Эксперты по информационной безопасности о хранении секретных и приватных данных
Скандал, вызванный разоблачениями бывшего сотрудника ЦРУ и АНБ, затронул не только политизированную часть пользователей всемирной сети. В том, что разведслужбы собирают и разбирают эти, открыто выложенные в сеть, никто не сомневался и раньше.
То, что разведки всей земли шпионят за консульствами и страшными (с их точки зрения) организациями и персонами, перехватывая содержимое писем, голосовых и видеочатов, также не есть секретом. Но утверждения Сноудена, что АНБ имеет прямой доступ к центральным серверам ведущих интернет-компаний – Микрософт, Яху, Гугл, Facebook, PalTalk, AOL, Skype, YouTube, Apple, стало причиной некоторых опасения — как у простых, так и у бизнес-пользователей.
Микрософт, Гугл, Apple и другие большие IT-компании сейчас удачно предоставляют услуги по хранению информации в собственных облачные сервисах. Хранение данных в «облаке» на сегодня считается надежным и передовым, с позиций юзабилити, ответом. Заявления Эдуарда Сноудена вынудили усомниться если не в надежности хранения этих данных, то, по крайней мере, в сохранении их конфиденциальности.
«Газета.Ru» попросила специалистов русских и интернациональных компаний, занимающихся информационной безопасностью, поведать отечественным читателям, вероятно ли сохранить конфиденциальность собственных данных при применении облачных хранилищ данных и в случае если быть может, то как.
Андрей Комаров, глава департамента интернациональных проектов, консалтинга и аудита компании Group-IB:
Нужно минимизировать применение облачных сервисов для хранения тайной информации, включая личные персональные эти, или размещать их в зашифрованном виде со стойким способом криптографической защиты. Довольно часто пользователи размещают на временное хранение щекотливые документы в «тучи», каковые индексируются поисковыми машинами, что делает их дешёвыми для преступников.
Существует множество бесплатных средств криптографической защиты информации — PGP, RAR-архивы с шифрованием и паролем имен файлов. Последнее — самый приемлемый вариант, миллионы пользователей применяют архивы в мире, так что выделить вашу данные среди всех остальных, к тому же и с паролем, хватит сложно.
Сергей Комаров, начальник отдела противовирусных исследований и разработок компании «Доктор Web»:
Нужно осознавать, что если вы пользуетесь облачными хранилищами, то надеетесь на некую вторую сторону, которой a priori доверяете. Дабы как-то обезопасить себя наряду с этим, всё, что вы имеете возможность сделать, это прочесть лицензионное соглашение и надеяться на то, что оно будет соблюдено. И, если оно было нарушено, пробовать компенсировать ущерб.
Наряду с этим, если вы обеспокоены сохранением в секрете ваших приватных данных и документов, единственный метод обезопасисть их — это хранить их в том месте, где никто не сможет взять к ним доступ. Но для того чтобы места на Земле не существует.
Локально ли вы храните ваши эти, на своем компьютере, либо в облаке, к примеру, у Гугл либо Apple – это определяет только степень простоты, с которой ваши эти смогут быть взяты третьей заинтересованной стороной. В противном случае, что такое быть может, знают фактически все, если не на настоящем опыте, то опосредованно.
Что касается, криптографических и иных средств защиты информации в «облаке», то такие решения имеется, но они существуют только чтобы осложнить жизнь тому, кто желает получить доступ к вашим данным. Ответов, снабжающих 100% защиту информации, нет, так что в случае если в тучах будут храниться вправду серьёзные эти, возможность утраты конфиденциальности этих данных быстро возрастает.
Денис Безкоровайный, технический консультант компании Trend Micro в Российской Федерации и бывших советских республиках:
Защита данных компаний и пользователей, а также в облачных хранилищах, всегда была и остается обязанностью самих пользователей. Необходимо осознавать, что собственные эти пользователи загружают во общий доступ, и принимать соответствующие степени конфиденциальности этих данных меры по защите.
На рынке уже присутствует множество ответов для шифрования данных в облачных хранилищах, как для домашних, так и для корпоративных пользователей. Причем создать собственную рабочую схему шифрования данных перед их отправкой в облако возможно кроме того на базе open-source разработок. Для компаний, желающих взять степень удобства доступа к данным с разных устройств, подобную современным консьюмерским продуктам (к примеру, Dropbox, BOX.net), возможно советовать обратить внимание на продукты, предназначенные для безопасного частного обмена и построения облака файлами, хранилище которых базируется в датацентре самой компании.
Артем Баранов, ведущий вирусный аналитик компании ESET:
Мы полагаем, что заявления г-на Сноудена не носят сугубо информационный темперамент, а являются собственного рода PR-акцией. Наверное, в распоряжении Guardian вправду была переданная Сноуденом информация, которая подтверждает факт передачи данных от последовательности компаний к разведслужбам США.
Но постоянное присутствие данной информации в массмедиа уже формирует определенную головную боль не только для этих компаний (Гугл, Микрософт, Facebook и др), каковые вынуждены оправдываться, но и для пользователей, у которых в итоге создается чувство «тотальной прослушки». Интернет-пользователям направляться осознавать, что любая из этих компаний имеет собственную команду, снабжающую безопасность (security team) пользовательских данных от попадания в руки преступников. Но разведслужбы не относятся к категории преступников, и компании смогут делиться частью информации о пользователях со разведслужбами того страны, в котором они находятся.
Что касается способов защиты, то нужно осознавать, что само применение каких-либо криптографических либо иных особых средств для персонального пользования может привести к интересу у разведслужб любого страны, по причине того, что при таких условиях появляется подозрение, что человек может скрывать какую-либо противозаконную данные.
Популярные облачные сервисы для хранения данных, наподобие MS SkyDrive, Гугл Drive либо Apple iCloud, со временем будут лишь расширять собственную аудиторию, потому, что у этих компаний имеется обширный опыт в проектировании популярных веб-сервисов. Пользователям, со своей стороны, направляться уделять больше внимания настройкам безопасности аккаунтов в облачных и всех других сервисах: применять надёжное https-соединение, придумывать сложные пароли и с подозрением относиться к незапрошенным сообщениям от малоизвестных лиц – ссылки в таких сообщениях смогут вести на вредоносное ПО либо фишинговые страницы.
Сергей Ложкин, специалист компании «Лаборатория Касперского»:
Компании, предоставляющие облачные сервисы, достаточно без шуток относятся к защите данных пользователей. У некоторых провайдеров при загрузке эти шифруются, причем ключ создается на стороне пользователя, и сами обладатели «облака» не смогут получить доступ к хранимой информации.
Но в случае если хочется обеспечить большой уровень безопасности разрешённых и быть всецело уверенным в том, что не считая обладателя никто не сможет взять к ним доступ, то единственное что возможно дать совет – это шифровать эти перед загрузкой в облачный сервис. Ответов для шифрования на рынке достаточно большое количество. Из бесплатных возможно назвать True Crypt и разное ПО, применяющее в собственной работе механизм шифрования OpenPGP.
Павел Паплински, глава маркетинга и департамента стратегии в Российской Федерации и СНГ телекоммуникационной компании Orange Business Services
В отличие от публичных облачных хранилищ, в которых размещено большая часть популярных сервисов для физических лиц, корпоративные облачные сервисы являются более контролируемыми. Одно из преимуществ сервисов для бизнеса – надёжные каналы передачи данных, защищенные шифрованием либо вовсе не имеющие стыков с сетью интернет.
Помимо этого, корпоративные клиенты смогут строить частные облака, размещая серверное оборудование на собственной территории. Таковой тип сервисов пользуется особенной популярностью в Российской Федерации, где клиенты традиционно предпочитают сохранять полный контроль над собственными данными. И однако, при официального запроса компетентные органы смогут получить доступ к любому хранилищу данных.