Кто ответит за утечку персональных данных из облака?
Сегодня мне прислали ссылку на ранее опубликованную информацию о широкомасштабном внедрении облачных систем в сфере госуправления Тверской области (https://tvernews.ru/news/242840/)
Судя по описанию, в облако планируется перенести и расчет зарплаты.
У меня тут же возник вопрос: кто конкретно будет отвечать в случае утечки из облака и появления в открытом доступе персональных данных, например, депутатов Законодательного Собрания Тверской области? Или персональных данных Правительства Тверской области? Или тысяч других госслужащих?
Персональные данные это:
- фамилия, имя, отчество;
- год, месяц, дата и место рождения;
- адрес;
- сведения о детях;
- номера мобильных телефонов;
- номера банковских карт;
- имущественное положение;
- образование;
- профессия;
- доходы.
Вы можете спросить меня, почему у меня возник такой вопрос? Всё очень просто и очевидно.
Борис Георгиевич Нуралиев очень талантливый бизнесмен. Именно поэтому он с самым честным видом будет клясться и божиться, что облачные технологии совершенно безопасны (а ещё они самые прибыльные для его компании на данный момент).
Но вот два простых факта.
В 2018 году более 70% (!) всех утечек данных произошло именно через облака.
Объем утечек из облачных систем с каждым годом стремительно растет. Только за прошлый 2018 год количество данных, которые попали из облаков в свободный доступ, увеличилось в полтора (!) раза.
Эти данные предоставлены Аналитическим центром компании InfoWatch, президентом которой является Наталья Касперская. Для меня этот источник более серьезный, чем промо-материалы Нуралиева.
Последствия утечки персональных данных самые разнообразные: от назойливых звонков до мошенничеств, краж и ограблений. То, что регионы согласно нынешней моде на облака наперегонки бегут в облачном направлении, этих последствий никак не отменяет.
Поэтому ещё раз можно повторить вопрос: кто персонально в руководстве Тверской области будет отвечать в случае утечки информации из облака?
PS Несколько цитат с Habr на облачную тему:
- Допустим, я хочу ограбить вашу компанию, причем так чтобы не попасться. Зачем я буду долбиться в закрытую дверь (облака), когда ваши форточки (клиентские компьютеры) открыты. Продолжать вам объяснять очевидные вещи как-то не удобно.
- То есть как бы вы не старались передавать ответственность кому-бы то ни было, проблемы останутся с вами. Достаточно заполучить на клиентский компьютер троян со сниффером. Какова вероятность подобной угрозы? Да на порядок выше, чем неисправность железа.
- Все кто хотел и мог без проблем перейти в облако это уже сделали (мелкие и средние) кампании. Крупным или тем, кто работает с конфиденциальной информацией это не выгодно.
Все-таки облако в перспективе всегда дороже своей инфраструктуры.
Я, к примеру, работаю в университете. У нас порядка 40-50 серверов и множество корпоративных систем (самописных или покупных) и чтобы все это работало в облаке — нужны космические деньги. Плюс, если ты не оплатил вовремя или у тебя закончились деньги, то потерял доступ к системам. Свою инфраструктуру можно не обновлять годами — в облаке ты обязан платить всегда.