Где притаились подводные грабли, или 6 вопросов, которые стоит задать себе или своему облачному провайдеру

Безопасность
Вопросы облачному провайдеруBYOD «стучится в наши сердца» и серверы, зачастую корпоративные… Удобство использования, отсутствие альтернатив, необходимость быстрого решения проблем, наконец, банальная лень — все это, причины по которым все больше и больше конфиденциальных данных оказываются в частных облаках, куда их приносят сотрудники. Иногда простота «жизни» в публичном облаке («вы только нажимаете на кнопку») берет верх над соображениями безопасности, иногда это вопрос экономии на персонале и инфраструктуре. Впрочем, это не так важно…

Часто ли вы читаете условия предоставления услуг? Ну, те длинные стены текста которые все проматывают/прокликивают чтобы побыстрее перейти к установке приложения/регистрации в сервисе и так далее. Это стало привычкой — вредной привычкой. Иногда, а когда дело касается выбора сервиса не для личного пользования — всегда, стоит читать все, в том числе и написанное мелким шрифтом. Чем мельче шрифт, тем больше могут быть проблемы в будущем.

Возьмем, например, когда проведенную акцию от Mail.ru, в рамках которой бесплатно обещали 1 Тб пространства в облаке. Много места — это хорошо, однако при внимательном прочтении лицензионного соглашения там обнаруживаются такие пункты, как – разрешение на использование хранимого контента — в частности, профессиональным фотографам размещать данные в таких хранилищах не рекомендуется, или другой пункт, который дает Mail.ru право в любой момент без предупреждения удалять любой контент, который «нарушает и/или может нарушать законодательство Российской Федерации, положения настоящего Соглашения, права других Лицензиатов или третьих лиц, причинять им вред или угрожать безопасности». В такую формулировку при желании можно впихнуть что угодно.

Впрочем, аналогичные пункты можно найти и в соглашениях других провайдеров. Важно внимательно изучать условия предоставления услуг, в частности некоторые пункты, которые непосредственно касаются безопасности данных. Ниже приводится небольшой список основных вопросов, которые стоит изучить прежде чем начинать деловые отношения с провайдерами. Это касается как сервисов потребительского класса, которые прокладывают себе дорогу в офисы в личных смартфонах сотрудников, так более ориентированных на корпоративных пользователей — Box, Amazon и так далее.

1. Имеет ли провайдер доступ к вашей информации, если да — какого уровня? У кого хранятся ключи шифрования — у вас или на серверах провайдера? Во многих соглашениях провайдеру предоставляется неограниченный доступ к тому, что хранится на его серверах. Сейчас все сервисы шифруют данные, но ценность такого шифрования резко снижается, учитывая что ключи хранятся там же. Если злоумышленник захочет получить доступ к вашим данным, то ему не надо будет даже приближаться к периметру корпоративной защиты — всю необходимую информацию можно получить у провайдера, с которым вы работаете.

2. Может ли провайдер вносить изменения в размещаемые данные? Иногда провайдер запрашивает разрешение вносить изменения в хранимую информацию — для упрощения задач резервирования и форматирования хранимой информации.

3. Может ли провайдер изменить условия предоставления услуг в произвольное время? Или перед внесением изменений он обязан предупредить клиентов — в какие сроки? Это важно, так как новые условия могут быть неприемлемыми для вас и данные придется извлекать из облака, но времени может не быть… Похожий сценарий был когда обанкротился Nirvanix — скорее всего менеджмент знал о плачевном финансовом состоянии компании, но клиентов не предупредил (скорее всего опасаясь, что такое сообщение вызовет отток клиентуры и добьет компанию еще быстрее, но все же).

4. Когда и сколько придется платить? Многие провайдеры начинают с freemium-пакетов, но они длятся недолго — месяц-два, а услуги корпоративного класса стоят недешево… Стоит заранее оценить, какой пакет услуг вам необходим, и в какие расходы это выльется в кратко- и долговременной перспективе.

5. Несет ли провайдер ответственность за сбои в работе и утечки информации? Как правило, в случае взлома и утечки информации с серверов провайдера, он материальной ответственности не несет.

6. Что произойдет когда контракт потеряет силу — по штатным или нештатным причинам? Так как данные хранятся удаленно, то стоит удостовериться, что вы можете получить их назад — особенно в случае когда контракт разрывается со стороны провайдера.

Многие организации плохо понимают, какой уровень доверия должен существовать между облачным провайдером и компанией, которая предоставляет данные на хранение. Важно понимать свои права, когда это права клиента, который пользуется чужой инфраструктурой. И еще важнее делать это заранее, прежде чем ставить галочку в чекбоксе — или подпись на бумаге.

Комментарии (0)


Добавление комментариев доступно только зарегистрированным пользователям. Используйте свою существующую учетную запись для авторизации. Если у Вас еще нет учетной записи на сайте ее можно создать пройдя несложную процедуру регистрации. Кстати, для входа на сайт, наравне с учетной записью на cloudzone.ru, можно использовать аккаунт из следующих популярных сервисов: Яндекс, Facebook, Google и LinkedIn