Максим Чернухин, спикер BISS 2025, говорит о зоне ответственности в облаке и делится практическим опытом, как проводить регулирование managed-облачных сервисов
Нет закона — нет границ ответственности
Максим Чернухин, исполнительный директор управления технологий в «СберСтрахование жизни», в интервью по следам выступления в секции «Облачные технологии в ИБ» отмечает, что у нас на данный момент нет запрета на использование облаков. При этом нет и разрешающей и описательной базы. Требования устаревают или не покрывают managed-сервисы, и, как результат, сегодня существует правовая неопределенность при утечках и простоях.
Аудит облака не равно аудит приложения
Провайдеры проходят сотни разных проверок и аудитов в облаках по 152-ФЗ, PCI DSS и пр., но очень редко кто проводит аудит приложений, развернутых поверх облачной инфраструктуры. В итоге есть риски, что даже идеальное облако может не спасти от уязвимостей в коде, отсутствия TLS, неправильной архитектуры. Облако не является панацеей, т.к. безопасность — это сквозная ответственность.
SLA — иллюзия, если не понимать архитектуру
Эксперт приводит в качестве примера из практики кейс тестирования облака в Альфа-Банке, когда выяснилось, что SLA не соблюдается и реальный является ниже заявленного. При поиске причины выяснилось, что интеграция между DNS, сетью, приложением требует тонкой настройки и, соответственно, нужна совместная работа продуктовой команды, ИТ и облака.
Максим отмечает в ходе интервью: «После того, как ты исследуешь проблему, понимаешь, что и на чьей стороне произошло, ты относишь проблему или в облачную инфраструктуру, или к облачному провайдеру, или же относишь к своей команде разработки и закрываешь на стороне своей инфраструктуры или разработки».
Не всё нужно нести в облако — нужен адекватный подход
Максим подчеркивает — если мы говорим про сервисы, которые обеспечивают современный подход к разработке, то хорошо бы не выносить те сервисы и приложения, которые не могут соответствовать этому современному подходу. Не всегда целесообразно мигрировать монолиты, тяжелые on-premise базы данных. Облако может быть эффективно для микросервисных архитектур, гибких и отказоустойчивых решений. Главное понимать, как приложение будет вести себя при отказах инфраструктуры. «Важен адекватный подход» — отмечает эксперт.
Страхование облачных рисков — идея будущего?
На сегодняшний день нет зрелых страховых продуктов для покрытия рисков в облаке, но в условиях регуляторных штрафов (привязанных к обороту) — это могло бы стать инструментом управления рисками.
Максим отмечает: «Как я понимаю, сейчас есть только подходы к некоторым продуктам страхования рисков в облаках, но еще, возможно, уже что-то появилось, но готового продукта пока нет».
Таким образом, регулирование и требования к облачным сервисам пока не особо сформулированы, но есть подходы к некоторым продуктам страхования рисков в облаках.
Полный ответ смотрите в видео и делитесь вашими комментариями и обратной связью в чате сообществе BISA.