Некоторые эксперты проявляют обеспокоенность по поводу пиратства и безопасности данных, хранящихся в облаке.

Киберпреступления 2.0  

Как здравоохранение 2.0, банковская деятельность 2.0 и образование 2.0, криминальная деятельность в Интернете превратились в киберпреступления 2.0. С точки зрения безопасности, облако - это палка о двух концах. Несмотря на потенциальную возможность облака обеспечить безопасность при минимальных затратах, риск, которому подвергаются небольшие компании, может возрасти, если они будут хранить важные данные в облаке.

Криминальные элементы всегда проявляют интерес к источникам ценности, и для хакеров - сети крупных компаний являются более соблазнительной целью, чем мелкие частные сети групп пользователей. Поставщики облачных сервисов чаще становятся объектом атак злоумышленников, и, что еще важнее, именно информация, хранящаяся в облаке, иногда превращается в золотую жилу для киберпреступников.

Чтобы представить уровень рисков безопасности в облаке, обратим внимание на отчет Google за 2009 год, в котором рассказывается об атаке на инфраструктуру компании, причем источник атаки находился в Китае. В Google подчеркивают, что эта атака была частью более крупной операции, которая охватывала инфраструктуру по крайней мере 20 других крупных компаний.

Одно из опасений заключалось в том, что хакеры могли похитить интеллектуальную собственность и другую важную информацию, хранившуюся в облаке. Хуже того, провайдеры облака могли не уведомить своих клиентов о нарушении защиты. Многие компании, как правило, предпочитают не сообщать о киберпреступлениях из-за опасения, что пользователи усомнятся в их надежности, что негативно отразится на стоимости акций. В отчете одной из инжиниринговых компаний говорится: «Многие из кибератак остаются незамеченными или могут оставаться незамеченными в течение долгого времени».

В развивающихся странах провайдеры облака и пользователи сталкиваются с дополнительными трудностями, вызванными неблагоприятной экономико-правовой средой. Во многих развивающихся странах такие обыденные факторы, как коррупция, непрозрачность и слабая юридическая система, могут увеличить риск нарушения информационной безопасности. 

Различные аспекты экономико-правовой среды могут практически свести на нет потенциальные выгоды облака и заставить инвесторов отказаться от подобных проектов. В 2008 году Эрик Шмидт, генеральный директор Google, пообещал, что компания совместно с китайскими университетами, в первую очередь с Университетом Цинху, будет работать над академическими программами, связанными с облаками, однако неблагоприятные политические условия привели к тому, что Google отказалась работать в Китае. Кроме того, возможные перебои в электроснабжении могут также затормозить распространение облачных сервисов - подобные перебои уже не раз приводили к приостановке работы таких популярных облаков, как Gmail, S3, и облаков, принадлежащих Salesforce и Microsoft.

Шпионская машина 

В апреле 2010 года американские и канадские исследователи опубликовали отчет, в котором говорилось об обнаружении развернутой сети кибершпионажа, которую они назвали Shadow. Целями этой сети были индийское министерство обороны, Организация Объединенных Наций и представительство Далай-ламы. Облака становятся удобным прикрытием для преступников и шпионских сетей, обеспечивая им многоуровневую защиту, избыточность, дешевый хостинг и традиционно распределенные архитектуры командного управления.

Имеются реальные свидетельства того, что благодаря повышению роли ИТ в сфере национальной безопасности во многих секторах экономики растет протекционизм. Атмосфера подозрительности и недоверия между государствами может способствовать проявлению такого протекционизма. Последствия межгосударственного недоверия хорошо видны на примере взаимоотношений США и Китая. Китайские лидеры опасаются возможных кибератак со стороны США, они уверены в том, что Microsoft и правительство США шпионят за китайскими пользователями, используя для этого тайные «черные ходы» и закладки в продуктах Microsoft. Компьютерное оборудование и программное обеспечение, импортированное в Китай из США и их стран-союзников, придирчиво изучается. Китайские технические специалисты контролируют такой импорт и стараются не допустить, чтобы в установке этих продуктов принимали участие западные эксперты, тщательно контролируя их деятельность.

Несколько лет назад китайские специалисты по шифрованию обнаружили в продуктах Microsoft «ключ АНБ», который они интерпретировали как принадлежащий Агентству национальной безопасности США. Этот ключ, как утверждалось, давал правительству США тайный доступ к Microsoft Windows. Несмотря на то, что Microsoft отвергла эти обвинения и выпустила заплату для того, чтобы устранить проблему, китайские официальные лица это не убедило. Таким образом, руководство Китая, может посчитать неприемлемым хранение данных в облаках, предоставляемых иностранными международными компаниями.

Американские политики в свою очередь обеспокоены интернационализацией китайских технологических компаний, например, некоторые законодатели считают, что приобретение компанией Lenovo подразделения ПК корпорации IBM может привести к передаче передовой технологии китайскому правительству. Когда госдеп США в 2006 году планировал закупить компьютеры Lenovo, политики и эксперты подняли вопрос об угрозе национальной безопасности, утверждая, что тесные связи Lenovo с правительством Китая могут представлять угрозу США.

Есть определенные опасения и относительно внутренней безопасности - властям значительно проще следить за гражданами, когда они работают и общаются в облаках. В отчете Google, опубликованном в апреле 2010 года, упоминается о том, что государственные власти разных стран просят эту компанию предоставить частную информацию и ввести цензуру в приложениях.

Правительства во всем мире по-разному и в разной степени осуществляют цензуру сайтов и используют Web для слежки, но, несмотря на то, что онлайн-среду контролируют около 40 правительств, мало кто делает это более искусно, чем Китай. При определении государственной стратегии Китая в отношении ИТ была предпринята попытка найти баланс между экономической модернизацией и политическим контролем. Китай добился систематического, массового контроля в Интернете - десятки тысяч правительственных агентов участвуют в осуществлении такого киберконтроля. По данным Berkeley China Internet Project, программное обеспечение поддержки цензуры китайского правительства закрывает доступ к сайтам, содержащим такие слова и выражения, как «свобода», «демократия», «либеральный Китай» и «фалунь» («колесо закона» в китайском буддизме). Также сообщалось, что с санкции китайского правительства проводилось заражение вирусами запрещенных сайтов.

Таким образом, страны, всерьез занимающиеся поддержкой кибершпионажа и организацией кибервойн, такие как Китай, окажутся в более выгодном положении, поскольку смогут использовать уязвимость облака для подобных действий. В случае с Shadow, например, сеть кибершпионажа объединяла платформы социальных сетей и облака от Google, Baidu, Yahoo, Twitter, Blogspot и blog.com с традиционными серверами командного управления.

Негативный эффект страны происхождения 

Провайдеры облака из развивающихся стран, таких как Китай и Индия, могут столкнуться с серьезными препятствиями при попытке выйти на международный рынок. Помимо опасений, связанных с безопасностью облаков, одно из таких препятствий заключается в том, что экономико-правовая среда в таких странах сама по себе не может гарантировать безопасность и конфиденциальность клиентских данных.

Перспективы гражданского и уголовного судебного преследования не внушают оптимизма, когда нарушения безопасности и конфиденциальности возникают в стране со слабой властью закона. Аналитики отмечали, что в Индии довольно слабое законодательство в отношении киберпреступлений и обеспечения конфиденциальности, а с другой стороны, европейские и американские законы о защите данных в Индии применены быть не могут.

Репутация китайского правительства не намного лучше и дает основание полагать, что данные, хранимые в облаке, расположенном в Китае, также не могут быть в безопасности. Эти опасения еще больше усиливаются, когда речь заходит о возможности государственного контроля над провайдерами облака, действующими на территории Китая. На долю государства приходится, по крайней мере, 70% экономики этой страны, и ему принадлежит 76% национальных богатств. Например, мобильные операторы на 70% принадлежат государству и тесно аффилированы с государственной властью. В 2001 году в состав советов директоров 70% крупных и средних корпоративных предприятий обязательно входили члены коммунистической партии. Как следствие китайские компании обычно в большей степени, чем западные, ориентированы на государство, а не на потребителей, и для китайских провайдеров облака государственные интересы могут оказаться важнее прибыли акционеров. Частично благодаря реальному и ощутимому государственному контролю китайские провайдеры облака могут считаться в меньшей степени заслуживающими доверия, и, таким образом, им приходится бороться с негативным эффектом образа и стереотипов в отношении страны происхождения.

Облака, контролируемые криминалом 

Облако потенциально наиболее уязвимо, когда рассматривается как прикрытие действующим параллельно облакам, контролируемым криминалом. Облако может давать преступникам многие из тех же преимуществ, которые получают добропорядочные компании. Принадлежащие криминальным группам облака могут использоваться для похищения данных, хранящихся в «законопослушных» облаках.

Хорошо известный вирус Conficker, контролирующий 7 млн компьютерных систем в 230 региональных и национальных доменах высшего уровня и поддерживающий пропускную способность 28 Тбит/с, представляет собой, как утверждается, самое большое в мире облако, и, вероятно, это наиболее яркий пример облака, принадлежащего криминалу.  

Как и в случае с легитимными производителями облака, ресурсы Conficker можно взять в аренду - киберпреступники могут выбрать место, которое они хотят арендовать в облаке Conficker, оплатить нужную им полосу пропускания и указать предпочтительную операционную систему. Потребители могут выбирать разнообразные виды сервисов для того, чтобы воспользоваться облаком Conficker: организация атаки на отказ в обслуживании, распространение вредоносного программного обеспечения, рассылка спама, скрытое внедрение данных и т. д.

Внутренние риски 

Изъяны в безопасности и нарушения конфиденциальности, связанные с утечкой данных и некорректным использованием, вызывают самое большое опасение в офшорной деятельности. Различные истории о краже данных и злоупотреблениях в индийских и пакистанских компаниях, предоставляющих услуги аутсорсинга, свидетельствуют о том, что такие опасения небезосновательны.

Как следствие, офшорные компании приняли соответствующие превентивные меры, такие как биометрическая аутентификация сотрудников, детальный мониторинг и анализ журналов регистрации сотрудников, запрет на использование сотовых телефонов, доступа в Интернет и к электронной почте. У компьютерных терминалов офшорных компаний нет жестких дисков, дисководов для компакт-дисков и других средств хранения, копирования и передачи данных.

В свете этих проблем опасениям относительно конфиденциальности и безопасности придается особое значение, если сотрудники офшорных компаний работают вне выделенных контакт-центров телефонного обслуживания, как многие операторы контакт-центров в Южной Африке.

Риски для индустриальных стран 

Для международных компаний, работающих с облаками, заманчиво использовать более дешевые сервисы хостинга в развивающихся странах, однако киберпреступники рассматривают эти сервисы как самые удобные средства проникновения в ресурсы богатых экономик. Например, США - первоочередная цель для кибератак. Поскольку многие развивающиеся страны являются основными источниками киберпреступлений, риски безопасности, связанные с внедрением облаков в этих странах, могут распространиться и на индустриальные страны. Целью и жертвой становились американские федеральные ведомства, в том числе и Пентагон: с сентября 2004-го по апрель 2005 года свыше дюжины версий червя Myfip были использованы для кражи у американских компаний файлов САПР с чертежами конструкций, схемами электронных плат и разводок. Резонно предположить, что облако позволит модернизировать эти виды деятельности до промышленного шпионажа 2.0.

***

Предстоит еще многое узнать о том, что способствует, а что мешает распространению облаков, и одно из перспективных направлений будущих исследований связано с оценкой того, как облака и социальные сети меняют представления о рисках безопасности и конфиденциальности. Легитимные и нелегитимные организации и люди, движимые разными интересами, применяют облако для получения доступа к информации о пользователях социальной среды с помощью нелегальных, неузаконенных и псевдолегальных средств.

Будущие исследования помогут также оценить, как политические, этические, социальные и культурные факторы связаны с вопросами безопасности при работе в облаке. Например, сейчас не существует четких юридических оснований, позволяющих решать вопросы конфиденциальности и безопасности данных, хранимых в облаке. Однако можно предположить, что юридические институты будут постепенно совершенствоваться, а также что появятся этические и профессиональные стандарты, касающиеся облаков.

Развивающиеся страны могут избежать некоторых проблем, препятствующих реализации всего потенциала облака, за счет более качественного планирования и усилий, предпринимаемых в отношении кадровых ресурсов. Знаний, имеющихся у сотрудников, может оказаться недостаточно для развития индустрии вычислений в облаке. 

Правительства должны принять меры для развития навыков, связанных с работой в облаке, а университеты - обеспечить возможность получения практического опыта.

Не менее важно и развитие отраслей, необходимых для поддержки прямой и обратной связи...

 

Автор Нир Кшетри - адъюнкт-профессор Броуновской школы бизнеса и экономики Университета Северной Каролины (США).

Из статьи «Облака в развивающихся странах».

 

Журнал «Открытые системы», 2010