороны понимали свою ответственность. На первый взгляд может показаться, что для обеспечения безопасности в облаке подходят те же методы, что и в традиционных 1Т-средах, но это не так. Прежде чем углубляться в тему, немного статистики.
Аналитики выяснили, что 15% сотрудников переносят критически важные для компании, данные в свои личные облачные учетные записи. В лучшем случае это означает, что данные находятся вне контроля службы безопасности, в худшем -свидетельствует о краже данных. А 16%
всех пользователей облачных сервисов выполняют привилегированные действия и 20% из них имеют доступ к конфиденциальным корпоративным данным. Все это может негативно повлиять на работу самого облачного сервиса или на большинство его пользователей. Благодаря облаку исчезли границы между личными и корпоративными учетными записями. Даже рядовые пользователи, не являющиеся администраторами, легко нарушают принципы наименьших привилегий одним нажатием кнопки «поделиться» [1].
Количество утечек данных из облачных сервисов в мире за 2019 год выросло в 3,5 раза - до 248 случаев, причем больше половины из них произошли в США и России примерно в равных долях, говорится в отчете компании InfoWatch, документ имеется в распоряжении РИА Новости.
По данным экспертов, в результате всех утечек в мире в свободном доступе оказались 8,35 миллиарда записей персональных и платежных данных. «Более 53% всех утечек из облачных сервисов зарегистрированы в компаниях США и России вместе взятых», - говорится в документе. На США приходится доля в 27,5% от общего числа утечек, а на Россию - 26,7%.
Большая доля незащищенных «облаков» в России обнаружилась в сфере здравоохранения: на них пришлось 11,4% зафиксированных в РФ случаев утечек против
9,3% - в мире. При этом ситуация в банковском и финансовом секторах в России оказалась намного лучше мировой - на эту сферу в РФ пришлось всего 1,4% «облачных» утечек против 7,7% - в мире [2].
Ситуация удручающая, однако в РФ действует ФЗ 152 о персональных данных - он регламентирует, в частности, защиту информации, размещенной в облачных хранилищах. Нарушение закона о персональных данных грозит определенными санкциями. Если оператор не защитит информацию, и к ней получат доступ злоумышленники, то его оштрафуют. Размер штрафа зависит от статуса оператора:
- физическое лицо - от 1500 до 50 000 рублей;
- должностное лицо - от 6 000 до 800 000 рублей;
- ИП - от 10 000 до 3 000 000 рублей;
- юридическое лицо - от 30 000 до 18 000 000 рублей.
Помимо денежного наказания, предусмотрены и иные административные санкции:
- лишение свободы до 5 лет;
- обязательство компенсации морального вреда;
- принудительная приостановка или прекращение обработки персональных данных;
- приостановление или аннулирование лицензий на деятельность оператора персональных данных.
Если сбор, обработка и хранение персональных данных были выполнены без согласия человека, то нарушителю полагаются следующие штрафы:
- физическое лицо - от 6 000 до 10 000 рублей;
- должностное лицо или ИП - от 20 000 до 40 000 рублей;
- юридическое лицо - от 30 000 до 150 000 рублей.
Уровень защищенности информации зависит от четырех факторов:
- тип информации;
- отношения с субъектами персональных данных: сотрудниками или клиентами компании;
- число субъектов персональных данных: больше или меньше 100 000;
— тип актуальных угроз [3].
Самые распространенные угрозы облачной безопасности по версии Cloud Security Alliance : утечка данных, компрометация учетных записей и обход аутентификации, взлом интерфейсов и API, уязвимость используемых систем, кража учетных записей, инсайдеры-
злоумышленники, целевые кибератаки, перманентная потеря данных, недостаточная осведомленность, злоупотребление облачными сервисами, DDoS-атаки, совместные технологии, общие риски.
Методы защиты данных при использовании облачных сервисов:
1. Шифрование. Для обеспечения безопасности необходимо внедрять определенную политику шифрования. Защиту данных можно производить на разных уровнях.
2. Мониторинг инфраструктуры. Злоумышленники почти всегда могут найти способ взломать систему. Поэтому для предотвращения угроз необходимо сделать так, чтобы атаки не распространялись на другие уязвимые системы. Это возможно, если блокировать несанкционированные соединения между рабочими процессами и предотвращать опасные запросы на подключение.
3. Ограничение доступа к данным. Многие уже привыкли к тому, что каждый пользователь заходит в информационную систему по своему логину и паролю. Обычно данные паролей хранятся в виде хэша в базе данных в закрытом виде. Во избежание похищения сессии авторизованных пользователей проверка логина и хэша пароля производится при загрузке каждой страницы системы.
4. Резервное копирование данных. Приложения, которые работают в облаке, защищены только в определенной степени. Периодически появляются истории, как тот или иной ненадежный облачный провайдер стер виртуальные машины или файлы в хранилище. Для полной защиты данных, которые генерируются облачными приложениями, потребуется резервное копирование в дата-центр (ЦОД) заказчика или в другое облако.
5. План аварийного восстановления. План аварийного восстановления (Disaster Recovery Plan) позволяет обезопасить бизнес от сбоев в работе ИТ-инфраструктуры и возможной потери данных. Традиционный план восстановления подразумевает создание резервной площадки, желательно в другом районе или даже городе [4].
6. Защита данных при передаче. Для защиты данных используется туннель виртуальной частной сети (VPN), связывающей клиента и сервер для получения облачных услуг. VPN-туннель способствует безопасным соединениям и позволяет использовать единое имя и пароль для доступа к ресурсам.
7. Изоляция пользователей. Использование индивидуальной виртуальной машины и сети. Виртуальные сети должны быть развернуты с использованием следующих технологий: VPN (Virtual Private
Network) и VPLS (Virtual Private LAN Service). Провайдеры часто изолируют сведения пользователей друг от друга благодаря изменениям кода в единой программной среде [5].
Таким образом, идеальным решениям для того чтобы убедить пользователя в том, что его сведения будут в безопасности является соответствие облачных услуг требованиям документов и стандартам. Другим вариантом, предоставления безопасности является выбор методов защиты данных поставщиками облачных услуг из уже известных решений. Безопасность не всегда обеспечивается только защитой. Она может быть достигнута также правилами поведения и взаимодействия объектов, высокой подготовкой персонала, безотказностью работы техники, надёжностью объектов информационной безопасности.
Network), VLAN (Virtual Local Area
Библиографический список
1. Угрозы безопасности в облаке. - [Электронный ресурс]. - URL: https://www.tadviser.m/mdex.php/Статья:Главные_угpозы_безопасности_в_облаке#. Дата обращения (21.10.2021 г.).
2. Исследование: США и Россия лидируют по числу утечек данных из "облаков". -[Электронный ресурс]. - URL: https://ria.ru/20200618/1573095437.html. Дата обращения (21.10.2021 г.).
3. Федеральный закон "О персональных данных" от 27.07.2006 N 152-ФЗ (с изм. от 02.07.2021).
4. Мельников А. Основные способы обеспечения безопасности данных в облаках. 2019 г. - [Электронный ресурс]. - Режим доступа: https://serverspace.by/about/blog/elementi-obespecheniya-bezopasnosti-v-oblakah/, свободный. Дата обращения (21.10.2021 г.).
5. Котяшичев И. А. Защита информации в «Облачных технологиях» как предмет национальной безопасности / И. А. Котяшичев, Е. А. Бырылова // Молодой ученый. — 2015. — № 6.4 (86.4). — С. 30-34.
DATA PROTECTION WHEN USING CLOUD SERVICES
S.A. Popov, Graduate Student I.S. Okhritsky, Graduate Student Don State Technical University (Russia, Rostov-on-Don)
Abstract. This article is devoted to cloud technologies, which are very popular among active Internet users, due to their multi-user structure, ease of use, and cost-effectiveness. This contributes to the improvement of the quality of work and entails the popularization of clouds in the IT services market. Due to the huge prevalence of cloud services, there are risks of information loss, which are indicated in this work, as well as methods for its protection are formed. Keywords: cloud, security, users, information, storage, leaks, threat.
