Андрей Кетов, консультант по информационной безопасности, UDV Group

Ключевой ошибкой СМБ при переходе в облако становится иллюзия, что провайдер берет на себя всю ответственность за безопасность. На фоне стремительного роста рынка и новых регуляторных требований критически важным оказывается не только выбор поставщика, но и грамотное разделение зон ответственности. IT-World рассказывает, какие меры защиты должен гарантировать провайдер, а что остается на стороне компании, и как избежать фатальных ошибок в построении облачной безопасности.

Российский рынок облачных услуг в 2024—2025 годах продолжил быстрый рост: совокупный объем потребления облачных сервисов в 2024 г. превысил 390 млрд руб., а объем инфраструктурных сервисов (виртуальные машины и платформенные сервисы) в оценках аналитиков составил примерно 135—165 млрд руб. Эти цифры означают, что облако стало массовым инструментом для малого и среднего бизнеса (далее — МСБ), но массовость не отменяет задач по защите данных.

Главный вызов для МСБ заключается не в том, чтобы полностью переложить заботу о безопасности на провайдера, а в том, чтобы одновременно контролировать заявленные провайдером меры защиты и внедрять собственные. На практике это выражается в необходимости внедрения следующих мер информационной безопасности (далее — ИБ):

• использование многофакторной аутентификации для администраторов;
• построение ролевой модели управления правами пользователей;
• использование механизмов шифрования с сохранением контроля ключей у заказчика;
• обеспечение централизованного сбора и анализа логов;
• регулярное резервное копирование с обязательной проверкой возможности восстановления;
• систематическое сканирование систем на наличие уязвимостей.

Опыт отрасли и практические кейсы показывают: отказ от этих мер ИБ в разы повышает риск простоев и утечек данных.

МСБ вынужден балансировать между стоимостью услуг и требуемым уровнем ИБ. Коробочные продукты дают цену и простоту, но переносят на клиента операционные обязанности по контролю заявленного уровня защиты и по внедрению критичных мер. Провайдеры, которые обслуживают корпоративный сегмент, часто предлагают мониторинг 24/7 и услуги аварийного восстановления, однако за это взимается стоимость, недоступная многим малым компаниям.

Обязанности провайдера облачных услуг

С декабря 2023 года начали действовать требования Приказа Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 01.11.2023 № 936. В данном документе устанавливаются правила защиты информации при предоставлении вычислительных мощностей для размещения данных в информационных системах, постоянно подключенных к сети Интернет. Документ установил обязанности провайдеров:

• назначить ответственного за защиту информации;
• наладить постоянное взаимодействие с государственными системами обнаружения и реагирования на кибератаки;
• по сигналам от государственных систем обнаружения и реагирования на кибератаки оперативно предпринимать меры, в том числе отключение задействованных в атаках ресурсов, в установленные сроки.

Приказ закрепил необходимость хранения данных о взаимодействиях с внешними сетями, фильтрации входящего и исходящего трафика, противодействия DDoS-атакам и применения технических средств обнаружения вторжений. Дополнительно провайдеры обязаны использовать национальные сервисы синхронизации времени и маршрутизации, а также сотрудничать с уполномоченными органами по установленным процедурам. Для компаний, работающих с персональными данными или относящихся к критической информационной инфраструктуре, выбор облачного партнера перестал быть вопросом только цены и удобства: теперь он определяется тем, насколько провайдер соответствует новым требованиям и способен оперативно взаимодействовать с государственными центрами реагирования.

Разделение ответственности в части обеспечения мер ИБ и практические риски для бизнеса

Что провайдер должен гарантировать, а что остается за бизнесом — это модель разделенной ответственности. Провайдер обязан обеспечить физическую защиту ЦОД, базовую сетевую защиту, фильтрацию DDoS, шифрование каналов и дисков, прозрачные SLA по доступности. Бизнес отвечает за управление учетными записями и доступом, проектирование ролевой модели, контроль ключей шифрования при необходимости, организацию и тестирование резервного копирования, экспорт логов и их анализ. Эти обязанности должны быть явно прописаны в договоре и проверены технически.

Практика эксплуатации облачных сервисов и собранная статистика показывают, что именно заказчики должны брать на себя контроль и реализацию базовых мер ИБ. Согласно отчету Cloud Security Alliance «Top Threats to Cloud Computing 2024», большая часть зафиксированных инцидентов ИБ были связаны с ошибками в конфигурациях и управлении учетными записями, а серьезные утечки почти всегда происходили из-за недостатков в процедурах идентификации пользователей и контроля доступа. Это означает, что компаниям необходимо самостоятельно контролировать и поддерживать корректные конфигурации облачных ресурсов, использовать многофакторную аутентификацию для административных учетных записей, автоматизировать контроль изменений, регулярно выполнять сканирование уязвимостей и хранить независимые резервные копии данных. Только такая последовательная работа позволяет снизить вероятность простоев и потерь информации.

Зависимость от конкретного провайдера также остается важной практической проблемой: перенос образов, сетевых политик и ролей часто требует глубокого реинжиниринга. Уменьшить риски, связанные с зависимостью от конкретного провайдера, можно технически и организационно:

• упаковывать приложения в контейнеры;
• хранить инфраструктуру как код и версии конфигураций в системе контроля версий;
• избегать использования проприетарных API для критичных сервисов;
• поддерживать регулярные тестовые миграции;
• прописать в договоре обязательства провайдера по экспорту данных и технической помощи при закрытии договора. Также полезно предусмотреть право на аудит и право на копии конфигураций для воспроизведения окружения у другого поставщика.

Усилия по уменьшению зависимости от конкретного провайдера должны подкрепляться конкретными возможностями и контрактными гарантиями со стороны провайдера. Минимальные требования к провайдеру и рекомендованные меры при более зрелом подходе сведены в таблицу ниже.

Что касается мер, реализуемых на стороне бизнеса, в сегменте МСБ целесообразно использовать отечественные модульные решения, которые закрывают сразу несколько направлений защиты:

• системы управления ИТ-активами и контроля конфигураций (CMDB, CM);
• средства обнаружения и предотвращения вторжений (IDS);
• платформы класса SIEM для сбора, нормализации и корреляции событий безопасности;
• автоматизация реагирования (IRP/ SOAR).

В результате малые и средние предприятия получают функциональность уровня корпоративных решений в едином пакете, что упрощает выполнение минимальных требований и позволяет приблизиться к более зрелым практикам информационной безопасности.

При формировании SLA важно закрепить конкретные показатели доступности и восстановления сервисов. Обычно заказчики требуют уровень доступности не ниже 99,9 % в месяц, а также фиксируют максимальное время восстановления после критического сбоя — как правило, не более четырех часов. Для наиболее значимых сервисов целесообразно отдельно согласовать показатели по целевому времени восстановления и допустимой потере данных; на практике для малого и среднего бизнеса они часто устанавливаются на уровне одного часа. В договор также стоит включать обязанность провайдера выполнять регулярное резервное копирование и подтверждать его работоспособность через тестовое восстановление не реже одного раза в месяц, предоставляя отчетность заказчику.

Не менее важно сформировать порядок реагирования на инциденты. Здесь ключевым является требование к провайдеру уведомлять заказчика о любых инцидентах, затрагивающих его ресурсы, максимально оперативно — например, в течение часа с момента обнаружения. В уведомлении должны содержаться сведения о характере инцидента, предполагаемых причинах, перечне затронутых сервисов и первичных мерах реагирования. Отдельным пунктом предусматривается обязанность провайдера предоставить заказчику логи и другие данные, необходимые для расследования, в разумные сроки — обычно в пределах суток. В договоре также фиксируется порядок совместных действий сторон при ликвидации последствий инцидента и оговаривается, что в случае происшествий, вызванных недостатками инфраструктуры самого провайдера, именно он несет ответственность за восстановление сервисов и компенсацию простоя.

Заключение

Для СМБ облако остается одним из наиболее эффективных инструментов снижения затрат на инфраструктуру и повышения гибкости ИТ-среды. Однако переход в облако не означает автоматического решения всех вопросов безопасности: провайдер обеспечивает лишь базовый уровень защиты и берет на себя физическую и сетевую устойчивость платформы, тогда как бизнесу необходимо выстраивать собственные процессы контроля, резервирования и реагирования на инциденты.

Практика показывает, что большинство инцидентов в облаке связаны не с уязвимостями самих дата-центров, а с ошибками в управлении доступом, отсутствием регулярных проверок резервных копий и слабым контролем конфигураций. Именно поэтому компаниям, особенно в сегменте МСБ, критически важно сочетать три элемента:

• четко сформулированный договор с провайдером;
• организационные меры на стороне заказчика;
• внедрение специализированных средств защиты.

Такой комплексный подход позволяет выстроить управляемый уровень безопасности, который соответствует и регуляторным требованиям, и реальным рискам бизнеса.

При этом рынок предлагает все больше отечественных решений, в том числе интегрированные продукты, которые закрывают сразу несколько направлений защиты и снижают порог вхождения в зрелые практики информационной безопасности. Использование подобных инструментов в сочетании с продуманной контрактной политикой и базовой дисциплиной управления доступами и резервным копированием позволяет МСБ не только снизить вероятность инцидентов, но и повысить доверие клиентов и партнеров. В условиях усиливающихся киберугроз именно это становится фактором устойчивости и конкурентным преимуществом на рынке.