Можно ли спрятаться от спецслужб в облаках
Эксперты по информационной безопасности о хранении секретных и приватных данных
После заявлений Эдварда Сноудена о том, что
спецслужбы тесно сотрудничают с крупнейшими IT- и интернет-компаниями, у
многих пользователей возникли опасения относительно сохранения
приватности данных, загруженных в облачные хранилища. «Газета.Ru» узнала
у экспертов по IT-безопасности, возможно ли сохранить
конфиденциальность своих данных в облачных сервисах и какие легальные
способы для этого существуют.
Скандал, вызванный разоблачениями бывшего сотрудника ЦРУ и АНБ,
затронул не только политизированную часть интернет-пользователей. В том,
что спецслужбы собирают и анализируют данные, открыто выложенные в
сеть, никто не сомневался и раньше. То, что разведки всего мира шпионят
за посольствами и опасными (с их точки зрения) персонами и
организациями, перехватывая содержимое писем, голосовых и видеочатов,
тоже не является секретом. Однако утверждения
Сноудена, что АНБ имеет прямой доступ к центральным серверам ведущих
интернет-компаний – Microsoft, Yahoo, Google, Facebook, PalTalk, AOL,
Skype, YouTube, Apple, вызвало некоторые опасения — как у обычных, так и у бизнес-пользователей. Microsoft,
Google, Apple и другие крупные IT-компании в последние годы успешно
предоставляют услуги по хранению информации в своих облачные сервисах.
Хранение данных в «облаке» на сегодняшний день считается надежным и
передовым, с точки зрения юзабилити, решением. Заявления Эдварда
Сноудена заставили усомниться если не в надежности хранения этих данных,
то, по крайней мере, в сохранении их конфиденциальности. «Газета.Ru»
попросила экспертов российских и международных компаний, занимающихся
информационной безопасностью, рассказать нашим читателям, возможно ли
сохранить конфиденциальность своих данных при использовании облачных
хранилищ данных и если возможно, то как. Андрей Комаров, директор департамента международных проектов, аудита и консалтинга компании Group-IB:Желательно
минимизировать использование облачных сервисов для хранения
конфиденциальной информации, включая собственные персональные данные,
либо размещать их в зашифрованном виде со стойким методом
криптографической защиты. Часто пользователи размещают на временное
хранение деликатные документы в «облака», которые индексируются
поисковиками, что делает их доступными для злоумышленников. Существует
множество бесплатных средств криптографической защиты информации - PGP,
RAR-архивы с паролем и шифрованием имен файлов. Последнее — наиболее
приемлемый вариант, миллионы пользователей используют архивы по всему
миру, так что выделить вашу информацию среди всех остальных, да еще и с
паролем, будет достаточно сложно. Сергей Комаров, руководитель отдела антивирусных разработок и исследований компании «Доктор Веб»:Надо
понимать, что если вы пользуетесь облачными хранилищами, то полагаетесь
на некую вторую сторону, которой априори доверяете. Чтобы как-то
обезопасить себя при этом, всё, что вы можете сделать, это прочесть
лицензионное соглашение и полагаться на то, что оно будет соблюдено. И,
если оно было нарушено, пытаться возместить ущерб. При этом, если
вы обеспокоены сохранением в секрете ваших приватных данных и
документов, единственный способ защитить их — это хранить их там, где
никто не сможет получить к ним доступ. Однако такого места на Земле
просто не существует. Локально ли вы храните ваши данные, на своем
компьютере, или в облаке, например, у Google или Apple – это определяет
лишь степень простоты, с которой ваши данные могут быть получены третьей
заинтересованной стороной. А то, что такое возможно, знают практически
все, если не на реальном опыте, то опосредованно. Что касается,
криптографических и иных средств защиты информации в «облаке», то такие
решения есть, но они существуют лишь для того, чтобы осложнить жизнь
тому, кто хочет получить доступ к вашим данным. Решений, обеспечивающих
100% защиту информации, нет, так что если в облаках будут храниться
действительно важные данные, вероятность потери конфиденциальности этих
данных резко возрастает. Денис Безкоровайный, технический консультант компании Trend Micro в России и странах СНГ:Защита
данных пользователей и компаний, в том числе в облачных хранилищах,
всегда была и остается обязанностью самих пользователей. Нужно понимать,
что свои данные пользователи загружают во всеобщий доступ, и принимать
соответствующие степени конфиденциальности этих данных меры по защите.
На рынке уже присутствует множество решений для шифрования данных в
облачных хранилищах, как для домашних, так и для корпоративных
пользователей. Причем создать собственную рабочую схему шифрования
данных перед их отправкой в облако можно даже на базе open-source
разработок. Для компаний, желающих получить степень удобства доступа к
данным с различных устройств, аналогичную современным консьюмерским
продуктам (например, Dropbox, BOX.net), можно рекомендовать обратить
внимание на продукты, предназначенные для построения частного облака и
безопасного обмена файлами, хранилище которых базируется в датацентре
самой компании. Артем Баранов, ведущий вирусный аналитик компании ESET:Мы
полагаем, что заявления г-на Сноудена не носят сугубо информационный
характер, а являются своего рода PR-акцией. Судя по всему, в
распоряжении Guardian действительно оказалась переданная Сноуденом
информация, которая подтверждает факт передачи данных от ряда компаний к
спецслужбам США. Но постоянное присутствие этой информации в СМИ уже
создает определенную головную боль не только для этих компаний (Google,
Microsoft, Facebook и др), которые вынуждены оправдываться, но и для
пользователей, у которых в итоге создается впечатление «тотальной
прослушки». Интернет-пользователям следует понимать, что каждая из этих
компаний имеет свою команду, обеспечивающую безопасность (security team)
пользовательских данных от попадания в руки злоумышленников. Однако
спецслужбы не относятся к категории злоумышленников, и компании могут
делиться частью информации о пользователях со спецслужбами того
государства, в котором они находятся. Что касается методов защиты,
то надо понимать, что само использование каких-либо криптографических
или иных специальных средств для персонального пользования может вызвать
интерес у спецслужб любого государства, потому что в таком случае
возникает подозрение, что человек может скрывать какую-либо
противоправную информацию. Популярные облачные сервисы для
хранения данных, вроде MS SkyDrive, Google Drive или Apple iCloud, со
временем будут только расширять свою аудиторию, поскольку у этих
компаний есть большой опыт в проектировании популярных веб-сервисов.
Пользователям, в свою очередь, следует уделять больше внимания
настройкам безопасности аккаунтов в облачных и всех прочих сервисах:
использовать безопасное https-соединение, придумывать сложные пароли и с
подозрением относиться к незапрошенным сообщениям от неизвестных лиц –
ссылки в таких сообщениях могут вести на вредоносное ПО или фишинговые
страницы. Сергей Ложкин, эксперт компании «Лаборатория Касперского»:Компании,
предоставляющие облачные сервисы, достаточно серьезно относятся к
защите данных пользователей. У некоторых провайдеров при загрузке данные
шифруются, причем ключ создается на стороне пользователя, и сами
владельцы «облака» не смогут получить доступ к хранимой информации. Но
если хочется обеспечить максимальный уровень безопасности данных и быть
полностью уверенным в том, что кроме владельца никто не сможет получить к
ним доступ, то единственное что можно посоветовать – это шифровать
данные перед загрузкой в облачный сервис. Решений для шифрования на
рынке достаточно много. Из бесплатных можно назвать True Crypt и
различное программное обеспечение, использующее в своей работе механизм
шифрования OpenPGP. Павел Паплински, директор департамента
стратегии и маркетинга в России и СНГ телекоммуникационной компании
Orange Business ServicesВ отличие от публичных облачных
хранилищ, в которых размещено большинство популярных сервисов для
физических лиц, корпоративные облачные сервисы являются более
контролируемыми. Одно из преимуществ сервисов для бизнеса – безопасные
каналы передачи данных, защищенные шифрованием или вовсе не имеющие
стыков с сетью интернет. Кроме того, корпоративные заказчики могут
строить частные облака, размещая серверное оборудование на собственной
территории. Такой тип сервисов пользуется особой популярностью в России,
где заказчики традиционно предпочитают сохранять полный контроль над
своими данными. И тем не менее, в случае официального запроса
компетентные органы могут получить доступ к любому хранилищу данных. Дмитрий Бевза http://www.gazeta.ru/tech/2013/07/12_a_5426173.shtml
|