Доступность данных для ЦОДа

Если представить, что ЦОД — это банк, то ваш сервер на colocation, виртуальный или выделенный сервер будет банковской ячейкой. Продолжая аналогию, данные на сервере можно сравнить с хранящимися в ячейке ценностями, тем же слитком золота или облигациями на предъявителя. Аналогия с банком самая непосредственная: данные на серверах — те самые ценности клиентов, к которым у дата-центра нет доступа. Как и у банка нет доступа к содержимому ячеек. Откуда же тогда утечки данных, с которыми в 2019 году столкнулись 34% крупных российских компаний?*

Утечки данных

По отчетам «Лаборатории Касперского»* 31% утечек в России и 33% в мире происходят внутри компании. Во-первых, по причине невысокой цифровой грамотности сотрудников. Во-вторых, из-за отсутствия проработанной политики информационной безопасности. Несмотря на растущие риски киберугроз, персонал по-прежнему использует небезопасные пароли, передает съемные носители из рук в руки, пренебрегает регламентами и инструкциями по разграничению доступа. 

Контроль доступа

Что делает ЦОД, чтобы в этой ситуации защитить данные клиентов? Все, что в его силах: ограничивает доступ в дата-центр и машзалы, ведет видеосъемку и фотоидентификацию, контролирует использование съемных носителей. Грубо говоря, посторонний человек даже не зайдет на территорию ЦОД, а сотрудник одной организации не попадает в машзал, где стоят сервера другой организации — у него просто не будет доступа. Тем более, что представители компании проходят в машзал и работают с оборудованием в сопровождении ответственного инженера ЦОД. Но это, если говорить о посторонних. Сможет ли техник, механик или инженер дежурной смены зайти в серверный зал и получить информацию с сервера? Вопреки остросюжетным триллерам, все не так просто:

1. Техник, механик или любой другой сотрудник, чьи обязанности не предусматривают работы конкретно в этом машзале, без пропуска в зал не попадет. 

2. Персонал клининговых, ремонтных и др. служб сопровождает дежурная смена.

3. В машзалах работает система видеонаблюдения и картинка не только записывается, но и транслируется на монитор диспетчерской службы безопасности. При малейших подозрениях на несанкционированные действия служба безопасности поднимет тревогу. 

4. Большая часть наших клиентов поддерживает хорошую практику изоляции стоек, блокирует использование переносных USB-накопителей, используют и периодически меняют способы аутентификации.

Одна из 300 камер видеонаблюдения

И даже, если гипотетически предположить попытку несанкционированного доступа «изнутри», на страже безопасности клиентских данных брандмауэры, системы предотвращения и обнаружения вторжений, двухуровневая идентификация, сегментация инфраструктуры сети, шифрование данных и пр. Часть этих мер реализуется на уровне ПО для структурирования и администрирования ЦОД, часть внедряется клиентами и используется в ежедневной практике. 

Ответственность за доступ к данным

С юридической точки зрения ответственность за сохранность данных лежит на операторе, то есть на владельце этих данных. На ЦОД лежит обязанность удалить данные, например, с выделенного сервера, после расторжения договора с клиентом, поддерживать физическую безопасность оборудования и отказоустойчивость инфраструктуры в соответствии с SLA. И даже если говорить о персональных данных (ПД), к хранению и обработке которых закон предельно строг, ФЗ-152 не оставляет поводов для разночтений: ответственность за хранение, обработку и передачу ПД перед субъектом персональных данных несет оператор и только оператор. Конкретно о ПД и ФЗ-152 мы уже писали и подробно рассматривали это вопрос.

В любом случае, в вопросе доступа к данным ЦОД — заинтересованная сторона. Независимо от сферы ответственности и причин нарушения безопасности. Для дата-центра нарушение доступа к данным — репутационный риск, поэтому в GreenBushDC системы безопасности частично дублируют друг друга. Показания системы мониторинга круглые сутки отслеживают дежурные инженеры, за мониторами системы видеонаблюдения 24 часа в сутки наблюдает служба безопасности, а их, в свою очередь, подстраховывают системы сетевой безопасности. И нет, мы не считаем, что перестраховываемся. Для многих наших клиентов данные являются ценнейшим информационным активом, поэтому мы предпочитаем взять на себя чуть больше, но гарантировать безопасность. 

* Исследование «Информационная безопасность бизнеса» проведено специально для «Лаборатории Касперского» в 2018 году. Данные собраны на основании опроса 6614 IT-специалистов из 29 стран по всему миру, в том числе 772 человек из России