26 февраля, 2018, BIS Journal №1(28)/2018

Shadow IT. Всем выйти из тени!


Акинин Андрей

генеральный директор (компания Вэб Контрол)

В современной России развитие сегмента облачных технологий опережает общемировой уровень. Согласно отчету IDC, в 2018 году рост облачных технологий ожидается на уровне 11,8%.

В современной России развитие сегмента облачных технологий опережает общемировой уровень. Согласно отчету IDC, в 2018 году рост облачных технологий ожидается на уровне 11,8%.

Облака все больше привлекают внимание и частных предпринимателей, и крупных холдингов, при этом информационная безопасность и контроль за потоками данных становятся все более актуальными.

Что же конкретно сулит движение бизнеса в «облака» и что с этим делать ИБ-специалистам, рассказал генеральный директор компании Web Control Андрей Акинин.

- Облачные сервисы сегодня: что они собой представляют и какие из них набирают наибольшую популярность?

Сегодня мы используем облака, даже не замечая этого. Почтовые службы, CRM-системы, офисные приложения все больше внедряют облачные технологии. Сотрудники компаний используют десятки, а то и сотни облачных сервисов. И это естественно. Облачные сервисы – это удобно, они позволяют компаниям избавиться от жесткости физической ИT-инфраструктуры и привести её в соответствие с изменившимися бизнес-потребностями.

Однако, как это ни парадоксально, сегодня мало кто в полной мере осознает, что такое облачные сервисы. В основном ими считают довольно узкую группу сервисов, объединяющих Google, Amazon, Яндекс и т.п. На самом деле, даже заходя на обычные банковские сайты, можно найти множество скриптов, таких как SDM (Service Data Management), RuTarget, Google Analytics, Google tag manager и прочих, - а это тоже облака. Соответственно, заходя на многие современные сайты, мы автоматически становимся пользователями облаков и наши данные начинают перемещаться в облака, и гипотетически это является потенциальной угрозой. Современные социальные сети – тоже по сути облачные сервисы, и часто они становятся рабочим инструментом бизнеса. При этом возрастает роль облачных бизнес-систем – CRM, конференций, инструментов совместной работы.

Все они могут стать каналами, и не только утечки информации, но и проникновения вредоносного ПО или целенаправленной атаки.

Важно, что сотрудники компаний используют облака вне зависимости от того, разрешено это корпоративной политикой или нет, и далеко не всегда это вредно для бизнеса!

- В какой момент облачные сервисы становятся проблемой для бизнеса и как избежать этого?

Если социальными сетями достаточно легко управлять, поскольку они на виду, то облачные бизнес-системы могут представлять значительную угрозу. Например, так называемые Shadow IT, то есть сторонние ИТ-решения, неподконтрольные корпоративному управлению. И это не всегда облака, это могут быть любые информационные системы, находящиеся вне зоны видимости или контроля.

Информационная безопасность, к счастью, имеет достаточно инструментов для выявления облачной активности. Нужно только уметь ими пользоваться. Гораздо легче это делать не запрещая и блокируя, а регулируя и наблюдая за использованием. Чем жестче борьба, тем быстрее она уйдет в тень, где ее трудно контролировать.

Инфраструктура Shadow IT не всегда зло, часто она возникает из «добрых» побуждений, для оптимизации легитимных бизнес-процессов. Поэтому ее нужно выявлять и анализировать, и только при необходимости предложить альтернативу. Это даст возможность сделать облачную среду контролируемой, удобной и безопасной.

Изначально нужно иметь гибкий подход к облакам. С одной стороны, есть разные сервисы, платформы и инфраструктуры; с другой, все они делятся на глобальны/локальные, безопасные/небезопасные, надежные и не очень, и всегда можно найти оптимальный вариант. Необходимо выявлять потенциально небезопасные или ненадежные сервисы, и искать им надежную и безопасную альтернативу.

- Как возведение периметра отражается на взаимоотношениях между бизнес-подразделениями, ИБ и ИТ-структурами?

Те, кто пытаются сохранить четкий периметр безопасности вокруг корпоративной сети и отстаивают жесткую политику ограничений, по сути возбуждают неприятие среди сотрудников компании. Сегодня добиться гибкости бизнес-процессов и оптимизации затрат можно только при полном взаимодействии ИБ-служб, бизнес-подразделений и пользователей.

Представители ИБ должны осознать, что их задача - обеспечить безопасную деятельность пользователей, выявляя потенциальные аномалии в ИТ-структуре компании, сглаживая и выравнивая их.

Одно из наиболее эффективных решений, способных помочь наладить систему контроля за облачными сервисами, - Cloud Access Security Broker (CASB), о котором, мы и будем говорить на «облачной» сессии X Уральского форума.

CASB-решения в данном контексте делают облачные сервисы контролируемыми и безопасными, поскольку могут быть интегрированы с различными компонентами контроля облачных сервисов.

- Как компания Web Control пришла к идее продвижения решений от Symantec? В чем их отличие от других технологий, представленных на российском рынке?

За нас выбор сделал рынок. Являясь дистрибьютором Blue Coat Systems, мы активно продвигали идею обеспечения безопасного поведения пользователей в Интернет, однако эти решения обеспечивали в основном сетевую безопасность. Слияние Blue Coat с Symantec дало нам возможность значительно расширить наши возможности реализации этой идеи.

Symantec – один из мировых лидеров в области производства систем ИБ для всего спектра информационных систем от ПК до глобальных облачных сервисов. На мой взгляд, преимущество Symantec заключается в том, что развитие его продуктовой линейки идет от еndpoint («пользовательский компьютер»). Периметр безопасности современных ИТ систем сужается до границ endpoint и его защищенность становится фундаментом всей безопасности компании.

Мы традиционно занимаемся вопросами внутренней безопасности корпоративных сетей, то есть вопросами обеспечения правильного/безопасного поведения сотрудников внутри инфраструктуры компании. Как показывает наша практика, а мы работаем в этой сфере более 10 лет, значительная часть проблем сосредоточена внутри периметра, который сейчас все больше сужается до границ еndpoint. Поэтому Symantec и получил то естественное преимущество, которое делает его лидером - управление контентом внутри периметра и его полный контроль.

- Как выбрать облачного провайдера и на какие параметры необходимо обращать внимание?

Мировой рынок все больше уходит от исключительно облачных услуг (SAAS) к все более востребованной корпоративным заказчиком инфраструктуре как сервису (IAAS). Cейчас эти решения активно предлагает Ростелеком, Microsoft Azure, Google и другие компании. При этом возникает вопрос: как обеспечить в них целостность, безопасность и, что самое важное, понимать, что происходит внутри?

Бизнес всегда принимает решения, исходя из коммерческой целесообразности, и старается обойти неудобные для себя решения. Соответственно ИБ- и ИТ-службы должны делать жизнь бизнеса безопасной и эффективной. Для этого, выбирая какие-либо облачные технологи, важно обратить внимание на такие критерии: контроль привилегированного доступа (как внешнего, так и внутреннего), надежность и управляемость сервиса, а также информативность отчетности о его использовании. В рамках облачной сессии Уральского форума мы попробуем все вместе более детально ответить на вопрос, на что обращать внимание при выборе облачного провайдера.

- Что дает мониторинг Shadow IT и какие перспективы открывает для будущего?

Прежде всего, он позволяет увидеть реальную картину использования облачных технологий внутри компании. Облачные сервисы нужно учиться контролировать, а не запрещать, ведь отказаться от них - значит потерять свои конкурентные преимущества в бизнесе. Чем жестче ограничения по безопасности, тем больше вероятность, что их будут обходить. Мониторинг использования облачных сервисов позволит вывести Shadow IT из тени и превратить облачные технологии из угрозы в преимущество бизнеса.

Необходимо формировать безопасную траекторию поведения при использовании сети, что позволит эффективно и безопасно его использовать. Служба ИБ должна заботиться не о том, как запретить что-то, а о том, как сделать это безопасным и удобным для бизнеса. Это сложная задача, требующая понимания всех бизнес-процессов. 

Вообще, хватит пугать бизнес, это контрпродуктивно! Давайте искать, как ему помочь, в том числе, выявляя Shadow IT и унифицируя подходы безопасного использования облаков.

Беседовала Анна Воробьева