Доверие к облакам. Вопросы и ответы
Мы наработали обширную практику, знаем, чего опасаются заказчики в модели SaaS. Рассмотрим какие опасения высказываются и как они разрешаются.
В феврале 2015 года компания DIRECTUM анонсировала облачный сервис электронного документооборота - DirectumRX. Сервис предоставляется по модели SaaS. Среди СЭД эта модель была редкостью. За эти два года мы наработали обширную практику, знаем, чего опасаются заказчики в модели SaaS. Рассмотрим какие опасения высказываются и как они разрешаются.
Ответы и советы будут справедливы не только для конкретного продукта, но будут полезны для компаний, планирующих использовать другие облачные решения.
Как вы защищаете наши данные?
Защита данных – важный аспект, который волнует заказчиков в первую очередь. Рассмотрим варианты атаки и соответствующей защиты.
Первый вариант атаки - Получить доступ к рабочему месту пользователя.
Злоумышленником может выступать другой сотрудник своей же организации (чаще всего так и бывает).
Защита: Нужно соблюдать правила:
● настроить пароль пользователя в операционной системе;
● уходя, блокировать компьютер;
● закрывать кабинет на ключ.
Но даже если эти правила нарушены, система документооборота будет дополнительным рубежом защиты, так как на компьютере важных документов не будет – они хранятся в СЭД. А для доступа к СЭД нужно ввести пароль.
Второй вариант атаки - Получить доступ к серверному оборудованию.
Как это может выглядеть со стороны злоумышленника:
● пробираемся в серверную центра обработки данных;
● добираемся до нужного сервера;
● дальше – дело техники.
Защита: В случае DirectumRX данные хранятся в специализированном дата-центре. В здании дата-центра осуществляется контроль доступа и ведется видеонаблюдение. Внутри постоянно находятся дежурные. Получить физический доступ к данным посторонний человек не может.
Третий вариант атаки – сам облачный сервис.
Тут есть несколько вариантов:
1. Перехват трафика между сервером и клиентским приложением.
Защита: В DirectumRX используется шифрование HTTPS, а работа с невалидным сертификатом запрещена. Это защищает от таких методов как «перехват пакетов» и MITM-атаки. Даже если злоумышленник сможет расшифровать данные, то окажется, что они зашифрованы дополнительно. Система DirectumRX оснащена дополнительным внутренним шифрованием трафика.
2. Атака на ошибки СЭД. Ошибки являются одним из вариантов получения доступа к конфиденциальным данным.
Защита: Мы осуществляем ежедневный мониторинг всех ошибок, которые возникают у наших заказчиков. Все ошибки сортируются и оперативно централизованно устраняются, чтобы этим не успели воспользоваться.
3. Атака на ошибки общесистемного ПО сервера, DDos-атаки, вирусы и прочие варианты воздействия на сервер.
Защита: Не будем здесь углубляться. Важно то, что защиту от этих воздействий обеспечивает дата-центр. Со своей стороны, мы, как поставщик облачной СЭД, несем финансовую ответственность за доступность нашего сервиса. А это значит, что любой простой компенсируется заказчику. По условиям SLA доступность сервиса 99%. Фактически уровень даже выше.
SLA (англ. Service Level Agreement) – договор между заказчиком услуги и ее поставщиком, содержащий описание услуги, права и обязанности сторон и, самое главное, согласованный уровень качества предоставления данной услуги. |
А не уйдут ли наши данные на сторону?
Часто слышу такое опасение: «А что вам мешает продавать наши документы конкурентам?». Вопрос кажется справедливым, если не вдаваться в детали.
Но давайте проведем аналогию и зададим себе другой вопрос: Что мешает банку просто забрать деньги одного из своих вкладчиков? Ответ очевиден: больше вкладчиков у этого банка не будет. Поэтому в нашем случае ответ тоже прост: посмотрите на поставщика облачной СЭД. Давно ли он на рынке? Какова его репутация? Собирается ли он работать и дальше? Если ответ «Да», то ваши данные в безопасности.
Как нам забрать свои документы, если мы захотим?
Важно, чтобы поставщик SaaS-решения предоставлял возможность выгрузить документы в случае необходимости. В DirectumRX, даже если заказчик, по какой-то причине, решил отказаться от сервиса, он может выгрузить документы из облака, даже если не оплачена подписка на сервис.
Также, бывает необходимость перенести базу данных на локальный сервер. Разумеется, это всегда возможно, и мы помогаем заказчику с выгрузкой.
Если у нас пропадет интернет, что тогда?
Вот тут мы не властны. Пожалуй, это единственное, что может случиться с каждым и тут ничего не поделаешь. Но, в наше время, это все-таки редкость. Конечно, бывают труднодоступные местности с нестабильным или слабым подключением к Интернет, но для большинства наших заказчиков такой проблемы нет. Конечно, могут случаться отдельные инциденты, но в целом, думаю, эта проблема уже в прошлом. Преимущества облачных сервисов уж точно перебивают этот риск.
А если вы завтра закроетесь?
Справедливое опасение. Пользуясь облачным решением заказчик, держит свои данные на стороннем хостинге. Если компания, предоставляющая SaaS решение, молодая и еще не зарекомендовала себя, то есть риск, что, рано или поздно, она может просто исчезнуть вместе с данными своих заказчиков. Вывод: если нужны гарантии, доверяйте надежным и опытным партнерам.
Простой способ оценить надежность компании – посмотреть, сколько у неё крупных заказчиков. Если их много, то значит они регулярно обслуживаются и закупают доп. услуги и ПО. Это повышает финансовую стабильность компании и гарантирует, что мгновенно она не исчезнет.
Кроме того, обратите внимание на другие факторы:
● сколько лет вендор на рынке;
● какой штат специалистов занимается разработкой, сопровождением и внедрением SaaS‑решения;
● количество новых клиентов за текущий год и в динамике за последние 2-3 года;
● растет ли количество сотрудников вендора;
● может быть в недавнем прошлом компания открыла новый профильный центр разработки или представительство в другом городе и т.д.
Вместо заключения
Облакам можно и нужно доверять. Просто нужно тщательно выбирать поставщика и внимательно ознакомиться с предлагаемым SLA. Облака уже давно не какая-то диковинка, они во многих случаях оказываются удобнее, дешевле и проще, чем локальные решения.
Читайте также:
● Доверие к облакам выросло у 74% российских компаний
● Исследование: Готовы ли российские компании к облакам?
Источник: DIRECTUM Club
Комментарии 4
Не понял, как связано логгирование исключительных ситуаций (или что вы понимаете под словами "всех ошибок, которые возникают у наших заказчиков") и ошибки безопасности?
Вообще-то мешают ему ответственность, которую он несет перед законом, а также легкость обнаружения и доказательства факта присвоения. При чем здесь репутация?
А вот сделать копию конфиденциальных данных не представляет никакой проблемы, а обнаружить это будет очень и очень не просто.
А вот в случае On Premise развертывания он мог бы продолжать и дальше пользоваться ПО. Ну да, не было бы обновлений и исправления ошибок, но зато и не было необходимости начинать всё сначала.
Если кто-то считает, что возможность выгрузить свои документы - это панацея, он глубоко заблуждается. По сути после такого нужно начинать весь процесс внедрения заново.
Нет, конечно, если сравнивать с полной невозможностью получить ничего, это уже хоть что-то....
Вы заблуждаетесь. Аварии даже у магистральных провайдеров происходят регулярно. А еще бывают проблемы у локальных поставщиков и у самих дата-центров.
Кроме того, помимо полного пропадания связи бывают проблемы с падением качества - при разделяемом канале это встречается сплошь и рядом. А далеко не каждая компания может позволить себе покупать выделенную полосу.
Ну а еще можете, ради просвящения, узнать как обеспечены Internet ЛПУ (лечебно-профилактические учреждения) по Удмуртии - узнаете много нового, я уверен. Впрочем, возможно ваша компания просто не рассматривает их в качестве потенциальных клиентов...
Вы серьезно? Как связано количество и величина заказчиков с а) финансовым положением компании б) прибыльностью сервиса в) желанием компании им заниматься?
Аналогчино "идут лесом" все перечисленные далее критерии.
Простите и это заявляет представитель компании, которая открыто говорит, что не хранит свои конфиденциальные документы в собственном же облачном сервисе?
Вот тут Кто сильнее: сисадмин или 15 облачных сервисов? - четко сказано:
Хранение документов происходит в DIRECTUM, потому что файлы большей частью конфиденциальные
Только личное мнение. Сфера применения облачных технологий будет постоянно расширяться - это неизбежность. Естественно, появляется новая технология, и появляются новые угрозы и риски, и мы должны уметь управлять этими рисками, минимизировать их. А вопросов к СЭД в облаке, конечно, много. Ну, например, в случае ухода облачного провайдера, что делать с тем, что накопили в облаке? Нас ведь интересуют не только документы, но и метаданные документов, метаданные бизнес процессов. Можно ли будет выгруженные из облака метаданные "безболезненно" импортировать в нашу "локальную" СЭД? Будет ли с нами возиться, уходящий с рынка облачный провайдер? И т.д. Кстати, интересно было бы посмотреть "типовое соглашение (договор) с облачным провайдером".
P.S, А как вопрос обеспечения конфиденциальности решается в случае взаимодействия с оператором ЭДО? Несет ли он ответственность перед законом?
Новая статья в тему облачных продуктов, доверия и "портрета" потребителя Сервисы Google в основе работы с корпоративным контентом в средней компании
ЛПУ, конечно, не вписываются сюда. А вот те, кто посредине шкалы доверия между сервисами Гугл и традиционными СЭД -- это как раз потребители облачных СЭД.
Лена, а где там про доверие?
Ребята, судя по всему, вопросами доверия/недоверия не заморачиваются от слова "вообще".