Призма всевидящего ока: программа PRISM и что она значит для будущего облачного бизнеса

Безопасность
PRISMВсего несколько дней назад произошло событие, которое может иметь важные и далеко идущие последствия для всего облачного бизнеса.

В газете Washington Post был опубликован материал, который рассказал всему миру о шпионской программе PRISM, которая создавалась и внедрялась в американских компаниях, таких как крупные операторы связи (Verizon) и ИТ-компании (Microsoft, Google, Apple) с целью сбора информации о их клиентах.

Заказчиком программы является АНБ (Агентство Национальной Безопасности США) – организации, которая в основном занимается ведением радиоразведки, решением задач защиты данных и криптографии. АНБ является ключевой структурой в составе Разведывательного сообщества США, сейчас эта организация влиятельней, пожалуй, даже ЦРУ, и ее значимость продолжает увеличиваться.

Программа PRISM работала уже несколько лет к тому моменту когда о ее существовании стало известно публике. И эта новость может стать сильнейшим ударом для облачных компаний, которые ориентировались на сотрудничество с бизнес-структурами, особенно в США.

Все вижу, все слышу, ничего никому не скажу


Итак, что представляет собой PRISM?

Согласно отчету Washington Post, который базируется на утекшей внутренней презентации и видео-роликах, с помощью PRISM собирались метаданные о всех телефонных звонках, совершаемых в сетях крупных операторов связи, а также информация, которую предоставляли крупные ИТ-компании США, а по совместительству – международные сервис-провайдеры. В их число вошли Microsoft, Yahoo, Google, Facebook, PalTalk, AOL, Skype, YouTube и Apple.

Компании в PRISM - Фото с сайта The Washington Post

Другие данные из презентации сообщали, что АНБ, в своей работе, все больше полагается на данные добытые с помощью PRISM. В частности, данные используются для составления разведывательных материалов, которые презентуются в докладах высшим государственным лицами, в частности – президенту США.

Весьма примечательно, что одна программа вносит такой вклад в работу АНБ, учитывая какими объемами данных оперирует АНБ – миллиарды записей данных каждый год. Из этого уже становится неудивительным тот факт, что именно АНБ является одним из крупнейших строителей дата-центров в США.

В примечаниях к презентации присутствует следующая фраза:

«98% информации, поставляемой PRISM базируется на данных, собранных Yahoo, Google и Microsoft – необходимо приложить все усилия, чтобы эти источники не пострадали»
Многое становится понятно, если учесть, что сервисами, которые предоставляют эти компании, пользуется огромное количество клиентов по всему миру. И стоит принять во внимание что основной целью программы PRISM является именно наблюдение (или шпионаж) за иностранцами, наблюдение за гражданами США (во всяком случае, такова общепринятая версия) ведется только потому, что надежно отличить первых от вторых зачастую весьма сложно.

Согласно презентации, по требованию офицеров АНБ, компании могут предоставить такие данные как e-mail, логи чатов, фото и видео, хранящиеся файлы и прочее. Все это могло предоставляться разведслужбам по требованию и ранее, но только по специальному запросу, который должен был быть обоснован решением суда, в то время как PRISM осуществляет «ковровое» наблюдение. Разумеется, это не значит, что кто-то уже успел просмотреть ваши документы на Google Docs или почту в Outlook, но возможности для этого присутствуют. При этом все компании, чьи имена присутствуют в списке, отрицают свою причастность к программе и сам факт своей осведомленности о существовании такой программы. Впрочем, эти заявления не несут никакой новый информации, так как если программа существует, скорее всего ее участники связаны договором о неразглашении, так что вне зависимости от истинного положения дел, сделать что-либо, кроме как отрицать все, они не могут. Не говоря уже о том, что признать факт участия в разведывательном проекте, направленном на шпионаж за своими пользователями означало бы совершить PR-суицид для любой публичной компании.

Кстати, о PR. С точки зрения публичной реакции, защищаться от обвинений будет очень тяжело. В лучшем случае, если вся история с PRISM не более чем фальсификация, доказать это и восстановить свою репутацию будет очень тяжело, так как доверие уже было подорвано неоднократными нарушениями приватности пользователей, которые совершались в той или иной мере всеми крупными интернет-компаниями. Если доступ действительно осуществлялся без их ведома, то в лучшем случае – это некомпетентность, а в худшем – халатность с их стороны. Если же они действительно принимали участие в PRISM, то они сознательно лгут чтобы выгородить себя и своих сообщников. С какой стороны не посмотри – PR-катастрофа.

Впрочем, все не так просто. Лица, у которых просят комментариев могут действительно ничего не знать, если сотрудники, скажем Google, которые работали с АНБ, подписали соглашение о неразглашении информации.

Google очень большая компания, и какими бы гениями менеджмента не были Сергей или Ларри, они не могут знать обо всем что происходит в компании. Не говоря у же о том, что разглашение таких сведений законодательством США трактуется как государственная измена.
Фактически же дела обстоят так, что в любой стране ИТ-компания, достигшая достаточного влияния и успеха, рано или поздно, попадает в поле зрения разведывательных структур, и начинаются переговоры, в которых фигурируют такие понятия как «гражданский долг», «взаимовыручка» и «взаимовыгодное сотрудничество».

Взаимосвязанность ИТ и разведки отнюдь не уникальное для США явление. В случае «непонимания», упомянутую компанию могут постигнуть различные неприятности, и логично предположить, что гиганты ИТ не были бы там, где они находятся сейчас, если бы они отказывались от таких предложений.

Небезопасная гавань


Результатом предания огласке проекта PRISM может стать беспрецедентное падение доверия к облачным решениям. Особенно тем, чьи дата-центры размещены в США, особенно со стороны корпоративных пользователей.

Безопасность всегда была одним из слабых мест облачных решений, и у противников таких решений только что появился очень веский аргумент против перевода корпоративных ИТ-систем на мощности публичных провайдеров, особенно — американских.

Теперь популярность Microsoft Azure и Google Compute Engine находится под большим вопросом, особенно учитывая что в списке не было ни Amazon, ни компаний, которые размещают свои сервисы на его платформе.

Впрочем, сомнительно, что Amazon сможет долго удерживать нейтралитет. В любом случае, сервисы размещающие свои серверы на территории Европы, где законы о неприкосновенности частной информации гораздо более строги, в дальнейшем будут пользоваться большей популярностью. Однако основным вариантом для развертывания корпоративных облачных систем, теперь скорее всего будут решения типа OpenStack – программные платформы, желательно open-source, предоставляющие возможности, сопоставимые с публичными провайдерами, но размещаемые на собственном оборудовании.

Комментарии (0)


Добавление комментариев доступно только зарегистрированным пользователям. Используйте свою существующую учетную запись для авторизации. Если у Вас еще нет учетной записи на сайте ее можно создать пройдя несложную процедуру регистрации. Кстати, для входа на сайт, наравне с учетной записью на cloudzone.ru, можно использовать аккаунт из следующих популярных сервисов: Яндекс, Facebook, Google и LinkedIn