Хранение персональных данных в облаке: Защита персональных данных в облаке по 152-ФЗ

Облако ФЗ 152 | Защищенный хостинг

Хранение персональных данных (ФЗ-152)

Решение «Облако ФЗ 152» упрощает соблюдение требований законодательства 152-ФЗ для операторов ПДн и помогает избежать нарушений, связанных с хранением персональных данных российских граждан.
Иными словами, если российское законодательство обязывает вашу компанию принимать все необходимые организационно-технические меры для защиты личных данных от несанкционированного и неправомерного доступа, выбирайте готовое решение от Cloud4Y.

White Paper об обработке данных

Мы обновили White Paper — подробное руководство по защите персональных данных по ФЗ-152.

Какой уровень защищённости вам нужен

Компании, так или иначе работающие с ПДн, обязаны выполнять требования ФЗ-152, обеспечивая защиту этих данных. В законе перечислены четыре категории персональных данных:

Общедоступные

Данные из открытых источников, которые опубликованы самим человеком или с его согласия. Например, список участников забега, опубликованный на сайте и в соцсетях организатора.

Биометрические

Биологические и физиологические характеристики, позволяющие идентифицировать человека. Например, отпечаток пальца, скан радужки глаза, ДНК.

Специальные

Информация о расовой принадлежности, состоянии здоровья, политических взглядах человека. Например, история болезни, поставленный врачами диагноз.

Иные

Персональные данные, которые не относятся к перечисленным ранее категориям. Это может быть корпоративная информация о партнёрах и сотрудниках, датах их отпуска, зарплате.

Уровень защиты зависит не только от категорий обрабатываемых данных, но и других факторов. Оставьте заявку, чтобы наши специалисты помогли вам определить, какой уровень защищённости вам нужен.

Определить уровень защищённости

Какие услуги мы предлагаем

В зависимости от категории размещенных информационных систем персональных данных, исполнение требований ФЗ-152 может включать в себя довольно длинный список задач. Специалисты по информационной безопасности Cloud4Y готовы взять на себя следующие обязанности.

1. Проведение аудита инфраструктуры клиента, определение уровня защищенности персональных данных и требований к защите
2. Разработка модели угроз в соответствии с методиками ФСБ
3. Проектирование архитектуры системы защиты персональных данных
4. Разработка пакета документов (модель угроз, технический дизайн, организационная документация и тд)
5. Внедрение средств информационной защиты
6. Разработка программы и методологии оценки эффективности мер информационной безопасности в соответствии с 21 приказом ФСТЭК России

Наши лицензии

Преимущества хранения персональных данных в облаке Cloud4Y

• Наличие аттестатов УЗ1-4, 1К, 1Г
• Средства защиты информации (СЗИ), лицензированные ФСБ и ФСТЭк
• Наличие сертификатов на защитные элементы облака
• Защита от несанкционированного доступа к данным
• Возможность работы с базами данных SQL, 1C

Самостоятельная защита ПДн vs. Хостинг ФЗ-152 в облаке

В таблице представлено сравнение в преимуществах размещения информационных систем персональных данных в защищенном облаке ФЗ-152 по сравнению с самостоятельной организацией и аттестацией инфраструктуры.

Самостоятельная защита

100% юридическая ответственность по ФЗ-152

Высокий CAPEX на закупку оборудования, лицензий профессиональных средств защиты

Необходимость аттестации инфраструктуры

Простой более 30% оборудования

Необходимость держать в штате специалиста по информационной безопасности

Необходимость подготовки аудиторскую и отчетную документацию в исполнительные органы регулярно и / или по запросу

Хранение ПДн в частном облаке Cloud4Y

Освобождение от юридической ответственности по 152-ФЗ (хранение данных)

NO CAPEX, возможность использовать общесистемное и специальное ПО провайдера

Защищенная инфраструктура провайдера прошла аттестацию лицензиатами ФСТЭК и подтвердила её соответствие требованиям безопасности 1УЗ, 1Г и 1К.

Почасовой биллинг и постоплата исключают плату за неиспользованные ресурсы

Специалисты технического отдела и отдела ИБ провайдера всегда на связи

Специалисты ИБ провайдера принимают ответственность за своевременное и качественную подготовку документации

Подключить облако ФЗ-152

Как организована защита информации в облаке ФЗ-152

Для того, чтобы привести инфраструктуру ИСПДн в соответствие с требованиями ФЗ-152, обычно рассматривают защиту информации на уровне дата-центра и уровне вендора.

Уровень дата-центра

Дата-центры Tier III

24/7 охрана, видеонаблюдение, многоуровневый контроль доступа

Источники бесперебойного питания, дизель-генераторные установки

Автоматическая система тушения пожара

Уровень вендора

Организационные меры

Организационные меры защиты информации включают разработка внутренних документов, регламентирующих обработку персональных данных, определение ответственных лиц, определение уровня защищенности персональных данных и требований по защите.

Технические меры

К техническим или программным мерам относятся межсетевой экран, антивирус Dr.Web, анализ защищенности, средства регистрации и учета, шифрование данных и другое.

Почему стоит доверять Cloud4Y

12 лет в «облаках»

С 2009 года компания успешно работает на российском и иностранном рынках облачных услуг.

Надёжная инфраструктура

4 дата-центра уровня TIER III, оборудование и ПО от ведущих вендоров уровня Enterprise: HP, Cisco, Juniper, NetApp, VMware, Veeam, Microsoft и тд.

Базовый SLA 99.982%

Оптическое кольцо, MetroCluster и механизмы резервирования позволяют гарантировать отказоустойчивость сервисов на уровне до SLA 99.99%

Прозрачная система расчетов

Почасовой биллинг и pay-as-you-go позволяют платить только за реально потребленные ресурсы.

Геораспределённое резервное копирование

Автоматическое создание резервной копии (14 точек восстановления) в отдельном геоудаленном ЦОД.

Гибкое масштабирование

Увеличивайте и уменьшайте ресурсы без обращения в техподдержку.

Техническая поддержка 24/7

Специалисты технической поддержки ответят в течении 10 минут на любой запрос.

Партнёрская программа

Зарабатывайте с Cloud4Y до 35% от годового контракта. White Label доступен.

Скачайте подробную презентацию о продукте. Скачать презентацию

Хранение персональных данных в облаке

С каждым днем всё больше персональной информации хранится в облачных сервисах. Согласно Федеральному закону от 27.07.2006 № 152-ФЗ «О персональных данных» работа с персональными данными субъекта должна отвечать определенным требованиям. В материале ниже рассмотрим, какую ответственность несет облачный провайдер, а также какие требования при работе с данными пользователей он должен соблюдать.

Ответственность оператора персональных данных

Чаще всего компании, предоставляющие услугу обработки персональных данных, – это облачные сервис-провайдеры. Согласно законодательству Российской Федерации ограничений по использованию облачных технологий для сбора, хранения и последующей обработки персональных данных нет. Причем относится это ко всем облачным моделям: IaaS, SaaS, PaaS.

Кроме того, Закон не запрещает сотрудничать с иностранными компаниями, имеющими собственные или арендуемые серверы, при условии, что все они расположены на территории Российской Федерации, где и хранятся базы с персональными данными пользователей. В момент сбора личная информация пользователей также должна фиксироваться только на территории РФ. Всё это в обязательном порядке подтверждается соответствующими документами.

Обратите внимание, что наличие у оператора персональных данных аттестации ФСТЭК и ФСБ свидетельствует о том, что решение, которое он предлагает, соответствует требованиям 21 приказа ФСТЭК, в котором описаны организационные и технические меры по защите персональных данных, а также что оно прошло проверку аккредитованными органами по аттестации ФСТЭК.

Оператор персональных данных должен всегда работать в рамках Федерального закона №152, иметь все необходимые ресурсы для обработки и хранения персональных данных, а также оказывать консультационную поддержку заказчику и помощь при подготовке необходимых документов и внутренних регламентов.

Согласно Закону информационные системы, в которых обрабатываются персональные данные, можно передавать на аутсорсинг. Cервис-провайдер берет на себя всю техническую часть обработки персональных данных и разделяет юридическую ответственность оператора персональных данных.

Согласно ФЗ-152 оператор отвечает непосредственно перед субъектом персональных данных, поэтому каждый сервис-провайдер должен быть оператором персональных данных. При такой схеме работы сервис-провайдер безусловно несет ответственность за сохранность данных, но с заказчика (поставщика информационной системы), как первого оператора, никто ответственности также не снимает, поэтому нужно очень внимательно подходить к выбору делового партнера.

---

Приложения для эффективного управления командировками и авансовой отчетностью от Hamilton Apps являются облачными – это значит, что готовое решение предоставляется компании-клиенту в аренду.

Персональные данные всех пользователей приложений Hamilton Apps в лице сотрудников этих компаний хранятся и обрабатываются исключительно на территории Российской Федерации в соответствии с ФЗ № 152 «О персональных данных». 

Помните, что с 1 июля 2017 года хранить и обрабатывать личные данные граждан РФ на территории страны обязаны все операторы персональных данных.

---

Защита персональных данных

В соответствии с Федеральным законом от 27.07.2006 № 149-ФЗ «Об информационных технологиях и защите информации», обработка данных передается в сторонние компании при выполнении обязательного условия по защите подобной информации. Ответственность за безопасность этого процесса ложится на поставщика информационной системы, который обязан обеспечить:

• полную безопасность доступа, предотвращающую несанкционированные действия;
• контроль за доступом в систему и своевременное обнаружение злоумышленников;
• отработанный механизм действий при нарушении безопасности доступа к данным;
• надежность работы технических инструментов, служащих для обработки информации;
• резервное копирование данных с возможностью быстрого восстановления в случае какого-либо факта потери целостности данных;
• регулярный мониторинг степени безопасности информации.

В 6 Статье ФЗ-152 говорится о том, что возможна передача данных на обработку сторонним компаниям, но только в том случае, если с этим согласен субъект данных. Соглашение подкрепляется заключением договора. При этом организация, которая выполняет обработку персональных данных по поручению оператора, также должна действовать исключительно в соответствии с законодательством РФ. Для этого оператор данных обязан:

• четко сформулировать список шагов, которые будут проводиться при обработке;
• иметь конкретную цель, для которой необходима данная обработка информации;
• обеспечить полную конфиденциальность передаваемых данных;
• обеспечить защиту и безопасность информации при обработке;
• выполнять все пункты, предписанные 19 Статьей ФЗ-152, содержащей меры по защите личной информации в процессе обработки.

До переноса персональных данных в облачное хранилище провайдер обязан:

• определить, с какими угрозами безопасности данных можно столкнуться в процессе их переноса, а также уровень опасности каждой из угроз;
• предусмотреть меры по обеспечению максимальной безопасности данных в случае возникновения каждой из угроз;
• отработать систему защиты передаваемой информации.

Преимущества хранения персональных данных в облаке

Современные облачные технологии позволяют безопасно хранить большой массив персональных данных, имея ряд важных преимуществ:

• простая и доступная инфраструктура для хранения данных;
• удобная эксплуатация инфраструктуры без дополнительного обеспечения электропитания, мер безопасности и т.п.;
• быстрый и удобный доступ к информации, в том числе с мобильных устройств;
• фиксированная стоимость объема или определенного места в облачном хранилище;
• комплексный функционал без найма дорогих специалистов;
• доступное подключение дополнительных способов обработки информации;
• гибкое управление затратами на вычислительные инструменты;
• доступное восстановление данных в случае, если была нарушена их целостность.

Как хранить данные в облаках в рамках закона. Обзор: Облачные сервисы 2014

Традиционно непростое российское законодательство содержит множество документов, регламентирующих вопросы хранения персональных данных. Юристы компании Softline, специализирующиеся на нормативных актах в области облачных технологий, выделяют следующие 4 вида важных документов. Закон №152 о персональных данных и закон №242, внесший изменения в законы №152 (в области хранения на территории России), №149 (формирование реестра нарушителей обработки персональных данных) и №294 о защите прав юридических (расширив возможности контролирующих органов). Постановления правительства №1119 (об уровнях защиты персональных данных) и №687 (о порядке обработки персональных данных вне автоматизированных систем). Приказ ФСБ №378 (об использовании средств криптографической защиты персональных данных). Приказ ФСТЭК №21 об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.

Где и как хранить персональные данные

К середине 2000-х гг. информатизация бизнес-процессов российских компаний, включая обработку персональных данных, достигла значимых масштабов в отечественной экономике. При этом организации самостоятельно определяли, как хранить и как обращаться с данными, полученными от своих клиентов.

Символом наличия проблем стали рынки, на которых можно было свободно купить данные о гражданах практически любого уровня детализации. Не ставилась под сомнение необходимость определения правил в этой области, дискуссия шла только о том, насколько государство должно и может четко фиксировать технологические требования, или это должно быть отдано на откуп индустрии. В результате появился Федеральный закон №152 о персональных данных, значительно расширивший рынок консультационных услуг.

С самого начала возникли вопросы к применению этого закона по отношению к облачным технологиям, которые были только перспективным направлением развития ИТ на момент его написания. Вопросы, в частности, касались трансграничной передачи персональных данных. Облачная инфраструктура активно использует перемещение данных от сервиса к сервису, причем физическое расположение серверов может быть любым.

Ратифицированные международные нормативные акты и федеральные законы РФ конкретизировали требования в части трансграничной передачи с точки зрения адекватности мер защиты других стран, но оставляли много вопросов: например, данные нельзя было размещать в США, но можно было в Европе. Специалистам рынка была очевидна условность этих требований, так как практически все крупнейшие сервисы имеют системы защиты информации, резервирования и отказоустойчивости, когда данные реплицируются на географически удаленных серверах. Национальные требования к защите персональных данных ставят задачу применения средств защиты информации, прошедших сертификацию в нашей стране, что ограничивает возможность использования оборудования, установленного в зарубежных ЦОДах.

Новые требования

В июле 2014 г. был принят Федеральный закон №242, вводящий изменения в три других федеральных закона, в том числе и о персональных данных. В соответствии с ним, с 1 сентября нельзя размещать персональные данные за рубежом. Российские игроки ИТ-рынка воспользовались этой возможностью и инвестировали в развитие облачной инфраструктуры. Например, Softline расширила свою облачную инфраструктуру, увеличив количество дата-центров с 2 до 5 – от Владивостока до Санкт-Петербурга.

Эксперты сразу же указали на сложность даже теоретического полного исполнения требования закона. Например, Евросоюз предупредил, что возникнут проблемы с выдачей виз, так как данные о заявителях почти всегда хранятся в централизованных базах соответствующих стран, а теперь информация о российских гражданах должна храниться только на территории России и обрабатываться за рубежом лишь при необходимости без возможности сохранения полной базы персональных данных.

Что же делать коммерческим организациям, чтобы соответствовать законодательным требованиям в области защиты персональных данных и обезопасить свой бизнес от регуляторных рисков?

В соответствии с законодательством

В 2013 г. в компании Softline была организована специализированная практика. Ее развивают как специалисты Softline по информационной безопасности, так и эксперты облачного направления. Основываясь на опыте реализованных проектов, можно дать каждой организации несколько рекомендаций.

Во-первых, необходимо перенести данные из зарубежных облаков в российские. Аренда мощностей в зарубежных ЦОДах – очевидная зона риска несоответствия требованиям законодательства. Крупнейшие российские облачные провайдеры предоставляют идентичный набор сервисов и не вызывают вопросов в случае любой проверки. А иностранные провайдеры на них даже не станут отвечать.

Во-вторых, надо использовать инфраструктуру, построенную в соответствии с 21 приказом ФСТЭК. Приказ содержит требования к технологиям, использующимся при организации систем авторизации (идентификации и аутентификации), передачи данных, виртуализации др., что влечет за собой приобретение решений, прошедших оценку соответствия (сертифицированных) в России. Например, не все продукты VMware обладают нужной сертификацией, поэтому для их использования необходимо приобретать дополнительные средства защиты информации. Такую архитектуру можно реализовать самостоятельно либо арендовать у российского провайдера.

В-третьих, надо правильно классифицировать данные. Все персональные данные классифицируются по четырем уровням защиты. Чем он выше, тем суммарно выше будут расходы на приведение инфраструктуры в соответствие с требованиями законодательства. Определение степени зависит от категории обрабатываемых персональных данных, их объема, от того, собираются ли они относительно сотрудников или клиентов. Например, заказчик не всегда может адекватно оценить все требуемые условия категорирования и случайно понизить или повысить требования к защите.

И последнее: необходимо модернизировать документацию и проект по защите персональных данных. Все проверки регуляторов начинаются с детального анализа документации, поэтому необходимо ее привести в соответствие с законодательными изменениями июля 2014 г., к этому стоит приступать уже сегодня.

Традиционно в России есть и альтернативный вариант, по которому наверняка пойдут многие российские клиенты: не делать ничего и решать проблемы по мере их поступления. Действительно, требования написаны таким образом, что полностью им соответствовать будет сложно для многих коммерческих организаций, особенно подконтрольных иностранным юридическим лицам и организациям. Однако, как показывает практика, при правильном подходе уменьшить риск не очень сложно.

Получить консультацию по облачным решениям и задать вопрос эксперту

Безопасно ли хранить данные в облаке: мнение экспертов

По оценкам исследователей IDG, на сегодня 77% компаний в мире используют облачные технологии. С увеличением популярности они становятся всё больше подвержены киберугрозам. По данным «Лаборатории Касперского», каждая десятая (11%) утечка данных из облака стала возможной из-за действий провайдера, в то время как треть всех киберинцидентов в облаке (31% в России и 33% в мире) произошла из-за доверчивости сотрудников компании, попавшихся на приёмы социальной инженерии.

Какие данные проходят через облачные платформы

Названные тенденции актуальны и для сферы коммуникаций: многие компании общаются с клиентами при помощи сторонних сервисов и платформ, среди которых наиболее популярны UCaaS-решения — Unified Communications as a Service. Алексей Айларов рассказывает, какие данные бизнес передаёт вендору.
Во-первых, это информация о проходящих через коммуникационную платформу звонках: факты вызова, соединения, ответа, продолжительность разговора. Если же сценарий, используемый клиентом, предполагает распознавание голоса — например, в случаях автоматизированного сбора отзывов потребителей — третьей стороне становится известно и содержание разговора.
Однако коммуникационная платформа этих данных не получает: функцию перевода голоса в текст осуществляют сервисы «Яндекса» и Google, платформа же только передаёт зашифрованные текстовые блоки клиенту.
Во-вторых, это персональные данные потребителей, которые необходимы для настройки голосового бота. Так, при автоматизированных обзвонах нужна пара «ФИО — контактный телефон», чтобы робот мог поприветствовать пользователя по имени при дозвоне. Все данные хранятся внутри инфраструктуры, и доступ к ней может получить узкий круг лиц. В основном это служба поддержки — в ситуациях, когда происходит разрешение какого-то спора.

Матвей Войтов уточняет: «Если внешний сервис является оператором персональных данных (зарегистрирован и находится в реестре Роскомнадзора), и хранение этих данных будет осуществляться в специализированном сегменте облака с сертифицированными средствами защиты (сертификация необходима для соответствия требованиям 152-ФЗ и подзаконным нормативным актам), в подобный сервис можно передавать любые виды персональных данных».

Риски утечки: операционный фактор

Логично предположить, что при переносе коммуникаций на облачную платформу риски утечки персональных данных повышаются, так как в процесс включается ещё как минимум два игрока — провайдер и дата-центр.

Однако это не совсем так. Матвей Войтов заверяет: «При грамотно построенных организационных и технических мерах, а также при наличии доверенного провайдера, предоставляющего защищенные сегменты облака и использующего специализированные средства облачной защиты, риски каких-либо утечек минимальны».
Кроме того, Войтов отмечает повышенную ответственность всех поставщиков облачных сервисов и платформ за целостность, защиту и доступ к этим данным. По его словам, для прохождения проверок Роскомнадзора требуется хранить персональных данные в сегментах, защищенных только сертифицированными средствами защиты. Сейчас это становится более простой процедурой: многие провайдеры облачной инфраструктуры уже предоставляют такие сегменты и сопутствующий консалтинг как услугу.

 

Что касается опасений, связанных с мультиарендным подходом, когда разные клиенты обслуживаются единым экземпляром приложения, эксперт не видит для них оснований: «Еще несколько лет назад даже у лидеров рынка происходили инциденты нарушения изоляции и доступа к чужим данным, что и породило настороженное отношение к мультитенантности, но сейчас такие случаи единичны».

Риски утечки: человеческий фактор

По словам Алексея Айларова, вмешательство человека возможно, однако строгость доступа к данным сводит такие случаи к минимуму. «Единственный, кто знает, какие данные хранятся на том или ином удаленном сервере — это их владелец. Для сотрудников дата-центров это просто «железка» с какой-то информацией. Более того, у них нет к этой информации никакого доступа, кроме физического – они могут лишь буквально ударить молотком. Пароль же сообщает только сам клиент, если требуется что-то починить или решить возникшую проблему».
Айларов объясняет, как это работает, на примере банковских процессов: есть ряд сотрудников с доступом к данным, расположенным на внутреннем сервере. В большинстве случаев они не обращаются к этой информации и используют ключи только по необходимости. В таких крайних ситуациях вся ответственность за возможную утечку данных будет лежать именно на этих служащих.

Риски утечки: недобросовестность подрядчиков

Машинное обучение распознаванию голоса, один из главных технологических трендов, строится на анализе миллионов голосовых записей-отрывков. С какими рисками это связано? Оба эксперта соглашаются, что в теории этот процесс задуман как безопасный для конечных пользователей. Алексей Айларов подчеркивает, что обучение робота должно происходить на обезличенных голосах, другое дело — насколько за этим следят. CEO Voximplant считает, что основная ответственность здесь лежит даже не на тех, кто слушает записи разговоров и готовит их для обработки машиной, а на тех, кто отправляет данные на анализ. Именно от последних зависит, как будут нарезаны записи и сможет ли человек, прослушав их, получить какую-то конфиденциальную информацию.

Матвей Войтов подтверждает: «Пока анализ производится полностью автоматически, без привлечения операторов (например, для тонкой настройки) интересы пользователей не нарушаются. Тем не менее, регулярно всплывают истории про то, что по тем или иным причинам сотрудники вмешиваются в работу машинного обучения и анализа. Так, недавно стало известно, что один производитель умных замков и видеокамер привлекал операторов для просмотра и анализа частного видеопотока для поиска и идентификации в нем инцидентов, хотя заявлялось, что видеоаналитика в этом сервисе была полностью автоматизирована».

Подводя итоги

Несмотря на кажущуюся незащищенность, облако является надежным способом хранения данных, и технологические компании постоянно совершенствуют разработки в сфере безопасности. В то же время, утечки все еще происходят, виной чему чаще всего становятся ошибки сотрудников. Для улучшения ситуации сегодня требуется доработка законодательства в вопросе персональных данных, а также развитие общего уровня культуры обращения потребителей с информацией о себе.
В заключение предлагаем список вопросов от Матвея Войтова, которые необходимо задать при заключении сделки с облачной платформой, чтобы точно знать судьбу передаваемых вендору данных:
— У какого провайдера и в каком ЦОДе будут храниться данные;
— Предоставляет ли данный провайдер защищённые по 152-ФЗ сегменты;
— Какие средства защиты — как технические, так и организационные — используются провайдером.

Защита персональных данных «ИСПДн в облаке» 152-ФЗ / Inoventica Services

152-ФЗ обязывает предприятие соблюдать стандарты организации информационных систем, которые связаны с обработкой персональных данных. Организация обязана обеспечить защиту прав и свобод человека и гражданина, в том числе на неприкосновенность частной жизни, личную и семейную тайну. Это означает, что организации обязаны: обеспечить законность сбора персональных данных; построить систему защиты по требованиям ФСТЭК и ФСБ; разработать внутреннюю документацию; постоянно актуализировать систему защиты персональных данных. Это дорого и трудозатратно.  Поэтому можно воспользоваться нашими услугами по внедрению ИСПДн.

В качестве услуги вы получаете систему защиты информации с использованием сертифицированных средств защиты, которая по-настоящему обеспечивают защиту персональных данных. В данной системе будут находиться ваша информационная система и все персональные данные клиентов. Также вы получаете пакет документов, который подтверждает надежность хранения персональных данных для регулирующих органов.

Стоимость услуги складывается из 3 компонентов, которые индивидуальны для каждого заказчика, мы озвучиваем минимальные ориентировочные цены: ИСПДн от 7000₽/месяц; Дополнительно: единоразовый платеж от 23.000₽; инфраструктура — от 1000₽/месяц. Все цены включают НДС.

На основании аудита, мы подготовим Защищенный контур ИСПДн, с использованием сертифицированных средств защиты информации, который удовлетворяет требованиям актуальных нормативных документов с предоставлением Заказчику МУ ИСПДн для ЦОД (Модель угроз для УЗ-1,УЗ-2 и УЗ-3).

Облако для хранения персональных данных (152-ФЗ) / Хостинг ИСПДн в облаке DataLine

Тип *Заявка на услугу «Аренда cage» (Colocation)Заявка на услугу «Аренда зала» (Colocation)Заявка на услугу «Аренда стойко-места» (Colocation)Заявка на услугу «Размещение сервера в ЦОД» (Colocation)Заявка на услугу «Виртуализация сети» (Облака)Заявка на услугу «Виртуальная инфраструктура IaaS в Санкт-Петербурге» (Облака)Заявка на услугу «Глобальный балансировщик нагрузки (GSLB)» (Облака)Заявка на услугу «Катастрофо­устойчивое облако» (Облака, Послеаварийное восстановление (DR))Заявка на услугу «Облака» (Облака)Заявка на услугу «Облако на базе Hyper-V» (Облака)Заявка на услугу «Облако на базе OpenStack (Tionix)» (Облака)Заявка на услугу «Облако на базе VMware» (Популярное, Облака)Заявка на услугу «Облако, соответствующее 152-ФЗ» (Облака, Информационная безопасность)Заявка на услугу «Прямое подключение к Azure и AWS» (Облака)Заявка на услугу «MS SQL в облаке» (Хостинг приложений)Заявка на услугу «MySQL в облаке» (Хостинг приложений)Заявка на услугу «PostgreSQL в облаке» (Хостинг приложений)Заявка на услугу «Приложения SAP» (Хостинг приложений)Заявка на услугу «Хостинг приложений» (Хостинг приложений)Заявка на услугу «Looking glass» (Сеть и телеком)Заявка на услугу «Meet-Me-Room» (Сеть и телеком)Заявка на услугу «VPN как сервис» (Сеть и телеком)Заявка на услугу «Выделенные каналы связи» (Сеть и телеком)Заявка на услугу «Доступ в Интернет» (Сеть и телеком)Заявка на услугу «Оптические волокна» (Сеть и телеком)Заявка на услугу «Телеком-услуги» (Сеть и телеком)Заявка на услугу «Ускорение и защита веб-ресурсов» (Сеть и телеком, Поддержка веб-ресурсов)Заявка на услугу «Облачный диск» (Популярное, Удалённая работа офиса, Хранение данных)Заявка на услугу «Объектное хранилище S3» (Хранение данных)Заявка на услугу «Отказоустойчивая СХД» (Хранение данных)Заявка на услугу «Сбор и хранение логов» (Информационная безопасность, Хранение данных)Заявка на услугу «Хранение данных» (Хранение данных)Заявка на услугу «Active Directory как сервис» (Удалённая работа офиса)Заявка на услугу «Microsoft Office 365» (Удалённая работа офиса)Заявка на услугу «Виртуальные рабочие места VDI» (Удалённая работа офиса)Заявка на услугу «Виртуальные рабочие места VDI» (Удалённая работа офиса)Заявка на услугу «Виртуальные рабочие места VDI» (Удалённая работа офиса)Заявка на услугу «Виртуальные рабочие столы VDI» (Популярное, Удалённая работа офиса)Заявка на услугу «Облачный диск» (Удалённая работа офиса)Заявка на услугу «Платформа для совместной онлайн-работы» (Удалённая работа офиса)Заявка на услугу «Почта как сервис» (Удалённая работа офиса)Заявка на услугу «Терминальный сервер» (Удалённая работа офиса)Заявка на услугу «Удалённая работа офиса» (Удалённая работа офиса)Заявка на услугу «Внешний мониторинг периметра» (Мониторинг)Заявка на услугу «Облачный мониторинг» (Мониторинг)Заявка на услугу «Защита веб-приложений (Web Application Firewall)» (Информационная безопасность, Поддержка веб-ресурсов)Заявка на услугу «Защита от DDoS» (Информационная безопасность, Поддержка веб-ресурсов)Заявка на услугу «Поддержка веб-ресурсов» (Поддержка веб-ресурсов)Заявка на услугу «Сканер уязвимостей» (Информационная безопасность, Поддержка веб-ресурсов)Заявка на услугу «PCI DSS и защита платежных данных» (Информационная безопасность, Консалтинг)Заявка на услугу «Аудит информационной безопасности» (Информационная безопасность, Консалтинг)Заявка на услугу «ГОСТ VPN» (Информационная безопасность)Заявка на услугу «Защита сети на базе NGFW» (Информационная безопасность)Заявка на услугу «Защита электронной почты» (Информационная безопасность)Заявка на услугу «Информационная безопасность» (Информационная безопасность)Заявка на услугу «Многофакторная аутентификация» (Информационная безопасность)Заявка на услугу «Мониторинг и управление доступом поставщиков ИТ-услуг (СКДПУ)» (Информационная безопасность)Заявка на услугу «Сканер уязвимостей» (Информационная безопасность)Заявка на услугу «Соответствие 152-ФЗ» (Информационная безопасность, Консалтинг)Заявка на услугу «Cassandra как сервис» (DBaaS)Заявка на услугу «MongoDB как сервис» (DBaaS)Заявка на услугу «MS SQL как сервис» (DBaaS)Заявка на услугу «MySQL как сервис» (DBaaS)Заявка на услугу «PostgreSQL как сервис» (DBaaS)Заявка на услугу «RabbitMQ как сервис» (DBaaS)Заявка на услугу «Redis как сервис» (DBaaS)Заявка на услугу «Облако в добрые руки» (Потеряное)Заявка на услугу «Администрирование SAP» (Администрирование ИТ-инфраструктуры и систем)Заявка на услугу «Администрирование баз данных» (Администрирование ИТ-инфраструктуры и систем)Заявка на услугу «Администрирование ИБ» (Администрирование ИТ-инфраструктуры и систем)Заявка на услугу «Администрирование ИТ-инфраструктуры и систем» (Администрирование ИТ-инфраструктуры и систем)Заявка на услугу «Администрирование операционных систем» (Администрирование ИТ-инфраструктуры и систем)Заявка на услугу «Администрирование приложений» (Администрирование ИТ-инфраструктуры и систем)Заявка на услугу «Администрирование сети» (Администрирование ИТ-инфраструктуры и систем)Заявка на услугу «Резервное копирование» (Резервное копирование)Заявка на услугу «Резервное копирование Office 365» (Резервное копирование)Заявка на услугу «Резервное копирование виртуальных машин» (Резервное копирование)Заявка на услугу «Резервное копирование данных» (Резервное копирование)Заявка на услугу «Спецпредложение: два месяца бэкапа бесплатно для клиентов DataLine» (Резервное копирование)Заявка на услугу «Disaster Recovery как сервис» (Послеаварийное восстановление (DR))Заявка на услугу «Восстановление виртуальных машин в облаке DataLine» (Послеаварийное восстановление (DR))Заявка на услугу «Послеаварийное восстановление (DR)» (Послеаварийное восстановление (DR))Заявка на услугу «Облачное видеонаблюдение для банка» (Облачное видеонаблюдение)Заявка на услугу «Облачное видеонаблюдение для магазина» (Облачное видеонаблюдение)Заявка на услугу «Облачное видеонаблюдение для офиса» (Облачное видеонаблюдение)Заявка на услугу «Облачное видеонаблюдение для предприятия» (Облачное видеонаблюдение)Заявка на услугу «Облачное видеонаблюдение для склада» (Облачное видеонаблюдение)Заявка на услугу «Облачное видеонаблюдение для строительства» (Облачное видеонаблюдение)Заявка на услугу «Платформа управления данными от Arenadata» (Платформа данных (BigData))Заявка на услугу «Платформа управления данными от Ростелеком Бизнес» (Платформа данных (BigData))Заявка на услугу «Базы данных в облаке (DBaaS)» (Работа с данными)Заявка на услугу «Платформа управления данными» (Работа с данными)Заявка на услугу «Работа с данными» (Работа с данными)Заявка на услугу «Рабочее место для аналитика данных (DSVM)» (Работа с данными)Заявка на услугу «Managed ELK» (Мониторинг сервисов)Заявка на услугу «Мониторинг» (Мониторинг сервисов)Заявка на услугу «Мониторинг сервисов» (Мониторинг сервисов)Заявка на услугу «DevOps» (DevOps)Заявка на услугу «DevOps как сервис» (DevOps)Заявка на услугу «Managed Kubernetes» (Популярное, DevOps)Заявка на услугу «Видеоаналитика» (Видеонаблюдение)Заявка на услугу «Видеонаблюдение» (Видеонаблюдение)Заявка на услугу «Облачное видеонаблюдение для бизнеса» (Видеонаблюдение)Заявка на услугу «Консалтинг» (Консалтинг)Заявка на услугу «Управление внешним ЦОД» (Консалтинг)Заявка на услугу «Популярное» (Популярное)Заявка на услугу «Сервис для вас» (Популярное)Заявка на услугу «Виртуальные рабочие столы на базе Citrix VDI» (Виртуальные рабочие столы VDI)Заявка на услугу «Виртуальные рабочие столы на базе Tionix VDI» (Виртуальные рабочие столы VDI)

Имя и фамилия *

Компания *

Должность *

Телефон *

Корпоративная почта *

Cогласие на обработку персональных данных *

ЯМ UserId

GA ClientID

Подписка на новости

First Click

Last Click

Я не спамер

CAPTCHA

Отправить заявку

Защита персональных данных в облаке | Особенности защиты персональных данных в публичном облаке

Вопрос, насколько допустимо хранение персональных данных (ПД), переданных компаниям-операторам в облаке, не всегда имеет однозначный ответ. Необходимо убедиться в том, насколько серверы облачных провайдеров отвечают требованиям, предъявляемым к защите персональных данных, и определиться с правовыми основаниями, по которым информация будет передаваться на хранение в облаке.

Основные вопросы, связанные с возможностями размещения ПД в облаке

Необходимость передачи персональных данных на хранение в облако возникает, например, при работе с бухгалтерскими программами или CRM-системами, в которых основные информационные массивы размещаются на сервере поставщика услуг. Таким образом, в облаке оказывается персональная информация, хранящаяся:

• в бухгалтерии;
• в кадровом подразделении;
• в отделе по работе с клиентами.

В связи с этим у руководителей юридического лица возникают следующие системные вопросы:

1. Допустимо ли по нормам Федерального закона № 152-ФЗ, Постановления правительства № 1119 и приказов ФСТЭК размещение информационных систем персональных данных на облачных серверах?
2. Как должно быть создано облако, чтобы оно обеспечивало надлежащую защиту персональных данных?
3. Какие требования предъявляются к оператору, решившему хранить защищаемую законом и конфиденциальную информацию в облаке, какие нюансы он должен учесть?
4. Каким образом система персональных данных, размещенная в облаке, может быть аттестована?
5. За что именно, относящееся к сфере защиты персональных данных, несет ответственность «облачный» провайдер?
6. Какой класс защищенности систем из четырех возможных можно создать в облаке?
7. Каким образом в модели угроз учесть действия конкурента, если у него возникнет намерение атаковать базы данных, хранящиеся в облаке?

В большинстве случаев, если компания обрабатывает только персональные данные своих сотрудников и не является оператором, таких вопросов у нее не возникнет. Но если речь идет о медицинской организации или интернет-магазине, риск проверки ФСТЭК РФ или Роскомнадзора заставит искать правильные ответы на эти вопросы.

Организациям, готовым переложить защиту персональных данных на облачного провайдера, необходимо самостоятельно выполнять требуемые приказами организационные меры, проверяя при этом, насколько облачный провайдер подготовлен к решению технических задач. Большинство крупных компаний уже привели свои системы защиты персональных данных в соответствие с требованиями.

Как облачные провайдеры решают задачи соответствия требованиям ФСТЭК

Компании, оказывающие услуги, предусматривающие размещение персональных данных в облаке, не желая потерять клиентов, привели свои системы в соответствие с предъявляемыми требованиями. База распределенной системы выглядит следующим образом:

• автоматизированные рабочие места (АРМ), на которых происходит непосредственная обработка данных, находятся в офисе заказчика;
• база, содержащая персональные данные, размещена на сервере, находящемся на территории поставщика услуг;
• сервер, исходя из требований АОНа, размещен на территории Российской Федерации.

Защищаться от внешних угроз в этой ситуации должны три ключевых элемента системы:

• АРМ пользователей, находящихся в офисе клиента. Перенос конфиденциальной информации и персональных данных на материальные носители или иной ее вывод за пределы защищаемого периметра должен обеспечиваться именно компанией-клиентом облачного провайдера; 
• канал связи, по которому по телекоммуникационным сетям информация передается от АРМ до сервера провайдера;
• находящиеся в облаке виртуальные машины, на которых размещены персональные данные.

Необходимые технические меры

Чтобы обеспечить безопасность тех элементов распределенной системы, которые находятся в зоне их ответственности, провайдерам приходится решать определенные технические задачи. Но ряд задач возлагается и на самих операторов. Среди них:

• обеспечение применения для защиты каждого из элементов системы только сертифицированных технических мер;
• при разработке конфигурации системы защиты персональных данных, расположенных на площадке клиента, создание актуальной модели угроз, учитывающей как риски, связанные с нелегитимной активностью пользователей-сотрудников оператора персональных данных, так и внешние, исходящие от неопределенных внешних агрессоров, которые могут оказаться и конкурентами, и хакерами.

За эти два риска полностью отвечает компания-оператор. На долю облачного провайдера остаются следующие задачи, реализуемые при помощи технических и организационных средств:

• борьба с внешней активностью, нацеленной на канал передачи данных и осуществляемой с целью искажения или перехвата трафика, провоцирования утечки персональных данных во внешнюю среду. Задача решается только при помощи сертифицированных ФСБ России средств криптографической защиты данных. Правовым основанием оказания такой услуги провайдеру станет соответствующее соглашение, заключенное между клиентом и провайдером;
• обучение и контроль за персоналом провайдера. В качестве актуальных технических решений потребуются сертифицированные средства разграничения прав доступа. Их требуется интегрировать в платформу. Также на серверах могут быть размещены другие сертифицированные средства, обеспечивающие необходимый уровень защищенности информационной системы, задачей которой становится обработка персональных данных. Эта задача должна быть решена исключительно за счет ресурсов провайдера;
• разработка системы защиты от внешних угроз и злоумышленников, которые могут посягать на серверы облачного провайдера. Поскольку сложно разграничить сферы ответственности клиента-оператора и поставщика облачных услуг, задача по защите персональных данных касается и провайдера, причем решать ее он должен за свой счет. Сертифицированные средства защиты устанавливаются на серверах поставщика услуг. Если клиенту нужен более высокий уровень защищенности системы, чем стоит у провайдера, провайдер может установить требуемую систему защиты на основании соглашения с клиентом;
• учет рисков, которые могут возникнуть со стороны соседей по облаку, решивших проверить уровень безопасности провайдера и хорошо знакомых с используемыми им мерами безопасности при обработке персональных данных. Такие клиенты, если они окажутся конкурентами, могут причинить серьезный ущерб, неправомерно использовав или распространив хранящиеся на серверах персональные данные. Одним из способов решения этой проблемы станет применение средств, разграничивающих между клиентами ресурсы облачного сервера. Эти средства также должны быть аттестованы (сертифицированы) согласно требованиям ФЗ-152 и рекомендациям ФСТЭК.

Можно подытожить: если поставщик облачных услуг соблюдает требования ФЗ «О персональных данных» регулирующих органов и использует сертифицированное программное обеспечение и технические средства защиты, соответствующие требованиям контролирующих органов, размещение баз, содержащих персональные данные, на облаке допустимо. Поскольку на облака распространяются требования, связанные с виртуальными объектами, необходимым становится также использование сертифицированных гипервизоров. Все это в конечном счете поднимает стоимость «облачных» услуг, связанных с обработкой персональных данных, при этом самостоятельная аттестация системы невозможна, она предусмотрена законодательством только для информационных систем операторов.

При принятии решения о перенесении части массивов информации, содержащих доверенные персональные данные, на облачные серверы, необходимо тщательно проверить техническую подготовку провайдера и заключить с ним соглашения о пользовании услугами соответствующего типа.

Следует ли хранить данные в облаке? — Malwarebytes Labs

Когда вы не знаете, как работает облако, легко подозревать его безопасность. Вот почему вы должны чувствовать себя в безопасности, храня свои данные в облаке.

Достаточно просто понять, куда идет файл, когда вы сохраняете его на своем ПК. Он находится на вашем жестком диске, возможно, в наборе папок, которые вы создали и организовали самостоятельно. Этот файл хранится только на вашем компьютере, если вы не решите отправить его себе по электронной почте или сохранить на внешнем жестком диске или USB.

А что насчет облака?

На самом базовом уровне «облако» — это просто модный термин для сети, состоящей из подключенных серверов. (А сервер — это просто компьютер, который предоставляет данные или услуги другим компьютерам). Когда вы сохраняете файлы в облаке, к ним можно получить доступ с любого компьютера, подключенного к сети этого облака.

Облако — это не просто несколько серверов, связанных аккордами Cat5. Вместо этого это система, состоящая из тысяч серверов, которые обычно хранятся на складе размером с космический корабль или в нескольких сотнях складов размером с космический корабль.Эти склады охраняются и управляются компаниями, способными хранить огромные объемы данных, в том числе такими, как Google (Google Docs), Apple (iCloud) и Dropbox.

Так что это не просто расплывчатое понятие. Это физически, осязаемо, реально.

Когда вы сохраняете файлы в облаке, вы можете получить к ним доступ на любом компьютере, если он подключен к Интернету и вы вошли в свою платформу облачных сервисов. Возьмите Google Диск. Если вы используете Gmail, вы можете получить доступ к Диску из любого места, где есть доступ к электронной почте.Войдите в одну службу и найдите всю свою библиотеку документов и фотографий в другой.

Почему людей волнует облачная безопасность?

Физически это не в ваших руках. Вы не сохраняете файлы на жесткий диск у себя дома. Вы отправляете свои данные другой компании, которая может хранить ваши данные за тысячи миль, поэтому безопасность этой информации теперь зависит от них. «Независимо от того, отправляются ли данные автоматически (подумайте о приложениях, которые синхронизируются с облаком) или управляют пользователями, загружающими фотографии в социальные сети, конечным результатом является то, что все это где-то где-то регистрируется и сохраняется», — говорит Жером Сегура, старший исследователь безопасности в Malwarebytes. .

И это место находится вне вашего прямого контроля.

Риски облачного хранилища

Облачная безопасность надежна, но не безупречна. Киберпреступники могут проникнуть в эти файлы, угадывая секретные вопросы или обходя пароли. Именно это произошло в The Great iCloud Hack 2014 года, когда обнаженные фотографии знаменитостей были доступны и опубликованы в Интернете.

Но больший риск с облачным хранилищем — это конфиденциальность. Даже если данные не были украдены и не опубликованы, их все равно можно просмотреть.Правительства могут законно запрашивать информацию, хранящуюся в облаке, и отказать в доступе остается на усмотрение поставщика облачных услуг. Десятки тысяч запросов на получение пользовательских данных ежегодно отправляются в Google, Microsoft и другие компании государственными учреждениями. В большинстве случаев эти компании передают хотя бы какие-то данные, даже если это не весь контент.

«Некоторые люди утверждают, что им нечего скрывать, что они не делают ничего плохого, и им все равно, что доступ к их личной информации, особенно если она помогает в поисках террористов», — говорит Сегура.«Хотя нет никаких сомнений в том, что свободный доступ к данным является бесценным активом для спецслужб, очень важно помнить, что каждый человек имеет фундаментальное право на неприкосновенность частной жизни».

Преимущества облачного хранилища

С другой стороны, данные, которые вы сохраняете в облаке, намного безопаснее, чем на вашем собственном жестком диске. Облачные серверы размещаются на складах вне офиса и вдали от большинства сотрудников, и они тщательно охраняются. Кроме того, данные на этих серверах зашифрованы, что делает их взлом трудоемкой, если не сложной задачей для преступников.В то время как заражение вредоносным ПО на вашем домашнем компьютере может раскрыть все ваши личные данные киберпреступникам и даже сделать ваши файлы уязвимыми для угроз программ-вымогателей. Фактически, мы рекомендуем создавать резервные копии ваших файлов в облачной службе в качестве защиты от программ-вымогателей.

Еще одним преимуществом хранения данных в облаке является экономическая эффективность и простота доступа. Вы можете хранить тонны данных, часто бесплатно, в облаке. Сравните это с количеством внешних жестких дисков и USB-накопителей, которые вам придется приобрести, и сложностью доступа к данным после их сохранения на нескольких других устройствах, и вы поймете, почему облачное хранилище стало популярным вариантом как для бизнеса, так и для потребителей. .

Окончательный приговор

Да, ваши данные в облаке относительно безопасны — вероятно, в гораздо большей степени, чем на вашем собственном жестком диске. Кроме того, файлы легко доступны и обслуживаются. Однако облачные сервисы в конечном итоге передают ваши данные в руки других людей. Если вас не особенно беспокоит конфиденциальность, тогда ничего страшного. Но если у вас есть конфиденциальные данные, которые вы не хотели бы видеть посторонними глазами — вероятно, лучше всего хранить их на жестком диске, который остается отключенным от домашнего компьютера.

Если вы готовы хранить данные в облаке, мы рекомендуем вам использовать облачный сервис с двухфакторной аутентификацией и шифрованием. Кроме того, следуйте этим рекомендациям, чтобы защитить свои данные в облаке:

• Используйте жесткие пароли и двухфакторную аутентификацию: Для данных, хранящихся в облаке, следует использовать уникальные и случайные пароли. Не используйте тот же пароль для других платформ. И еще больше защитите свой логин с помощью двухфакторной аутентификации.
• Резервное копирование файлов в разных облачных аккаунтах: Не храните все важные данные в одном месте.
• Практикуйте интеллектуальный просмотр: Если вы получаете доступ к облаку на общедоступном компьютере, не забудьте выйти из системы и никогда не сохраняйте информацию о пароле в браузере. (Мы смотрим на тебя, Chrome.)

Связанные

Насколько безопасны ваши данные, когда они хранятся в облаке?

Следующее эссе перепечатано с разрешения The Conversation, онлайн-публикации, посвященной последним исследованиям.

По мере того, как облачное хранилище становится все более распространенным, безопасность данных становится все более актуальной.Компании и учебные заведения в течение некоторого времени все чаще используют такие сервисы, как Google Drive, и многие отдельные пользователи также хранят файлы в Dropbox, Box, Amazon Drive, Microsoft OneDrive и т. Д. Они, без сомнения, озабочены сохранением конфиденциальности своей информации — и миллионы других пользователей могли бы хранить данные в Интернете, если бы были более уверены в ее безопасности.

Данные, хранящиеся в облаке, почти всегда хранятся в зашифрованном виде, и их нужно будет взломать, прежде чем злоумышленник сможет прочитать информацию.Но как специалист в области облачных вычислений и облачной безопасности я заметил, что ключи к этому шифрованию различаются в зависимости от сервисов облачного хранения. Кроме того, есть относительно простые способы, которыми пользователи могут повысить безопасность своих собственных данных за пределами того, что встроено в системы, которые они используют.

Кто держит ключи?

Коммерческие облачные системы хранения кодируют данные каждого пользователя с помощью определенного ключа шифрования. Без него файлы выглядят как тарабарщина, а не как значимые данные.

Но у кого есть ключ? Его может хранить как сам сервис, так и отдельные пользователи.Большинство сервисов сами хранят ключ, позволяя своим системам видеть и обрабатывать пользовательские данные, такие как индексирование данных для будущих поисков. Эти службы также получают доступ к ключу, когда пользователь входит в систему с паролем, разблокируя данные, чтобы человек мог их использовать. Это намного удобнее, чем оставлять ключи пользователям самим.

Но он также менее безопасен: как и обычные ключи, если они есть у кого-то еще, они могут быть украдены или использованы не по назначению без ведома владельца данных. А некоторые службы могут иметь недостатки в методах обеспечения безопасности, которые делают данные пользователей уязвимыми.

Предоставление пользователям контроля

Несколько менее популярных облачных сервисов, включая Mega и SpiderOak, требуют, чтобы пользователи загружали и скачивали файлы через клиентские приложения для конкретных сервисов, которые включают функции шифрования. Этот дополнительный шаг позволяет пользователям сохранять ключи шифрования самостоятельно. Для этой дополнительной безопасности пользователи отказываются от некоторых функций, таких как возможность поиска среди файлов, хранящихся в облаке.

Эти сервисы несовершенны — все еще существует вероятность того, что их собственные приложения могут быть скомпрометированы или взломаны, что позволит злоумышленнику прочитать ваши файлы либо до того, как они будут зашифрованы для загрузки, либо после загрузки и расшифровки.Поставщик зашифрованных облачных услуг может даже встроить в свое конкретное приложение функции, которые могут сделать данные уязвимыми. И, конечно же, если пользователь потеряет пароль, данные невозможно восстановить.

Одно новое мобильное приложение утверждает, что оно может хранить фотографии с телефона в зашифрованном виде с момента их съемки посредством передачи и хранения в облаке. Могут появиться и другие новые сервисы, предлагающие аналогичную защиту для других типов данных, хотя пользователям все же следует остерегаться возможности взлома информации в течение нескольких мгновений после того, как фотография сделана, прежде чем она будет зашифрована и сохранена.

Как защитить себя

Для максимальной безопасности облачного хранилища лучше всего сочетать функции этих различных подходов. Перед загрузкой данных в облако сначала зашифруйте их с помощью собственного программного обеспечения для шифрования. Затем загрузите закодированный файл в облако. Чтобы снова получить доступ к файлу, авторизуйтесь в сервисе, скачайте его и расшифруйте самостоятельно.

Это, конечно же, не позволяет пользователям пользоваться преимуществами многих облачных сервисов, таких как редактирование общих документов в реальном времени и поиск файлов, хранящихся в облаке.И компания, предоставляющая облачные сервисы, по-прежнему может изменять данные, изменяя зашифрованный файл перед его загрузкой.

Лучший способ защититься от этого — использовать аутентифицированное шифрование. Этот метод хранит не только зашифрованный файл, но и дополнительные метаданные, которые позволяют пользователю определить, был ли файл изменен с момента его создания.

В конечном счете, для людей, которые не хотят учиться программировать свои собственные инструменты, есть два основных варианта: найти сервис облачного хранилища с надежным программным обеспечением для загрузки и скачивания с открытым исходным кодом, одобренным независимыми исследователями в области безопасности.Или используйте надежное программное обеспечение для шифрования с открытым исходным кодом, чтобы зашифровать свои данные перед их загрузкой в ​​облако; они доступны для всех операционных систем и, как правило, бесплатны или очень дешевы.

Эта статья изначально была опубликована на сайте The Conversation. Прочтите оригинальную статью.

Эксперты по GDPR # 4. Хранение зашифрованных личных данных в облаке

Предположим, что у вашей компании есть набор данных о клиентах, в котором вы храните все личные данные клиентов, включая контактную информацию, список покупок, счета-фактуры и т. Д.

• Если это личные данные ваших клиентов, и вы используете их в своих целях, вы рассматриваете себя как контролер данных в соответствии с GDPR.
• В противном случае, если вы обрабатываете данные клиента от имени другой компании, вы обрабатываете данные.
• Субъектами данных являются клиенты, данные которых обрабатываются.

Независимо от того, являетесь ли вы контроллером данных или обработчиком, вы должны защищать набор данных клиентов, чтобы соответствовать GDPR, поскольку он явно содержит личные данные.

Для работы вашей организации этот набор данных должен быть доступен для многих ваших сотрудников с нескольких устройств, и вашим коллегам также может потребоваться возможность совместной работы и простого обмена им друг с другом. Здесь в игру вступают локальные хранилища или различные облачные решения.

Для защиты личных данных GDPR выделяет несколько технических мер, например, шифрование. Однако есть много разных способов зашифровать ваши данные. В этом сообщении в блоге наша цель — сравнить различные решения для хранения и обмена зашифрованными данными вашего бизнеса, например, с использованием локальных и различных облачных сервисов.

Какой подход к хранению и шифрованию обеспечивает наилучшую безопасность и защиту личных данных в наиболее частых сценариях атак? Чтобы ответить на этот вопрос, мы должны обратиться к , насколько возможно повторно идентифицировать людей из зашифрованного набора данных в случае его утечки из-за утечки данных. То есть мы должны больше узнать о том, могут ли сохраненные зашифрованные личные данные при этих различных подходах по-прежнему считаться читаемыми, понятными личными данными, которые можно использовать для имени и идентификации их владельца.

Три варианта хранения зашифрованных личных данных

Существует три основных подхода к защите хранимых и совместно используемых данных ваших клиентов с помощью шифрования.

1. Локальное локальное хранилище зашифрованных данных: Вы шифруете данные и храните зашифрованные данные самостоятельно локально на своих серверах.
2. Облачное хранилище с шифрованием на стороне сервера и при передаче: Вы доверяете поставщику облачных услуг, который шифрует данные ваших клиентов и хранит эти зашифрованные данные, а также соответствующий ключ шифрования и дешифрования в безопасном месте.В этом случае провайдер может расшифровать ваши данные по вашему запросу. Такие услуги предлагают почти все облачные провайдеры, такие как Google, Dropbox, Microsoft, Amazon и т. Д.
3. Облачное хранилище со сквозным шифрованием на стороне клиента: Вы шифруете данные клиента на своей стороне и храните зашифрованные данные в облаке. Таким образом, вы единственный, кто может получить доступ к ключу дешифрования, и никто другой, даже поставщик облака. Это то, что мы называем шифрованием на стороне клиента или сквозным шифрованием, и его предлагают только несколько поставщиков, включая Tresorit.

Цель GDPR — защитить людей от раскрытия их личных данных. Согласно GDPR, персональные данные — это , любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу . В предыдущем посте мы показали, что определение личных данных зависит от контекста и в конечном итоге требует проверки того, кто имеет доступ к данным и может ли он или она связать данные с каким-либо лицом. В приведенных выше сценариях это означает, что зашифрованные данные являются личными, если любой вероятный злоумышленник, кем бы он ни был, имеет разумные шансы выяснить личность субъектов данных, чьи данные зашифрованы.В целом правдоподобие зависит от мотивации злоумышленника (например, его стимулов и препятствий для повторной идентификации любого субъекта данных), а вероятность успеха зависит от технической сложности атаки (например, насколько легко получить расшифрованный набор данных. ?). Мотивация и вероятность успеха не полностью независимы. Чем проще атака, тем более мотивированным может быть противник, однако сейчас нас эта зависимость не волнует.

Чтобы ответить на наши основные вопросы, давайте проведем анализ рисков высокого уровня и обсудим правдоподобие и вероятность успеха некоторых атак, направленных на повторную идентификацию любого человека, чьи данные зашифрованы с помощью вышеуказанных подходов.Это даст более четкое представление о преимуществах и недостатках каждого решения для хранения и шифрования.

Подход 1. Локальное локальное хранилище зашифрованных данных

Это решение является довольно простым и безопасным только в том случае, если ваш сервер, который может хранить ключ дешифрования, или терминал, который может использоваться для предоставления парольной фразы для восстановления ключа, хорошо защищены. Однако настроить высокий уровень защиты намного сложнее, чем вы думаете.Брандмауэра, антивируса или других стандартных продуктов безопасности обычно недостаточно. Изощренные целевые атаки могут обойти даже основные продукты безопасности и использовать целевой фишинг и социальную инженерию для установки некоторых вредоносных программ в вашу систему. Например, это может произойти, когда один из ваших сотрудников открывает безобидное вложение или щелкает ссылку в электронном письме, подделанном злоумышленником. Когда вредоносные программы устанавливаются на любой компьютер в вашей локальной сети, они могут использовать уязвимости нулевого дня некоторых программных компонентов вашей системы, чтобы получить доступ к конфиденциальным файлам, в которых может храниться ключ дешифрования вашего набора данных.Кроме того, вредоносная программа может регистрировать нажатия клавиш, когда вы вводите кодовую фразу для расшифровки набора данных. Таким угрозам подвержены даже компании, вкладывающие большие средства в безопасность данных. Итак, почему в вашем случае это будет сложно (или неправдоподобно)?

Подход 2: Облачное хранилище с шифрованием на стороне сервера и при передаче

Теперь давайте посмотрим, что произойдет, если вы загрузите свои (незашифрованные) данные клиента облачному провайдеру, который зашифрует ваш набор данных и сохранит его вместе с ключом шифрования и дешифрования в безопасном месте.Всякий раз, когда вам нужны ваши данные, провайдер расшифровывает их и отправляет расшифрованные данные обратно вам по защищенному каналу. Насколько легко повторно идентифицировать людей в случае утечки данных? Могут ли ваши зашифрованные данные клиента считаться личными в этом случае?

Опять же, это зависит от того, насколько легко злоумышленник, кем бы он ни был, может получить доступ к расшифрованным данным клиента. Для внешнего злоумышленника (т. Е. Хакера) получение доступа к серверу провайдера, на котором хранятся зашифрованные данные, может быть технически сложнее, чем при предыдущем подходе, когда вы сами хранили зашифрованные данные.Это просто потому, что облачные провайдеры обычно гораздо более подготовлены к таким атакам, чем вы. Тем не менее, даже в этом случае вероятность этой атаки немалая. Настоящая разница заключается в мотивации злоумышленника; если он знает, что провайдер хранит ключ дешифрования (или незашифрованные данные) многих пользователей, таких как вы, злоумышленник может быть гораздо более мотивирован нацеливаться на провайдера.
Наконец, потенциальные (внутренние) злоумышленники включают самого поставщика облачных услуг, а также его сотрудников, которые могут легко получить ваш ключ дешифрования.Хотя у провайдера нет особого стимула для того, чтобы подглядывать за вашим набором данных о клиентах из-за потенциальных юридических последствий и потери репутации, разочарованный или финансово мотивированный сотрудник с большей вероятностью сделает это.

Подход 3: Облачное хранилище с сквозным шифрованием на стороне клиента

Это решение сочетает в себе преимущества предыдущих подходов; только вы знаете ключ дешифрования, но данные надежно хранятся у провайдера. Теперь я предполагаю худший вариант, а именно: злоумышленник каким-то образом получил копию зашифрованных данных клиента.Как показано выше, в Подходе 1 этот шаг сам по себе не является простым, но, безусловно, выполнимым, как было показано во многих печально известных случаях в недавнем прошлом.

Теперь может злоумышленник связать зашифрованные данные с одним из ваших клиентов? Теоретически нет. Зашифрованные данные могут быть связаны с клиентом только в том случае, если данные будут успешно расшифрованы. В идеальном мире это возможно только в том случае, если злоумышленник угадывает ваш ключ дешифрования. Если размер ключа составляет 256 бит, а ваш ключ полностью случайный, вероятность того, что злоумышленник угадает ваш ключ, составляет примерно 1: 2 ²⁵⁶ .Чтобы проиллюстрировать, насколько он мал, количество всех атомов в нашей галактике намного меньше 2 ²⁵⁶ . Таким образом, мы можем с уверенностью сказать, что ни у одного злоумышленника нет разумных шансов угадать ваш ключ, а это будет означать, что ваши зашифрованные данные клиента будут рассматриваться как некие не интерпретируемые полностью случайные «мусорные» данные для всех, у кого нет ключа (включая злоумышленника). Следовательно, пока данные не могут быть расшифрованы, их нарушение безвредно для субъектов данных.

Однако мир никогда не бывает идеальным.Во-первых, ваш ключ дешифрования генерируется из вашей парольной фразы или пароля. Если вашу парольную фразу легко угадать, злоумышленник может расшифровать ваши зашифрованные данные клиента. Если у злоумышленника есть разумные шансы угадать вашу парольную фразу, например, установив на ваше устройство вредоносную программу, которая регистрирует нажатия клавиш, как в Подходе 1, зашифрованные данные можно рассматривать как личные; в случае утечки субъекты данных могут быть повторно идентифицированы. Это также означает, что вы должны быть осторожны и принять несколько мер предосторожности, чтобы минимизировать, по крайней мере, риски атак методом перебора, например, наличие надежных паролей, уникально сгенерированных для каждой используемой вами службы.

Во-вторых, алгоритм шифрования, используемый вами или вашим провайдером, может быть уязвим для некоторых атак. Однако это относится ко всем трем подходам. Например, злоумышленник может использовать некоторые конструктивные недостатки схемы шифрования. Хотя такая атака не является полностью нереалистичной, в настоящее время она маловероятна, особенно если ваш провайдер применяет стандартные схемы шифрования (например, Tresorit). Второй и более вероятный способ взлома схемы шифрования — использовать недостатки реализации в некоторых программных компонентах, используемых в схеме шифрования.Эти недостатки (или любые другие бэкдоры) могут быть намеренно помещены в код, например, по просьбе правительства. Тем не менее, это маловероятно, если поставщик использует реализации с открытым исходным кодом или прозрачен в отношении своих операций и того, как они управляют правительственными запросами. Однако использование непреднамеренных недостатков реализации (например, типичного переполнения буфера) гораздо более правдоподобно. В самом деле, недостатки реализации неизбежны, пока люди разрабатывают программное обеспечение. Лучшее, что вы и ваш провайдер можете сделать, — это использовать стандартизированные алгоритмы и быть максимально прозрачными, а также регулярно обновлять компоненты программного обеспечения.

Вывод: выигрывает облачное хранилище со сквозным шифрованием

В следующей таблице вы можете увидеть краткое изложение вышеизложенного обсуждения того, какова правдоподобие и вероятность успеха двух злоумышленников, на которых мы смотрим, поставщика облачных услуг (или его сотрудников) и хакера. Мы оцениваем правдоподобие и вероятность успеха самой мощной атаки этих злоумышленников в этой таблице. Мы измерили правдоподобие и вероятность успеха по шкале из четырех значений правдоподобия; низкий, средний, значительный и большой.Например, если какая-либо из атак имеет разумные шансы произойти и удастся, она имеет большую или умеренную правдоподобность и вероятность успеха. В этом случае зашифрованные данные могут быть объявлены личными, поскольку, попав в чужие руки, они могут быть использованы для повторной идентификации человека, которому они принадлежат.

Какое же тогда лучшее решение? Как видите, облачное хранилище со сквозным шифрованием на стороне клиента — это настройка, при которой зашифрованные данные клиента с меньшей вероятностью будут рассматриваться как личные и использоваться для повторной идентификации субъектов данных.Это происходит главным образом потому, что у поставщика нет разумных средств для доступа к ключу дешифрования (и, следовательно, к дешифрованным данным клиента), и, таким образом, хакер менее мотивирован по сравнению со случаем, когда поставщик облачных услуг хранит ключ дешифрования. Еще одна веская причина для использования облачного хранилища вместо локального — это повышенная безопасность данных; поставщик облачных услуг с гораздо меньшей вероятностью потерпит потерю данных. Это улучшает доступность и целостность ваших данных, что также является явным принципом защиты данных в GDPR.

Об авторе

Gergely Acs — доцент Будапештского технологического и экономического университета (BME), Венгрия, и член Лаборатории криптографии и системной безопасности (CrySyS). До прихода в CrySyS Lab Гергели был научным сотрудником и инженером в INRIA, Франция. Его исследования сосредоточены на различных аспектах конфиденциальности и безопасности данных, включая машинное обучение с сохранением конфиденциальности, анонимизацию данных и оценку воздействия на защиту данных (DPIA).Он получил свой M.S. и к.т.н. градусов от НО.

Персональные данные в облаке — шифрование как решение

Как вы, наверное, знаете, наш продукт Boxcryptor — это немецкое программное решение. Многие из наших клиентов, особенно немецкие бизнес-клиенты, спрашивают нас о конфиденциальности своих данных в облаке, особенно когда они используют зарубежные облачные решения, такие как Dropbox или Google Drive. Главный вопрос: считаются ли зашифрованные данные личными? Если да, компании должны быть очень осторожны с хранением этих данных в облаке.Если нет, они могут хранить зашифрованные данные в облаке, не опасаясь юридических последствий.

Немецкий закон о конфиденциальности очень строг. Таким образом, компании, использующие облако, имеют право осведомиться об этой теме. Но даже если в вашей стране меньше ограничений на обработку персональных данных, это может вас заинтересовать. Если вы работаете в компании, занимающейся данными европейских граждан, это актуально и для вас, поскольку Общие правила защиты данных (GDPR) затрагивают не только европейские компании, но и все компании, которые имеют дело с личными данными европейских граждан.Поэтому мы хотим обсудить эту тему и высказать свою точку зрения по этому поводу.

Что такое BDSG?

«Bundesdatenschutzgesetz» (BDSG) — это Федеральный закон Германии о защите данных, который регулирует обработку всех персональных данных, которые обрабатываются в информационных и коммуникационных системах. Он применяется ко всем государственным органам и властям, а также к негосударственным учреждениям, таким как компании, ассоциации и отдельные лица (врачи, юристы, архитекторы и т. Д.), Которые обрабатывают или используют личные данные.Это не применяется, когда данные обрабатываются только в личных или семейных целях. Вскоре после вступления в силу GDPR Европейского Союза, в мае 2018 года, немецкий BDSG был обновлен (BDSG-neu), чтобы соответствовать новым требованиям Европейской директивы по защите данных.

Что такое личные данные?

Закон Германии определяет персональные данные как все данные, которые содержат информацию об отдельных личных фактах или информацию, позволяющую идентифицировать человека. Сюда входит такая информация, как имя, адрес, род занятий, IP-адрес, а также доход, собственность, политические взгляды, религиозные и философские убеждения или медицинская информация.Когда компания хранит список контактных лиц с их номерами телефонов или адресами электронной почты, это личные данные. И по немецким и европейским законам заслуживает особой защиты.

Почему нельзя просто хранить личные данные в облаке?

Немецкие предприятия должны хранить конфиденциальные данные только в компаниях за пределами Европейского Союза, если у них есть особая защита, такая как шифрование, — и даже это серая зона. По данным Европейской комиссии, защита данных недостаточно сильна в большинстве стран за пределами ЕС (Швейцария — одно из редких исключений).Особенно проблематичны США, потому что Патриотический акт разрешает властям всестороннюю проверку данных даже без постановления суда. Это проблематично, поскольку большинство компаний, предоставляющих облачные решения, такие как Dropbox, Microsoft или Google, имеют свои центры обработки данных в США.

Возникает вопрос, достаточно ли надежно защищены данные европейских граждан у облачных провайдеров США. Одним из решений может быть использование облачных провайдеров с центрами обработки данных в Европе — в идеале — с центрами обработки данных в Германии — вместо этого.

Попыткой привести уровень требований к защите данных для компаний США, Европы и Швейцарии в соответствие с высоким уровнем требований ЕС по защите данных был Privacy Shield. Но защита личных данных европейских граждан невозможна с помощью такой системы, как Privacy Shield, потому что правовые режимы в ЕС и США слишком разные. Вот почему Европейский суд отменил соглашение Privacy Shield в 2020 году.

Существуют серьезные различия, например, в юрисдикции судов в области защиты данных.Но закон США CLOUD также представляет собой серьезную проблему, поскольку этот закон позволяет федеральным властям США получать доступ ко всем данным, хранящимся в облаке. Особо взрывоопасен: в постановлении суда нет необходимости.

Закон об облаке, с одной стороны, касается данных, которые хранятся на серверах, расположенных на территории США. Однако с другой стороны, он также включает данные, которые хранятся на серверах, принадлежащих компании, штаб-квартира которой находится в США. При таком универсальном подходе охватываются в основном крупные игроки облачных провайдеров.

Итак, что вы будете делать, если предпочитаемый вами облачный сервис находится в США, и вы по-прежнему хотите хранить там личные данные — или хранение этих данных, например, сотрудниками, в принципе не может быть исключено?

Споры о шифровании как решении

Шифрование может быть решением вашей проблемы. Некоторые утверждают, что зашифрованные данные больше не подпадают под категорию личных данных. Однако в настоящее время отсутствует прецедентное право по этой проблеме. Пока что ни один суд не решил, являются ли зашифрованные данные личными или нет.GDPR явно поддерживает шифрование как меру защиты личных данных. Например, организация с надежным шифрованием не обязана информировать субъектов данных в случае утечки данных. Это тот случай, когда используемое шифрование делает личные данные недоступными для неуполномоченного лица.

Высшее агентство по регулированию защиты данных в Баварии («Landesamt für Datenschutzaufsicht») пришло к выводу, что зашифрованные данные больше не подпадают под категорию персональных данных (источник доступен только на немецком языке), при условии, что данные являются зашифровано современными надежными методами шифрования.Но это определение поднимает вопрос, что именно считается современным сильным криптографическим методом?

Последняя рекомендация ENISA — самого высокого европейского агентства безопасности — описывает Advanced Encryption Standard (AES) как безопасный для всех длин ключей. Boxcryptor использует AES-256 в сочетании с алгоритмами RSA и, следовательно, обеспечивает один из самых безопасных и современных методов шифрования.

Шифрование и Общий регламент ЕС по защите данных

Европейский общий регламент защиты данных (GDPR) — полностью вступающий в силу с мая 2018 года — перечисляет шифрование как меру для обеспечения «уровня безопасности, соответствующего риску» (GDPR, стр.51) для персональных данных. Узнайте больше о GDPR и использовании облака здесь.

Заключение

Существует решение проблемы хранения конфиденциальных личных данных у (неевропейских) поставщиков облачных услуг: согласованное современное шифрование данных перед их синхронизацией с облаком. По мнению ряда экспертов в области права, зашифрованные файлы не относятся к категории персональных данных и, следовательно, не подпадают под действие вышеупомянутых законов о конфиденциальности. Однако важно реализовать согласованное сквозное шифрование со стандартом нулевого знания, как предлагает Boxcryptor.С нулевым знанием дела никто, кроме пользователя, не может расшифровать данные. Поэтому он надежно защищен от всевозможных посторонних взглядов.

Примечание: В этой статье изложено наше мнение по данной теме. Это не юридическая консультация, и ее нельзя использовать для пропуска юридической консультации. Эта информация предоставляется без каких-либо обязательств. Мы не ручаемся за правильность, полноту или актуальность статьи. Время предоставления информации: 26.01.2016. Время обновления GDPR: 07.03.2019, обновления Privacy Shield: 07.03.2019.

9 советов по обеспечению безопасности и надежности облачного хранилища

Благодаря тому, что облачное хранилище теперь так тесно интегрировано в настольные и мобильные операционные системы, мы все синхронизируем в облако и из него больше данных, чем когда-либо прежде: наши фотографии, видео, документы , пароли, музыка и многое другое.

Доступ ко всем вашим данным в любом месте и с любого устройства, конечно же, дает множество преимуществ, но это открывает двери и для того, чтобы кто-то еще мог получить доступ к вашим файлам с другого устройства.Вот как этого избежать.

1. Используйте надежные пароли и двухфакторную аутентификацию

Все стандартные советы по безопасности применимы и к вашим облачным учетным записям: выбирайте длинные и уникальные пароли, которые сложно угадать, и используйте диспетчер паролей. Храните свои пароли в секрете и в безопасности и остерегайтесь любых попыток заставить вас расстаться с ними (например, в неожиданном письме).

Вам также следует включить двухфакторную аутентификацию (2FA), если она доступна (теперь ее поддерживают большинство популярных сервисов облачного хранилища).Включение 2FA означает, что нежелательные посетители не смогут получить доступ к файлам вашего облачного хранилища, даже если они знают ваше имя пользователя и пароль — также потребуется другой код с вашего телефона.

2. Аудит общих папок и файлов

Услуги облачного хранилища отлично подходят для обмена файлами с другими людьми — от членов семьи до коллег по работе — но они могут оставить ваши данные открытыми для несанкционированного доступа, если кто-то другой найдет эти ссылки или управляет для доступа к учетной записи человека, с которым вы поделились файлами.Будьте осторожны с тем, с кем вы предоставляете общий доступ к файлам и папкам, и добавляйте пароли и даты истечения срока действия своих общих папок, если эти функции доступны.

Также рекомендуется проводить регулярный аудит всех общих папок, которые в настоящее время активны в вашей учетной записи — например, в веб-интерфейсе Dropbox нажмите кнопку Shared слева. Для тех общих ресурсов, которые действительно должны оставаться активными, используйте любые параметры, которые у вас есть в ваших учетных записях облачного хранилища, чтобы сделать эти общие ресурсы доступными только для чтения, если другим сторонам абсолютно не нужна возможность редактировать файлы (Google Диск — это одна из служб, где вы можете это сделать. ).

3. Очистите «удаленные» файлы

Многие службы облачного хранения используют своего рода корзину, хранящую удаленные файлы в течение нескольких дней или недель на случай, если вы захотите их вернуть. Это часто очень полезно и может быть преимуществом, если кто-то попытается стереть вашу учетную запись. Тем не менее, вы можете убедиться, что некоторые конфиденциальные файлы полностью удалены и больше не могут быть восстановлены.

Если вы удаляете что-то, что вы определенно не хотите возвращать и что вы определенно не хотите, чтобы кто-то еще нашел, особенно если файл или папка являются общедоступными, изучите все параметры восстановления, которые есть у службы. и убедитесь, что файлы действительно исчезли.В случае iCloud в Интернете, например, щелкните ссылку Недавно удаленные , чтобы просмотреть и окончательно стереть удаленные файлы.

Поместите даты истечения срока действия ваших ссылок, если можете.

Снимок экрана: Дэвид Нилд

4. Проверьте свои подключенные приложения и учетные записи

Даже если хакеры не могут войти в ваши учетные записи через входную дверь, они могут попытаться получить доступ через боковое окно — другими словами, через другую учетную запись. который подключен к вашему облачному хранилищу. Хотя может быть удобно настроить подключение к вашему календарю или приложениям электронной почты, например, это также делает вашу учетную запись более уязвимой.

По крайней мере, убедитесь, что вы регулярно проверяете, какие сторонние приложения имеют доступ к вашему облачному хранилищу, и удаляйте те, которые вы не используете активно (вы всегда можете добавить их снова, если вам нужно). Например, если вы находитесь в веб-интерфейсе Dropbox, щелкните свой аватар (вверху справа), затем Settings и Connected , чтобы увидеть подключенные приложения.

5. Включите оповещения учетной записи

Большинство служб облачного хранилища смогут отправлять вам предупреждения о важных событиях учетной записи, таких как новые входы в систему, и важно убедиться, что они включены.Вы также можете подписаться на уведомления об активности внутри ваших учетных записей, например о новых созданных общих папках или удаленных файлах и папках.

По крайней мере, вы должны иметь возможность проверять, что происходило в последнее время в ваших облачных учетных записях, и это стоит делать регулярно. В случае Google Диска в Интернете, например, нажмите Мой диск , затем кнопку Info (вверху справа), затем Activity , чтобы увидеть последние изменения в вашей учетной записи.

6. Деактивировать старые устройства, у которых все еще есть доступ

Большинство облачных сервисов хранения позволяют синхронизировать файлы с нескольких устройств, поэтому, если вы обновляете свой телефон или переключаете работу и используете новый ноутбук, важно правильно отсоединить и деактивировать старый одни — на тот случай, если тот, кто унаследует эти старые устройства, каким-то образом получит доступ к вашим старым данным.

Обычно это означает просто выход из соответствующего приложения перед его полным удалением, но вы также должны выйти из системы в браузере, который вы использовали (см. Ниже).Вы также можете сделать это удаленно в большинстве учетных записей: в случае OneDrive, например, перейдите в свою учетную запись Microsoft в Интернете и щелкните Все устройства , чтобы просмотреть и удалить устройства, связанные с вашей учетной записью.

Ответы на 5 вопросов безопасности облачного хранилища данных.

Облачное хранилище, все еще относительно новое нововведение, в последние месяцы привлекло к себе пристальное внимание. Прежде чем доверять конфиденциальные данные сторонним хранилищам, потребители хотят знать, что их информация будет храниться безопасно и надежно.А это так? Простой ответ — да . Несмотря на тактику запугивания, разработанную хакерами для подрыва восприятия облака потребителями, облачное хранилище остается одним из самых безопасных способов хранения ваших данных сегодня. Давайте посмотрим, почему.

1. Если облако защищено, как был взломан iCloud от Apple?

После широко разрекламированной атаки на iCloud от Apple опросы показали, что популярность облачных хранилищ сразу упала. Пользователи сообщили, что чувствуют себя более уязвимыми, и начали сомневаться в безопасности своих личных данных.Но что же произошло на самом деле? В заголовках говорилось, что облако было взломано, что фотографии обнаженных людей были украдены с личных аккаунтов 26 знаменитостей. Хотя фотографии действительно были украдены из личных аккаунтов жертв, важное различие, которое никогда не проводилось популярными СМИ, заключалось в том, что облако не было взломано. Взлом был результатом уязвимостей в системе защиты паролей Apple, позволяющей стойким хакерам угадывать пароли и вопросы безопасности избранных пользователей.Само облако на самом деле никогда не пробивалось.

2. Как защищено облако?

Для обеспечения безопасности данных передовой линией защиты любой облачной системы является шифрование. Методы шифрования используют сложные алгоритмы для сокрытия информации, защищенной облаком. Чтобы расшифровать зашифрованные файлы, потенциальным хакерам понадобится ключ шифрования. Хотя зашифрованную информацию нельзя взломать на 100%, расшифровка требует огромных вычислительных мощностей компьютера, программного обеспечения для криминалистической экспертизы и много времени.Это можно сделать? Да, единственный способ надежно обезопасить ваши данные — это запереть их в сейфе под землей. При этом ваши данные, хранящиеся в облаке, обычно безопаснее, чем ваши данные, хранящиеся локально. Облачные сервисы используют более сложные методы безопасности, чем может придумать средний владелец компьютера, что дает вашим данным, хранящимся в облаке, дополнительный уровень защиты.

3. Что я могу сделать, чтобы сохранить свои облачные данные в безопасности?

Обеспечение безопасности ваших данных — это ваша ответственность, а также ответственность вашего облачного провайдера.Как хакеры продемонстрировали на примере взлома iCloud знаменитостей, плохая защита паролей может дать злоумышленникам полный доступ к вашим личным данным. Чтобы сохранить свой пароль в безопасности, избегайте использования одного и того же пароля на нескольких платформах; добавляйте буквы, цифры и символы к своему паролю и не используйте пароль, который каким-либо образом связан с вашей личной жизнью. Любой достойный хакер знает ваш адрес, имя вашего мужа, тип автомобиля, на котором вы водите, и ваш любимый ресторан.

Безопасность данных является серьезной проблемой, и хотя возможности в настоящее время ограничены, они существуют.Наиболее безопасным, вероятно, является шифрование военного уровня от таких поставщиков, как Credeon или nCrypted Cloud. Это позволяет пользователям шифровать и хранить данные со своими собственными спецификациями и безопасно обмениваться файлами с другими сторонами, которые могут просматривать файлы с помощью системы управления ключами.

Однако больше всего беспокоит облачное хранилище не во взломе данных, а в их потере. В Dropbox недавно произошел сбой в системе синхронизации, из-за которого многие подписчики потеряли файлы. Для тех, чьи файлы были размещены только в Dropbox, не было возможности получить их.В этом случае резервирование на другую облачную платформу было бы хорошей идеей.

4. Действительно ли облачное хранилище надежно?

Ваши данные могут быть в безопасности, если система, в которой они хранятся, вышла из строя, но это не поможет вам в случае сбоя системы. Хотя облачное хранилище защищает ваши данные от пожаров, наводнений, ураганов и компьютерных сбоев, оно по-прежнему уязвимо в том смысле, что находится в руках сторонней системы. К счастью, поскольку нет географических ограничений для облачного хранилища, вам не нужно использовать локальные облачные сервисы Joe Schmo.Прежде чем выбрать поставщика облачного хранилища, проведите исследование. Лучшие облачные провайдеры могут обеспечить безопасность и постоянный доступ к вашим данным. Если у компании, с которой вы работаете, есть история потери данных и нарушений безопасности, пора переходить к новому провайдеру.

Облачное хранилище намного надежнее при использовании в тандеме с другой системой хранения, такой как Google Диск. Как указывалось ранее, самая большая проблема с облачным хранилищем — это потеря данных, а не их взлом. Но эта проблема устраняется, если облако больше используется как платформа «совместного использования», а не как платформа «хранения».Беря общие файлы и сохраняя их в чем-то вроде Google Диска, вы можете быть уверены, что в случае потери ваших данных вы сможете легко найти их через другую платформу. Такие сервисы, как cloudHQ, предлагают бесшовную интеграцию через облако и приложения Google, Box и Dropbox; делая невозможным потерю ваших файлов.

5. Кто сейчас использует облачное хранилище?

Недавний опрос показал, что 86% компаний используют не только обширные облачные системы хранения, но и несколько облачных систем хранения.В опросе приняли участие компании из 80 разных стран, данные были собраны еще в 2005 году, до того, как облачное хранилище стало актуальной проблемой. 30% бизнеса — 1 учетная запись хранения, 16% — 2, 12% — 3, 8% — четыре и 19% — 5 или более (при 13% — 0 учетных записей).

Так что это значит? Это означает, что большинство компаний либо достаточно доверяют облачному хранилищу, чтобы значительно включить его в свои усилия по хранению данных, либо преимущества облачного хранилища настолько велики, что оно того стоит.Тем не менее тенденция не прекращается. Начиная с 2009 года, использование облака ежегодно растет в геометрической прогрессии.

Таким образом, хотя безопасность, кажется, остается проблемой, несмотря на руководящие принципы и методы, предложенные экспертами в этой области, крупные компании по-прежнему вкладывают ресурсы в приобретение и развитие платформы хранения. Это означает, что оптимизация облака и безопасность будут имитировать рост его популярности.

Насколько безопасны ваши данные в облаке?

Данные перемещаются в облако с рекордной скоростью.

Облачные решения становятся все более востребованными во всем мире. Эти решения включают в себя все: от безопасного хранения данных до бизнес-процессов в целом.

Определение безопасности облачного хранилища

Облачная интернет-безопасность — это внешнее решение для хранения данных. Вместо того, чтобы сохранять данные на локальных жестких дисках, пользователи хранят данные на серверах, подключенных к Интернету. Центры обработки данных управляют этими серверами, чтобы обеспечить безопасность данных и доступ к ним.

Предприятия обращаются к решениям облачных хранилищ для решения множества проблем.Малые предприятия используют облако для сокращения расходов. ИТ-специалисты обращаются к облаку как к лучшему способу хранения конфиденциальных данных.

Каждый раз, когда вы обращаетесь к файлам, хранящимся удаленно, вы получаете доступ к облаку.

Электронная почта — яркий тому пример. Большинство пользователей электронной почты не заботятся о сохранении писем на свои устройства, потому что эти устройства подключены к Интернету.

Узнайте о безопасности облачного хранилища и о том, как предпринять шаги для защиты своих облачных серверов.

Типы облаков: публичное, частное, гибридное

Существует три типа облачных решений.

Каждый из них предлагает уникальное сочетание преимуществ и недостатков:

Общедоступное облако: Эти услуги обеспечивают доступность и безопасность. Эта безопасность лучше всего подходит для неструктурированных данных, таких как файлы в папках. Большинство пользователей не получают особого внимания со стороны поставщиков общедоступного облака. Такой вариант доступен по цене.

Частное облако: Услуги хостинга частного облака — это локальные решения. Пользователи утверждают неограниченный контроль над системой.Частное облачное хранилище дороже. Это связано с тем, что владелец управляет физическим оборудованием и обслуживает его.

Гибридное облако: Многие компании предпочитают хранить файлы большого объема в общедоступном облаке, а конфиденциальные данные — в частном облаке. Этот гибридный подход обеспечивает баланс между доступностью и индивидуальной настройкой.

Насколько безопасно облачное хранилище?

Все файлы, хранящиеся на защищенных облачных серверах, имеют повышенный уровень безопасности.

Учетные данные безопасности, знакомые большинству пользователей, — это пароль.Поставщики средств обеспечения безопасности облачных хранилищ защищают данные и другими способами.

Некоторые из них включают:

Расширенные межсетевые экраны: Межсетевые экраны всех типов проверяют передаваемые пакеты данных. Простые проверяют только исходные и целевые данные. Продвинутые проверяют целостность содержимого пакета. Затем эти программы сопоставляют содержимое пакета с известными угрозами безопасности.

Обнаружение вторжений: Безопасное онлайн-хранилище может обслуживать множество пользователей одновременно. Успешные системы облачной безопасности полагаются на идентификацию, когда кто-то пытается проникнуть в систему.Многоуровневое обнаружение гарантирует, что поставщики облачных услуг могут остановить даже злоумышленников, прорвавшихся через первоначальную защиту сети.

Журнал событий: Журналы событий помогают аналитикам безопасности понимать угрозы. В этих журналах записываются сетевые действия. Аналитики используют эти данные для построения повествования о сетевых событиях. Это помогает им прогнозировать и предотвращать нарушения безопасности.

Внутренние межсетевые экраны: Не все учетные записи должны иметь полный доступ к данным, хранящимся в облаке.Ограничение безопасного доступа к облаку через внутренние брандмауэры повышает безопасность. Это гарантирует, что даже взломанная учетная запись не сможет получить полный доступ.

Шифрование: Шифрование защищает данные от неавторизованных пользователей. Если злоумышленник украдет зашифрованный файл, доступ будет запрещен без обнаружения секретного ключа. Данные бесполезны для тех, у кого нет ключа.

Физическая безопасность: Облачные центры обработки данных имеют высокий уровень безопасности. Сертифицированные центры обработки данных имеют круглосуточный мониторинг, блокировку отпечатков пальцев и вооруженную охрану.Эти места более безопасны, чем почти все локальные дата-центры. Разные поставщики облачных услуг используют разные подходы для каждого из этих факторов. Например, некоторые облачные системы хранения хранят ключи шифрования от своих пользователей. Другие выдают ключи шифрования своим пользователям.

Лучшая в своем классе облачная инфраструктура полагается на предоставление пользователям идеального баланса между доступом и безопасностью. Если вы доверяете пользователям их собственные ключи, пользователи могут случайно передать ключи неавторизованному лицу.

Существует множество различных способов структурирования инфраструктуры безопасности облака. При использовании облака пользователь должен следовать рекомендациям, изложенным в политике безопасности облака.

Чтобы система безопасности была полноценной, пользователи должны придерживаться программы обучения навыкам безопасности. Даже самая продвинутая система безопасности не может компенсировать нерадивых пользователей.

Риски безопасности облачных данных

Нарушения безопасности редко возникают из-за плохой защиты данных в облаке.Более 40% нарушений безопасности данных происходят из-за ошибок сотрудников. Повысьте безопасность пользователей, чтобы сделать облачное хранилище более безопасным.

На безопасность пользователей в облачной системе хранения влияет множество факторов.

Многие из них сосредоточены на обучении сотрудников:

Аутентификация: Слабые пароли — наиболее распространенная уязвимость системы безопасности предприятия. Многие сотрудники записывают свои пароли на бумаге. Это противоречит цели. Многофакторная аутентификация может решить эту проблему.

Осведомленность: В современном офисе каждая работа связана с кибербезопасностью. Сотрудники должны знать, почему безопасность так важна, и быть обученными навыкам безопасности. Пользователи должны знать, как преступники взламывают корпоративные системы. Пользователи должны подготовить ответы на наиболее распространенные векторы атак.

Защита от фишинга : Фишинговые атаки остаются наиболее распространенным вектором кибератак. Эти атаки пытаются скомпрометировать адреса электронной почты и пароли пользователей. Затем злоумышленники могут пройти через бизнес-системы, чтобы получить доступ к более важным файлам.

Drills Drills: Моделирование утечек данных может помочь сотрудникам выявлять и предотвращать фишинговые атаки. Пользователи также могут сократить время отклика при возникновении реальных нарушений. Это устанавливает протоколы для обработки подозрительной активности и дает пользователям обратную связь.

Измерение: Результаты тренировок по обнаружению утечки данных должны определять будущую эффективность. Практика ведет к совершенству только в том случае, если аналитики оценивают результаты и находят способы их улучшить. Оцените результаты имитационных тренировок и обучения сотрудников, чтобы максимально повысить безопасность облачного хранилища.

Проблемы безопасности облачного хранилища: обучение сотрудников

Обучение сотрудников помогает предприятиям успешно защищать облачные данные. Сотрудники-пользователи часто не знают, как работают облачные вычисления.

Объясните своим сотрудникам безопасность облачного хранилища, ответив на следующие вопросы:

Где находится облако?

Облачное хранилище данных находится в удаленных дата-центрах. Они могут быть где угодно на планете. Поставщики облачных услуг часто хранят одни и те же данные в нескольких местах.Это называется избыточностью.

Чем облачное хранилище отличается от локального?

Поставщики облачных услуг используют Интернет для передачи данных из защищенного центра обработки данных на устройства сотрудников. Данные облачного хранилища доступны везде.

Сколько данных может хранить облако?

Хранение в облаке практически не ограничено. Место на локальном диске ограничено. Пропускная способность — объем данных, которые сеть может передать в секунду — обычно является ограничивающим фактором.Облачная служба большого объема с низкой пропускной способностью будет работать слишком медленно для полноценной работы.

Экономит ли облако деньги?

Большинство компаний вкладывают средства в облачное хранилище, чтобы сэкономить деньги по сравнению с локальным хранилищем. Улучшенные возможности подключения сокращают расходы. Облачные сервисы также могут сэкономить деньги в ситуациях аварийного восстановления.

Является ли облако безопасным и частным?

Профессиональное облачное хранилище обеспечивает самую современную безопасность. Пользователи должны соблюдать правила безопасности поставщика.Небрежное использование может поставить под угрозу даже лучшую защиту.

Рекомендации по обеспечению безопасности облачного хранилища

Поставщики облачных хранилищ хранят файлы с избыточностью. Это означает копирование файлов на разные физические серверы.

Поставщики облачных услуг размещают эти серверы подальше друг от друга. Стихийное бедствие может разрушить один центр обработки данных, не затронув другой, находящийся за сотни миль.

Представьте, что в офисном здании вспыхивает пожар. Если в структуре есть бумажные файлы, они будут записаны в первую очередь.Если электронное оборудование офиса расплавится, резервные копии файлов тоже исчезнут.

Если офис сохраняет свои документы в облаке, это не проблема. Копии каждого файла существуют в нескольких центрах обработки данных, расположенных по всему региону. Офис может переехать в здание с доступом в Интернет и продолжить работу.

Redundancy делает платформы безопасности облачных хранилищ отказоустойчивыми. Хранение данных на месте гораздо более рискованно. Крупные поставщики облачных услуг используют эффект масштаба, чтобы гарантировать сохранность пользовательских данных.Эти поставщики измеряют отказы жестких дисков и компенсируют их за счет избыточности.

Даже без избыточных файлов выходит из строя лишь небольшой процент жестких дисков поставщиков облачных услуг. Эти компании полагаются на хранилище для получения всего дохода. Эти поставщики принимают все меры предосторожности, чтобы данные пользователей оставались в безопасности.

Поставщики облачных услуг инвестируют в новые технологии. Достижения улучшают меры безопасности в облачных вычислениях. Новое оборудование улучшает результаты.

Это делает облачное хранилище отличным вариантом для защиты данных от киберпреступности.При наличии правильно настроенных защитных решений даже программы-вымогатели не представляют реальной угрозы. Вы можете стереть зараженные компьютеры и начать все заново. Планирование аварийного восстановления — важный аспект безопасности облачного хранилища.