После PRISM: облако - уже не только вопрос цены

В начале июня 2013 года издания Guardian и Washington Post опубликовали материалы, из которых следовало, что американское Агентство национальной безопасности имеет прямой доступ к серверам крупнейших технологических компаний - Microsoft, Google, Apple, Facebook и других. Программа получила название PRISM. Компании отреагировали по-разному, часть из них отрицала прямой доступ, правительство США подтвердило существование программы в общих чертах.

Для технических специалистов ничего принципиально нового в этой истории не было - возможность подобных механизмов обсуждалась давно. Но для руководителей компаний, которые переводили рабочие данные в облако с мотивацией "удобно и дёшево", это стало другим разговором.

Что изменилось

До этого момента вопросы безопасности в облаке были в основном техническими. Шифрование данных. Управление ключами. Резервные копии. Контроль доступа. Сертификаты соответствия. Это была зона ответственности IT-директора или службы безопасности.

PRISM добавил измерение, которое не решается техническими средствами: юрисдикция. Где физически находятся серверы? Под действие каких законов подпадают данные на них? Кто и на каком основании может получить к ним доступ без вашего ведома и без вашего согласия?

Если ваши данные лежат на серверах в США или у американской компании с дочерней структурой в другой стране - ответ на последний вопрос определяется не вашим договором с провайдером, а американским законодательством, в частности Законом о надзоре за иностранной разведкой. И никакой SLA это не отменяет.

Почему это стало политическим

Разговор о PRISM очень быстро вышел за рамки технического. В Европе парламентарии начали требовать объяснений от американских партнёров. Несколько правительств инициировали пересмотр соглашений об обработке данных. Компании, хранящие данные европейских граждан на американских серверах, оказались под давлением со стороны регуляторов.

Для бизнеса это означает, что выбор облачного провайдера - это теперь не только решение IT-департамента. Это вопрос, который может иметь правовые, репутационные и регуляторные последствия. Особенно для компаний, работающих в отраслях с регулированием данных: финансы, здравоохранение, юридические услуги.

Что это значит для принятия решений

Я не предлагаю немедленно уходить из облака или отказываться от американских сервисов. Облако даёт реальные преимущества, и паника здесь не помощник.

Но разговор, который раньше можно было провести только с техническими специалистами, теперь должен происходить на уровне руководства. Несколько конкретных вопросов, которые стоит задать:

• Какие данные мы отдаём в облако, и насколько они чувствительны с точки зрения бизнеса?
• В какой юрисдикции физически находятся серверы, на которых лежат наши данные?
• Есть ли в договоре с провайдером положения о том, что произойдёт при получении запроса от государственных органов?
• Уведомит ли нас провайдер, если получит такой запрос - и может ли он это сделать по закону?
• Есть ли у нас альтернатива для наиболее чувствительных данных?

Эти вопросы не требуют немедленного действия. Они требуют ответа.

Доверие как часть архитектуры

Доверие к провайдеру всегда было частью решения о переходе в облако. Просто раньше речь шла о надёжности и доступности - а сейчас к этому добавился вопрос о том, кому ещё провайдер может предоставить доступ к вашим данным.

Это не означает, что облако стало плохим. Это означает, что разговор стал честнее. Компании, которые принимают это как данность и задают нужные вопросы сейчас, будут в лучшей позиции - и технически, и юридически - чем те, кто продолжает считать это только вопросом цены и удобства.