Сегодня мне прислали ссылку на ранее опубликованную информацию о широкомасштабном внедрении облачных систем в сфере госуправления Тверской области (https://tvernews.ru/news/242840/)
Судя по описанию, в облако планируется перенести и расчет зарплаты.
У меня тут же возник вопрос: кто конкретно будет отвечать в случае утечки из облака и появления в открытом доступе персональных данных, например, депутатов Законодательного Собрания Тверской области? Или персональных данных Правительства Тверской области? Или тысяч других госслужащих?
Персональные данные это:
- фамилия, имя, отчество;
- год, месяц, дата и место рождения;
- адрес;
- сведения о детях;
- номера мобильных телефонов;
- номера банковских карт;
- имущественное положение;
- образование;
- профессия;
- доходы.
Вы можете спросить меня, почему у меня возник такой вопрос? Всё очень просто и очевидно.
Борис Георгиевич Нуралиев очень талантливый бизнесмен. Именно поэтому он с самым честным видом будет клясться и божиться, что облачные технологии совершенно безопасны (а ещё они самые прибыльные для его компании на данный момент).
Но вот два простых факта.
В 2018 году более 70% (!) всех утечек данных произошло именно через облака.
Объем утечек из облачных систем с каждым годом стремительно растет. Только за прошлый 2018 год количество данных, которые попали из облаков в свободный доступ, увеличилось в полтора (!) раза.
Эти данные предоставлены Аналитическим центром компании InfoWatch, президентом которой является Наталья Касперская. Для меня этот источник более серьезный, чем промо-материалы Нуралиева.
Последствия утечки персональных данных самые разнообразные: от назойливых звонков до мошенничеств, краж и ограблений. То, что регионы согласно нынешней моде на облака наперегонки бегут в облачном направлении, этих последствий никак не отменяет.
Поэтому ещё раз можно повторить вопрос: кто персонально в руководстве Тверской области будет отвечать в случае утечки информации из облака?
PS Несколько цитат с Habr на облачную тему:
- Допустим, я хочу ограбить вашу компанию, причем так чтобы не попасться. Зачем я буду долбиться в закрытую дверь (облака), когда ваши форточки (клиентские компьютеры) открыты. Продолжать вам объяснять очевидные вещи как-то не удобно.
- То есть как бы вы не старались передавать ответственность кому-бы то ни было, проблемы останутся с вами. Достаточно заполучить на клиентский компьютер троян со сниффером. Какова вероятность подобной угрозы? Да на порядок выше, чем неисправность железа.
- Все кто хотел и мог без проблем перейти в облако это уже сделали (мелкие и средние) кампании. Крупным или тем, кто работает с конфиденциальной информацией это не выгодно.
Все-таки облако в перспективе всегда дороже своей инфраструктуры.
Я, к примеру, работаю в университете. У нас порядка 40-50 серверов и множество корпоративных систем (самописных или покупных) и чтобы все это работало в облаке — нужны космические деньги. Плюс, если ты не оплатил вовремя или у тебя закончились деньги, то потерял доступ к системам. Свою инфраструктуру можно не обновлять годами — в облаке ты обязан платить всегда.
Комментарии (21)
Как говорится, читайте устав (договор в данном случае) - в ем все написано!
1С пытается активно двигать свой 1СФреш но судя по тому, как они скрывают техническую инфу об этом, облако там говенное (попробуйте у них спросить, например, категорию отказоустойчивости их ДЦ).
В нашей стране думать про инфобезопасность сейчас это удел наиболее крупных и продвинутых фирм. Потому что это дорого: кадры, софт, и так далее... Проще сунуть голову в песок и думать"Авось пронесет". Чаще всего не проносит.
Своя инфраструктура тоже не особо панацея, если админ студент-рукожоп за 20 тыр. А не рукожоп - стоит приличных денег и будет постоянно просить еще денег на апгрейд. Но экономия сразу заканчивается, когда "Ааааа, у нас все базы 1С на сервере сломались! Аааа!!!! Помогите!"
Вот так и живем...
P.S. К тому же, Вы забываете про такой плюс облака как масштабируемость - надо новые ресурсы? докупаете. Не нужны - освобождаете. Очень хорошая выгода может получиться;) В общем воротить нос от облака - глупо и недальновидно. Решать надо по задаче, что и когда выгоднее, то и использовать, а безопасность... это не от размещения зависит, а от рук "пряморукого админа".
Все зависит от вашей сетки.
На нормальном сервере можно проработать и филиалам и вам в офлайне, далее базу слить.
А ведь есть еще не интернет.
Своё железо, своя сеть. включая свои сервера - вас погасить сможет только горэлектро, и то не сразу.
Автор, неужели вы не знаете, что там работают кристально чистые люди, им нечего скрывать и стыдиться, ни имущества, ни доходов.
https://www.kommersant.ru/doc/3997757
Утечка на миллион
Персональные данные клиентов банков оказались в сети
Газета "Коммерсантъ" №99 от 10.06.2019, стр. 8
Данные клиентов ОТП-банка, Альфа-банка и ХКФ-банка оказались в открытом доступе. Утечка суммарно затрагивает интересы примерно 900 тыс. россиян,
Не дайте слиться.
Во втором варианте совсем никого нет.
И этому не дайте опуститься.