— CNews: Алексей, в последнее время требования по информационной безопасности к компаниям со стороны регуляторов ужесточились. Насколько сложно бизнесу приспособиться к новым условиям?
Алексей Кубарев: Действительно, число требований по информационной безопасности данных и самих систем в последнее время значительно увеличилось, за их нарушение вводятся новые или ужесточаются старые меры пресечения. Складывается ситуация, при которой информационную безопасность конкретной системы нужно обеспечивать в соответствии с несколькими нормативными правовыми актами, причем разных ведомств.
Требования эти обширны и охватывают все компоненты информационной системы: физическую и сетевую безопасность на всех уровнях модели OSI (от англ. Open Systems Interconnection model), вопросы катастрофо- и отказоустойчивости, резервное копирование и восстановление, защиту от вредоносов, внутренних и внешних нарушителей, управление уязвимостями, причем все это на уровнях общесистемного и прикладного ПО.
В таком количестве требований потеряться немудрено, и их еще все нужно выполнять в условиях ускоренного импортозамещения, что усложняет задачу с точки зрения экономики, сроков и человеческих ресурсов.
Все приспосабливаются по-разному: кто-то принимает риски, кто-то их митигирует.
Первый вариант, конечно, проще, но он чреват негативными последствиями, поэтому прост он только до первого компьютерного инцидента, которого долго ждать не придется.
Избравшие второй вариант, например, T1 Облако, пошли по пути создания эффективной системы информационной безопасности. Нам, конечно, пришлось вложиться в этот путь значительными ресурсами, но зато сейчас мы уверены в результатах.
— CNews: В каких отраслях можно наблюдать наиболее обширное регулирование по ИБ?
Алексей Кубарев: На мой взгляд, наиболее обширное регулирование по ИБ сейчас в финансовой сфере. Ситуацию с информационной безопасностью в банках по своим зонам ответственности регулируют Банк России, ФСБ России и ФСТЭК России. Также необходимо соответствие истандартам международных организаций, таких как Payment Card Industry Security Standards Council и International Organization for Standardization. Кроме того, у каждого банка есть собственные требования по кибербезопасности.
Для реализации этих требований нужны инструменты, а они сложные и дорогостоящие. Необходимо содержать значительный штат сотрудников, способных эффективно управлять этим комплексом, а также, что, на мой взгляд, труднее всего, — иметь проработанные, внедренные и действительно соблюдаемые процессы по информационной безопасности.
— CNews: Как облачные провайдеры могут помочь субъектам КИИ и организациям банковской сферы в решении задач, связанных с защитой ИТ-систем?
Алексей Кубарев: Мы можем предоставить значительную часть компонентов этих систем и обеспечить их безопасность.
Представьте себе информационную систему как пирог из трех слоев: первый — инфраструктура и сеть, второй — операционная система и среда исполнения, третий — приложения и данные. Когда мы говорим про IaaS, в нашей зоне ответственности находится первый слой. В случае с PaaS — первый и второй, а SaaS — все три, — нашему клиенту остается только поучаствовать на своей стороне в защите данных.
Помимо того, что заказчик получает возможность безопасно развернуть свою информационную систему в защищенном должным образом и аттестованном облаке, он еще снимает с себя как минимум (в случае сервисов IaaS) головную боль по обеспечению физической безопасности и управления уязвимостями телеком, серверного оборудования и систем хранения данных, на которых она функционирует. Также провайдер несет ответственность за сетевую безопасность на нижних уровнях модели OSI, а также безопасность на уровне среды виртуализации. Построением, сопровождением и обслуживанием облачной инфраструктуры в Т1 Облако занимаются узкопрофильные эксперты, которые довели до совершенства свои навыки в работе с конкретными технологиями, на базе которых построено облако.
— CNews: В чем заключается ответственность облачного провайдера?
Алексей Кубарев: Очевидно, что размещать информационную систему, к которой предъявлены высокие требования по информационной безопасности, в незащищенное облако — плохая идея, ведь один из основных принципов информационной безопасности гласит, что общая защищенность системы не превышает защищенности наименее защищенного ее компонента.
В связи с этим облачная инфраструктура должна соответствовать, по меньшей мере тем требованиям, которые предъявляются к переносимой системе. Обеспечение этого соответствия относится к зоне ответственности облачного провайдера.
Последние несколько лет холдинг Т1 целенаправленно развивал не только инфраструктурные, платформенные и сервисы корпоративной бизнес-эффективности, особое внимание уделялось и развитию безопасности облака. Рост спроса на облачные сервисы и потребности клиентов в соблюдении мер ИБ привели к тому, что наличие сертификатов и аттестатов, ответственный и обдуманный подход к соблюдению мер безопасности на всех уровнях, стали одним из ключевых преимуществ, которые позволяют переносить в облако новые системы.
Т1 Облако потребовалось 2 года, внушительный объем ресурсов, а также колоссальные усилия работников нескольких подразделений, чтобы создать эффективную подсистему информационной безопасности публичного облака. В процессе развития безопасности облачной инфраструктуры наша команда обзавелась уникальными компетенциями, которыми мы готовы делиться с нашими заказчиками, подтягивая их системы к нашему уровню безопасности и снимая с них значительную часть нагрузки в данной области.
Если возвращаться к вопросу о разделении ответственности, отмечу, что пользователь облачных сервисов также обязан соблюдать стандарты ИБ как в локальном офисе, так и при работе в информационной системе, которая перенесена в облако. Кстати, мы можем помочь и в этом.
— CNews: Какой подход Т1 Облако реализует к ИБ? Какие компании могут оценить эти преимущества?
Алексей Кубарев: Мы реализуем максимально комплексный и широкий подход к обеспечению безопасности Т1 Облако. Оно аттестовано по требованиям российского законодательства о защите объектов критической информационной инфраструктуры (Федеральный закон № 187-ФЗ) по первому наивысшему уровню защищенности. Это необходимо для компаний из особо регулируемых отраслей, в частности кредитно-финансовой сферы и других участников финансового рынка, а также энергетики, промышленности, транспорта, здравоохранения, ТЭК, связи, науки.
Мы видим высокий рост спроса на облачные решения среди финансовых организаций, так как, помимо всего перечисленного инфраструктура публичного облака Т1 Облако соответствует ГОСТ Р 57580.1, сертификат PCI DSS обеспечивает безопасность размещения данных платежных карт в облаке. Иными словами, банки могут переносить в облако автоматизированные банковские системы с соблюдением всех требований регуляторов.
Соответствие Федеральному закону № 152-ФЗ «О персональных данных» по высшему уровню защиты позволяет компаниям размещать, хранить и обрабатывать любые персональные данные в облаке. Соответствие T1 Облако ГОСТ ИСО/МЭК 27001 гарантирует высокий стандарт менеджмента качества в области ИБ. Требования к хостинг-провайдерам, которые вступили в силу с 1 декабря 2023 г., мы уже тоже выполняем. Это все сейчас актуально для любого нашего заказчика — от ИП до корпорации.
— CNews: Какие еще услуги и сервисы планирует развивать Т1 Облако, будет ли усиливать защищенность своего публичного облака?
Алексей Кубарев: События последних лет подчеркнули критическую важность защиты ИТ-инфраструктуры. В ответ на это облачные провайдеры, включая T1 Облако, уделяют особое внимание безопасности. К нам обращаются компании с тем, чтобы мы помогли им с обеспечением безопасности информационных систем и ресурсов: защитили от DDoS-атак, обеспечили непрерывную и надежную работу сайтов и приложений, предоставили среду для безопасной разработки. Особо хочу отметить популярность консалтинговых услуг по ИБ, мы помогаем нашим клиентам обеспечить безопасность как в облаке с подключением сервисов по модели SecaaS, так и on-premise на стороне клиента.
Для нас также важен и комфорт клиента, его удобство при работе в облаке: для этого мы разработали единый интерфейс управления облачными сервисами, который так же входит в реестр отечественного ПО и реализует эффективные механизмы информационной безопасности.
Инструменты мониторинга и аналитики позволяют прогнозировать нагрузку и следить за потреблением ресурсов. Для удобства наших клиентов при развертывании инфраструктуры в облаке доступны популярные отечественные ОС, которые можно подключить в несколько кликов. Мы видим увеличение спроса на платформенные сервисы, в нашем облаке клиентам доступны решения, которые упрощают работу разработчиков и позволяют сконцентрироваться на развитии и ускорении time-to-market конечных сервисов и здесь очень важно обеспечить безопасную среду для разработки. Также наша команда увеличивает пул корпоративных бизнес-приложений из облака. Все сервисы доступны в едином интерфейсе управления, что позволяет оперативно подключать необходимые сервисы. В 2024 году мы планируем расширить портфель ИБ-решений, доступных в нашем облаке, чтобы помогать клиентам своевременно и эффективно реагировать на новые угрозы информационной безопасности.