Защита информации в сфере облачных вычислений

В настоящее время современные технологии становятся неотъемлемой частью жизни современного общества. Развитие облачных вычислений, в свою очередь, выступают в качестве одного из основных направлений развития как российских, так и иностранных информационных и коммуникационных технологий. Рассматриваемая тема имеет непосредственную связь с информационной безопасностью, которая играет значительную роль как на национальном, так и на международном уровне и тесно связана с защитой информации при использовании облачных технологий.

Идея облачных технологий была выдвинута в 1970-х г. Джозефом Ликлайдером и заключалась в том, что пользователь посредством подключения к сети может получать не только данные, но также и программы для их обработки. Активное развитие сети Интернет и многие другие факторы поспособствовали продвижению данной идеи, и уже  в 2006 г. концепция получила свою практическую обоснованность: компания Amazon продемонстрировала инфраструктуру веб-сервисов, которая обеспечивала предоставление удаленных вычислительных мощностей. В дальнейшем подобные сервисы были представлены такими крупными компаниями, как Google, Microsoft и некоторыми другими. [3, с. 200]

Как такового общепринятого понятия облачных вычислений на данный момент нет. Однако в Указе Президента от 2017 года № 203 дается определение облачных вычислений, под которыми подразумевается информационно-технологическая модель обеспечения доступа к настраиваемым вычислительным ресурсам, приложениям, сервисам, которые могут быть быстро предоставлены и освобождены от нагрузки с небольшими эксплуатационными затратами или же практически без участия провайдера. [5]

Таким образом, выходит, что одна из особенностей таких облачных технологий – быстрое предоставление доступа к необходимым ресурсам с минимальным участием провайдера. Компьютерные мощности серверов можно использовать для хранения данных, работы с прикладными программами, а также для иных задач. Соответственно, в связи с тем, что это выполняется на серверах через Интернет, а не на персональном компьютере, о такой работе можно говорить как о работе в «облаке».

На 55 сессии рабочая группа IV Комиссии Организации Объединенных Наций по праву международной торговли (ЮНСИТРАЛ) выделила такие способы возможной организации облачной обработки компьютерных данных на основе контроля, как: общинное облако (облачные услуги предназначены для конкретной группы клиентов, контроль за ресурсами осуществляет один из членов этой группы), частное облако (облачные услуги используются одним клиентом, он же и осуществляет контроль за ресурсами), общедоступное облако (услуги доступны любому клиенту, контроль осуществляет их поставщик), а также гибридное облако (использование хотя бы двух разных моделей в облачной среде). В качестве общих характеристик облачных вычислений Комиссия выделяет: широкий доступ к сети из любого места, где доступна сеть, при использовании различных устройств (телефоны, ПК, планшеты и тд), самообслуживание по мере необходимости, способность оперативно как расширять, так и ограничивать масштабы доступа и услуг, объединение ресурсов, а также некоторые другие характеристики. [8]

Облачные технологии имеют как достоинства, так и недостатки. Так, к примеру, их использование приносит определенную выгоду в силу того, что облачная обработка компьютерных данных предоставляет доступ к ИТ ресурсам без значительных затрат. Стоит обратить внимание и на такое достоинство, как упрощение онлайн сотрудничества в глобальном масштабе, что, в свою очередь, является одним из вспомогательных инструментов инновационного и экономического роста. [9]  Эти и некоторые другие преимущества позволяют рассматривать облачные технологии в качестве одного из ключевых инструментов инновационного прогресса.

В то же время имеются и определенные недостатки. В первую очередь это относится к сохранности данных в силу того, что заказчик делегирует определенные функции поставщику облачных услуг, по этой причине возникают некоторые угрозы в области информационной безопасности в части, касающейся осуществления обработки и сохранения данных. К возможным рискам можно отнести перехват сообщений и прочие кибератаки, способные повредить регистрационные данные для доступа к услугам облачных вычислений. Все это требует большей осмотрительности от сторон, надежной изоляции ресурсов и проведения процедур по обеспечению безопасности.

В 2018 году Комиссией ЮНСИТРАЛ была рассмотрена рекомендация, касающаяся издания в виде онлайнового справочника проекта комментариев по основным вопросам, связанным с договорами об облачных вычислениях; сам проект был рассмотрен на 52 сессии Комиссии в 2019 году.  Так, в проекте комментариев по основным вопросам, связанным с договорами об облачных вычислениях, подготовленном Секретариатом ЮНСИТРАЛ, указывается, что безопасность системы, в том числе и безопасность клиентских данных, предполагает солидарную ответственность сторон, поэтому в договоре необходимо указывать взаимные обязанности сторон по мерам безопасности. В  стандартных договорах может содержаться оговорка о том, что ответственность за сохранение целостности данных клиента в конечном счете будет нести он сам. В части вопроса политики приемлемого использования, стоит также учитывать, что не все угрозы находятся в рамках действия договора между клиентом и поставщиком и, соответственно, по этой причине могут потребовать согласования условий договора об облачных вычислениях с условиями других договоров. В качестве примера такого случая указывается договор с поставщиками услуг Интернета.[7]

В статье 18 Федерального закона №152 «О персональных данных» закреплено, что при сборе персональных данных хранение, запись, накопление и некоторые другие, перечисленные в данной статье, действия оператор обязан обеспечить с использованием баз данных, которые находятся на территории России. Согласно 12 статье данного закона возможна трансграничная передача персональных данных на территории государств, которые являются сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, а также государств, которые обеспечивают адекватную защиту прав субъектов данных. [4] В иных же случаях это возможно, если допускается договором, где одной из сторон выступает субъект персональных данных либо же если провайдером было получено письменное согласие на трансграничную передачу.

Таким образом, выходит, что требования о локализации баз персональных данных порой выступают определенным препятствием для использования услуг иностранных облачных провайдеров. При этом также стоит обратить внимание, что на данный момент законодательное закрепление требований по обеспечению информационной безопасности при использовании облачных технологий отсутствует, в связи с чем можно сказать, что у пользователя  могут возникать трудности при оценке надежности облачного сервиса и степени сохранности конфиденциальной информации.[1]

Определенные препятствия вызывает отсутствие единого нормативно-правового акта, действие которого было бы направлено на урегулирование отношений, непосредственно связанных с облачными технологиями. Однако стоит упомянуть о проекте Федерального закона от 2014 года «О внесении изменений в отдельные законодательные акты РФ в части использования облачных вычислений» (на рассмотрение в Государственную Думу не внесен), где речь ведется о внесении изменений в Федеральные законы «Об информации, информационных технологиях и о защите информации», «О персональных данных» по вопросам понятий, условий, ответственности в области облачных вычислений, способов организации предоставления услуг облачных вычислений и т.п.[10]

Стоит также обратить внимание на то, что сейчас многими странами, например, странами Европейского Союза (далее – ЕС) вопросам защиты данных, в том числе и в сфере облачных вычислений,  уделяется не мало внимания. В частности, стоит отметить Общеевропейский регламент о защите персональных данных, который содержит в себе правила их обработки автоматизированными средствами и иными способами, представляющими собой часть файловой системы либо же имеющими цель стать такой частью. [6] Данный документ ориентирован в первую очередь на сферу защиты, конфиденциальности и экспорта за пределы ЕС персональных данных. Немаловажную роль играют и программные документы ЕС, которые определяют приоритетные направления развития в сфере информационных технологий. Это, например, такие документы, как: Стратегия «Раскрытие потенциала облачных вычислений в Европе» 2012 г., в развитие которой была принята Резолюция о раскрытии потенциала облачных сервисов и технологий от 2013 г., раскрывающая основные вопросы, связанные с «облаком», «Стратегия Цифрового Единого Рынка для Европы»  2015 г., где за основу берется активное привлечение участников в электронную коммерцию и повышения их доверия друг к другу,  и некоторые другие. [2] В дополнение к этому, страны ЕС принимают национальные законодательные акты, непосредственно направленные на урегулирование сферы облачных вычислений. Обеспечение защиты и целостности данных занимает ключевое место в европейском законодательстве. 

Таким образом, зарубежный опыт позволяет сделать вывод о необходимости разработки более четкого подхода к данной сфере и в России. В частности, есть определенная необходимость в систематизации  деятельности, связанной с облачными вычислениями, в выработке способов снижения определенных рисков в данной сфере, т.к. само по себе развитие облачных технологий пока имеет стихийный характер.

В силу своих преимуществ облачные технологии пользуются широким распространением и набирают все большую популярность по всему миру, а это дает основание говорить о необходимости дальнейшего развития и совершенствования законодательства в этой сфере не только на национальном, но также и на международном уровне.