Алексей Кубарев, Т1 Облако: Мы ― абсолютно открытый облачный провайдер

Публичные и частные облака в России стремительно набирают популярность. Счёт идёт на десятки процентов роста в год. При этом вопросов об обеспечении их информационной безопасности меньше не становится. Мы собрали наиболее интересные из них и задали их Алексею Кубареву, директору по информационной безопасности компании «Т1 Облако» (ИТ-холдинг Т1).

Каковы основные опасения заказчиков при переходе в публичное облако? Почему до сих пор существует миф об опасности хранения данных в облаке?

А. К.: Такой миф действительно был. Но сейчас мы видим, что даже самые консервативные заказчики перестают смотреть на облака с недоверием. При этом часто наибольшее сопротивление переходу в облачную инфраструктуру возникает со стороны служб информационной безопасности. Сомнения вызывает отсутствие контроля над «физикой», общей сетью, виртуализацией. К тому же ИБ-специалисты опасаются возможной компрометации их информационных систем со стороны облачного провайдера или других заказчиков, которые «живут» в том же публичном облаке. 

Не связано ли это с тем, что руководители и сотрудники служб информационной безопасности не до конца понимают, как работает облако? Может, такие пробелы в техническом бэкграунде и приводят к недоверию?

А. К.: В большинстве случаев так оно и есть. Но бывает и обратная ситуация. Обладая глубокими знаниями, ИБ-специалисты прекрасно понимают, как работают виртуализация и публичное облако, у них есть доступ ко всем необходимым материалам, но при этом они не готовы передавать собственную зону ответственности в чужие руки. Случаются и отказы из-за отсутствия привычки работать с облачными инструментами.

Как можно повысить прозрачность работы в облаке в глазах заказчика? Сводить на экскурсию в ЦОД, показать, как устроены штат, бизнес-процессы, безопасная разработка?

А. К.: Всё так. Мы абсолютно открытый провайдер и готовы делиться информацией о своей инфраструктуре даже до заключения договора — после подписания соглашения о неразглашении. Можем сводить в ЦОД, показать собственную подсистему безопасности, объяснить, как она работает. Также мы рассказываем, как обеспечиваем кросс-функциональные взаимодействия, коммуникацию с заказчиками. Некоторые клиенты с готовностью откликаются на предложения такой демонстрации, другую же часть, к сожалению, трудно убедить даже посмотреть, как всё устроено.

Сколько процентов заказчиков хотят реально вникать, разбираться в принципах работы облачного провайдера?

А. К.: Я бы сказал, порядка 5 %. Но после демонстрации до контракта доходят не все. Если команда ИБ изначально предвзято относится к переходу в облако, изменить её мнение будет очень тяжело.

На всех конференциях AM Live, когда речь заходит об облаках, возникают вопросы об ответственности самого облачного провайдера. Появляется расхождение между тем, как всё устроено на самом деле, и тем, что хочет заказчик. Мы проводили опрос и выяснили, что в случае инцидента почти 80 % заказчиков хотят получить от облачного провайдера реальную компенсацию, которую по факту никто не может дать. Почему этот разрыв возникает и как с ним работать?

А. К.: Допустим, клиент приходит в «Т1 Облако» с запросом на переход в IaaS, заказывает виртуальные машины и операционные системы и дальше сам управляет процессами в своём абонентском пространстве (тенанте). Для нас как провайдера его инфраструктуры это — «чёрный ящик», пока заказчик сам не предоставит доступ к нему. Мы не можем контролировать то, что происходит в этом пространстве. Провайдер защищает «физику»: телеком, низкоуровневые сети L1 и L4, серверы, обеспечивает физическую защиту и защиту уровня виртуализации. Разворачивать средства защиты информации в своём тенанте должен уже заказчик. 

Если инцидент происходит в той части, которую контролирует провайдер, то он и несёт ответственность. При этом если заказчик не защитил свою инфраструктуру хотя бы элементарными средствами, то мы не можем гарантировать сохранность его данных. Однако, если клиент обращается в «Т1 Облако» именно для обеспечения безопасности (например, защиты от DDoS-атак), уже мы как провайдер будем нести все обязательства.

Каковы требования ФСТЭК России и других регуляторов к безопасности облачной инфраструктуры? 

А. К.: Любой облачный провайдер — это оператор связи, а значит, субъект критической информационной инфраструктуры. Часть разворачиваемых в облаке систем ― объекты КИИ. Поэтому само облако требует соответствующей защиты. Мы сразу решили, что обеспечим нашему облаку первую категорию значимости, что предполагает категорирование, подачу сведений во ФСТЭК России, реализацию требований, государственный контроль, ответственность, вплоть до уголовной, наших работников в случае нарушения ими соответствующего законодательства. 

Кроме того, в нормативных документах ФСТЭК есть отдельные положения о том, как действовать, если значимый объект критической информационной инфраструктуры развёрнут в облаке. Продуманные сценарии прописаны и в постановлении Правительства РФ № 127. Позиция ФСТЭК России такова, что значимый объект КИИ допустимо размещать только в облаках, которые аттестованы по категории значимости не ниже, чем у данного объекта.

Есть ли какие-то ограничения по использованию облака для госучреждений? Можно ли у вас размещать ГИС?

А. К.: В приказе ФСТЭК № 17 есть отдельные положения и требования к облакам, в которых размещаются ГИСы. Главное, чтобы облако по классу защиты было аттестовано не ниже, чем соответствующая ГИС. Сейчас мы активно работаем над прохождением необходимых процедур аттестации, чтобы иметь возможность размещать у себя такие системы.

Перед многими сейчас стоит задача переехать на отечественный софт. Может ли облако тут выступить в качестве некоего спасательного круга?

А. К.: Абсолютно верно. Такие запросы есть, и мы можем помочь в этом. Порядка 30 % заказчиков, с которыми я общался за последний год, спрашивали: «Как у вас с реализацией указов № 166 и № 250?». Мы начали работу в этом направлении ещё в 2022 году, а к концу 2023-го облако уже соответствовало обоим указам. У нас полностью импортозамещена система информационной безопасности, а портал самообслуживания и система виртуализации входят в реестр отечественного ПО. Последнюю мы готовимся сертифицировать по линии ФСТЭК России для соответствия требованиям к ГИС.

Как вы сможете помочь стратегическим системообразующим организациям выполнить требования 250-го указа?

А. К.: Сразу могу назвать два пункта указа. Во-первых, организации, на которые он распространяется, могут привлекать для выполнения мероприятий по ИБ компании с лицензиями на ТЗКИ (техническую защиту конфиденциальной информации). У нас она есть, и мы умеем проводить такие работы. Второй пункт касается импортозамещения подсистемы информационной безопасности. Мы готовы оказывать заказчикам услуги по внедрению оптимальных подсистем ИБ в их облачных системах. 

«Т1 Облако» не раз реализовывало такие проекты и знает, как выполнить их оптимально, обеспечив эффективность по принципу Парето (80/20) — недорого создать максимальную защищённость. Все наши сервисы по информационной безопасности (модель Security Services) на 100 % построены на базе отечественных решений.

В случае вопросов со стороны ФСТЭК России или проведения выездных проверок вы поможете заказчику в рамках своей зоны ответственности?

А. К.: Заказчик для нас ― основная ценность. Поэтому — да, обязательно поможем. Все необходимые документы будут отправлены в день поступления запроса. 

Рынок испытывает острый кадровый голод. Как вы сможете помочь в плане обмена экспертизой? Смогут ли ваши сотрудники закрыть бреши, которые возникают у заказчика?

А. К.: На слое «инфраструктура + виртуализация» необходимо применять больше всего мер информационной безопасности. Поэтому, когда заказчик приходит за услугой IaaS, с него автоматически снимается большая часть инфраструктурной нагрузки. Помимо этого, мы оказываем услуги по модели Security-as-a-Service с хорошо отлаженными преднастроенными инструментами (службой поддержки, оперативным решением проблем, участием во внедрении и эксплуатации), которые мы передаём заказчику и сопровождаем на протяжении всего срока действия договора. Кроме того, мы можем внедрить локальные (on-prem) ИБ-решения и оказываем нетиповые ИБ-услуги по модели MSSP. 

Мы присутствуем на карте российского рынка информационной безопасности в категории «Managed Security Services». «Т1 Облако» может сопровождать нетипичные локальные средства защиты информации, развёрнутые в виртуальной инфраструктуре заказчика: ГОСТ-шифрование, антивирусную защиту, почтовые шлюзы. К тому же команда умеет оптимально и быстро проектировать подсистемы безопасности для облачных инфраструктур.

Эффективно проводим консалтинг, касающийся тенанта заказчика. Мы готовы сопровождать его как в рамках своей экспертизы, так и с привлечением партнёров на всех этапах: от замысла миграции или развёртывания системы в облаке до аттестации, введения в эксплуатацию и вывода из неё.

Как команда из «Т1 Облака» будет разбираться во внутренней ИБ-инфраструктуре предприятия? Откуда они получают знания и опыт?

А. К.: Информационная безопасность — это безопасность всего бизнеса. Для облачного провайдера этот вопрос является особенно острым. Мы понимаем, что для нас нарушение информационной безопасности может означать конец бизнеса. Поэтому у надёжных облачных провайдеров с кибербезопасностью всё отлично. Это касается и профессиональных компетенций сотрудников. 

Конечно, заказчик хорошо ориентируется в своей инфраструктуре и средствах защиты информации. Но когда он с локальных систем переходит на облачные, возникает много нюансов, на которые нужно обращать внимание. У облачного провайдера и его команды, работающей на внешние проекты, больше опыта в таких вопросах. Мы знаем свою виртуализацию, встроенные политики, необходимые меры поддержки. 

С 2022 года многие заказчики приходят именно с запросом на обеспечение информационной безопасности. Поэтому мы растим компетенции внутри. За два года «Т1 Облако» пятикратно расширило команду. Как правило, это ИТ-специалисты из смежных направлений, интересующиеся информационной безопасностью. Если снабдить их знаниями и поставить им соответствующие цели и KPI, из них получаются первоклассные специалисты. Я глубоко убеждён, что проще ИТ-специалиста переучить на ИБ, чем наоборот.

Существовал миф, что облако ― это всегда дешёво. После проведения подсчётов выясняется, что оно может обойтись дороже, но ты хотя бы понимаешь, за что платишь. Есть ли какие-то расчёты (хотя бы в части ИБ), подтверждающие, что переезд в облако может оказаться выгоднее для заказчика?

А. К.: Сначала рассмотрим вопрос в общем. Мы в «Т1 Облаке» просчитали, что для крупного и среднего бизнеса переход в облако экономически целесообразен. Речь, конечно, про публичные облака. Выгода может состоять в переводе из CAPEX в OPEX, уменьшении Time-to-Market и снижении упущенной прибыли, моментальном масштабировании, отсутствии необходимости настраивать системы, запускать сервисы информационной безопасности. Услуги ИБ при этом уже включены в стоимость использования публичного облака вплоть до уровня виртуализации.

При этом облаками пользуются в том числе небольшие компании и ИП: в зависимости от типа деятельности для малого бизнеса это может быть выгодно, так как позволяет обеспечить необходимый уровень автоматизации и безопасности, снизить издержки на дополнительный штат, сконцентрировав ресурсы на профильной активности.

Есть ли удачные примеры миграции в облако тех заказчиков, которые долго сидели на локальных системах?

А. К.: Да, таких удачных примеров много. Расскажу интересный кейс. Для одного заказчика мы построили частное облако и обеспечивали сопровождение, однако в какой-то момент клиенту нужно было снизить затраты без потери отказоустойчивости и функциональности. В целях оптимизации затрат и сохранения эффективности было принято решение перевести его системы в публичное облако. Этот процесс занял несколько месяцев, и в итоге мы полностью сохранили привычный для заказчика уровень информационной безопасности, при этом повысили отказоустойчивость и снизили ежемесячный платёж для него в 2,5 раза.  

Ещё кейс: сайт одной организации был построен на системе управления контентом, которая давно не обновлялась. Злоумышленники использовали уязвимость, скомпрометировали сайт и зашифровали его инфраструктуру. Мы рекомендовали потенциальному заказчику не только выполнить восстановление из резервной копии и исправить систему управления контентом, но и перейти к нам в облако с использованием WAF. В процессе обсуждения контракта заказчик решил дополнительно подключить анти-DDoS и ещё ряд сервисов. Так задача по простому переходу под защиту WAF выросла до полноценного проекта по информационной безопасности.

Я надеюсь, что мы развеяли ряд мифов относительно кибербезопасности в публичных облаках. Алексей, большое вам спасибо за интересную и познавательную беседу!