Когда растет спрос на облака, важно повышать их безопасность

Рассказываем о том, почему важно повышать безопасность облаков, и делимся своим опытом организации ИБ в облачной инфраструктуре.

За два последних года команда Т1 Облако много работала над безопасностью своей облачной инфраструктуры. В конце 2023 года мы получили комплект сертификатов, необходимых для работы с ИТ-системами кредитно-финансовых организаций (ГОСТ 57580-1), и привели публичное облако в полное соответствие с требованиями безопасности критической информационной инфраструктуры (КИИ; 187-ФЗ, КЗ-1). Это позволяет компаниям из сфер здравоохранения, транспорта и энергетики, промышленным предприятиям и многим другим размещать в нашем облаке различные информационные системы (ИС). Почему же важно повышать безопасность облаков и как это связано со спросом на них?

Российский рынок облачных сервисов в 2023 году увеличился на треть, до 121 млрд рублей, следует из отчета аналитического агентства iKS-Consulting. Рост спроса на облака происходит по многим причинам.

Объекты критической информационной инфраструктуры (КИИ) — это различные информационные, телекоммуникационные и другие системы банков, медучреждений, промышленных предприятий и других организаций из значимых для государства и общества сфер. Этим ИТ-системам категорически нельзя выходить из строя даже ненадолго.

Сферу объектов КИИ регулирует закон № 187-ФЗ «О безопасности критической информационной инфраструктуры». Он предусматривает целый комплекс мероприятий по информационной безопасности, начиная от назначения ответственных за ИБ и заканчивая проведением учений по отработке действий в случае кибератак. Безопасность объектов КИИ связана с внедрением многообразных импортонезависимых средств и систем информационной безопасности.

А с этой самой безопасностью всё не очень просто. За 2023 год, по данным Правительства Российской Федерации, объекты КИИ выдержали порядка 65 тысяч кибератак. Это означает, что риск нарушения функционирования указанных ИТ-систем возникает примерно 200 раз в день. По данным Positive Technologies, в течение первых трех кварталов 2023 года целевые атаки составили 73% от общего числа атак. Это на 5% выше уровня 2022 года. Недавно злоумышленники начали использовать «ковровые атаки» и активно искать уязвимости с помощью искусственного интеллекта. Это существенно усложняет работу специалистов по ИБ.

Компании кредитно-финансовой сферы вызывают особый интерес у хакеров. По данным аналитиков из Statista, в 2022 году банки и страховые компании заняли второе место среди самых атакуемых организаций в мире. Positive Technologies зафиксировала в финансовом секторе вдвое больше уникальных киберинцидентов в III квартале 2023 года, чем в аналогичном периоде годом ранее.

Безопасность банков строго регламентируется. Все финансовые организации, чья деятельность регулируется Центральным Банком РФ, обязаны выполнять:

Кроме того, для многих российских финансовых организаций актуальны международные платёжные нормативы PCI DSS.

Банки попадают под регулирование со стороны ФСБ, ФСТЭК, Банка России и ещё двух международных организаций: The PCI Security Standards Council (PCI SSC) и International Organization for Standardization (ISO). Кроме того, у каждого крупного банка есть собственные строгие стандарты по информационной безопасности. Они охватывают все компоненты информационных систем: физическую безопасность, сетевую безопасность на всех уровнях модели OSI, резервное копирование и восстановление, защиту от вредоносных программ и многое другое.

Именно поэтому в последние несколько лет облачные провайдеры, предоставляющие услуги финансовым организациям, довольно много внимания уделяли развитию безопасности своих облаков. Наличие сертификатов и аттестатов, а также ответственный подход к соблюдению мер безопасности на всех уровнях стали ключевыми преимуществами, которые позволяют переносить в облако информационные системы – объекты КИИ.

Перенос банковских систем в облако совершенно резонен, особенно сейчас, когда приобрести вычислительные мощности On-Prem стало непросто. Если облачная инфраструктура соответствует отраслевым стандартам, требованиям по ИБ и надёжности оборудования, то банки и другие финансовые организации могут проводить в облаке платежные транзакции, размещать информационные системы, содержащие данные финансовых операций, а также переносить в него бизнес-критичные процессы, связанные с банковской тайной.

Мы для себя решили, что в вопросах безопасности не должно быть никаких полумер и «относительно хороших вариантов». T1 Облако применяет максимально широкий подход к защите. На программном уровне в отношении наших сервисов мы реализовали целый комплекс специализированных инструментов ИБ. Сама облачная инфраструктура размещена в надежных дата-центрах TIER III, аттестована по требованиям международных стандартов безопасности и российских регулирующих органов в соответствии с №152-ФЗ, №187-ФЗ и ГОСТ Р 57580.1. У нас стоит оборудование последнего поколения, которое отвечает самым строгим требованиям. Это межсетевые экраны, средства мониторинга информационной безопасности, системы менеджмента уязвимостей, средства анализа сетевого трафика и т. д.

Мы совершенствуем свою безопасность не только на тактическом, но и на стратегическом уровне. Именно поэтому в Т1 Облако внедрена модель PDCA с годичным циклом.

Информационная безопасность в нашем облаке регулируется внушительным перечнем нормативных документов. В конце 2023 года мы получили полный комплект аттестатов и сертификатов, необходимых для размещения автоматизированных банковских систем в нашем публичном облаке.

Какие аттестаты соответствия у нас есть:

Все эти документы подтверждают нашу последовательную работу по обеспечению безопасности и созданию надежной защиты в облачной инфраструктуре. Это позволяет нашим клиентам не сомневаться в сохранности их критически важных данных. Недавно на TAdviser IT PRIZE 2024 наше безопасное публичное облако стало победителем в номинации «Облачный сервис года».

Вместе с этим важно, чтобы заказчик тоже соблюдал стандарты ИБ как в своем офисе, так и в развернутой им информационной системе в облаке. И в этом как раз мы можем помочь. T1 Облако активно развивает направление услуг по информационной безопасности. Среди них:

Мы предоставляем услуги ИБ как по облачной модели (SecaaS), так и в формате локальной установки у клиента (on-premise).

В нашем облаке доступны две платформы виртуализации с единым интерфейсом управления: VMware и OpenStack. Мы предоставляем облачные услуги по трем ключевым моделям: IaaS, PaaS и SaaS.

IaaS подходит для компаний, которым требуется максимальная гибкость и контроль над инфраструктурой, SaaS удобен для пользователей, желающих делегировать технические детали, а PaaS часто используется разработчиками для быстрой разработки и развертывания приложений.

Сейчас наша команда работает над активным расширением продуктовой линейки Security-as-a-Service, чтобы максимально закрывать потребности заказчиков. Клиентам уже доступны сервисы межсетевого экранирования уровня Web-приложений (WAF), защиты от DDoS-атак, а также многофакторная аутентификация, Endpoint Security, включая антивирусную защиту.

Мы реализовали всё необходимое на отказоустойчивых кластеризованных и георезервированных средствах. Чтобы обеспечить высокий SLA в своей зоне ответственности, мы организовали круглосуточный мониторинг всех систем. Сопровождение ведут узкопрофильные высококвалифицированные специалисты, которые довели до совершенства свои навыки в работе с конкретными технологиями.

Мы также предоставляем импортонезависимые корпоративные бизнес-приложения из облака:

Клиенты Т1 Облако представляют самые разные отрасли. Это как государственные, так и частные компании. Кто-то из них локализует ИТ-инфраструктуру, а кто-то её масштабирует. Есть молодые организации, которые только запускают бизнес, и есть те, кто уже проходит стадию цифровой трансформации и консолидации ресурсов. В зависимости от потребностей бизнеса мы можем подобрать подходящие облачные сервисы.

Мы не планируем останавливаться на достигнутом. Мы постоянно развиваемся и расширяем функционал наших сервисов, чтобы сделать их еще удобнее, доступнее и безопаснее. Таким образом мы продолжаем двигаться к созданию одного из самых безопасных публичных облаков в Европе.