четверг, 27 июня 2013 г.

Скрытая угроза: несанкционированные облака

Компания VMware недавно провела опрос среди более 1,5 тыс. ИТ-руководителей компаний в Европе (http://www.vmwareemeablog.com/belgie/are-there-covert-clouds-hiding-in-your-business-1). Читая краткие итоги опроса, я обратил внимание на следующее наблюдение: 

“ In Europe, 37 percent of IT decision-makers think their staff have bought cloud services outside of the IT department, without getting the necessary permission ”

Т.е переводя на наш могучий: более трети ИТ-руководителей убеждены, что сотрудники тайно используют облачные сервисы,  о чем ИТ-служба (а значит и ИБ-служба) просто не в курсе. 

Мне это напомнило один момент из доклада основателя компании Мегаплан на одной из конференций, посвященных облачным и мобильным технологиям. Он как раз рассказывал про одну крупную компанию, отдел маркетинга которой тайно от ИТ-подразделения начал пользоваться Мегапланом для решения локальных бизнес-задач, просто потому что это было удобно. 

Думаю что такая угроза вполне реальна и по мере роста количества и ассортимента облачных сервисов она будет только возрастать.  Большие компании как правильно не используют публичные облака, а создают собственные приватные. Но где гарантия, что сотрудники не "гнут свою линию" ?

А вы уверены что у вас не завелись несанкционированные облака ?  :)

P.S. Об этом мало говорится в профессиональной ИБ-среде, но похоже что всесторонний анализ сетевого трафика становится все более актуальной дисциплиной. 

12 комментариев:

  1. Ещё вопрос, что пользователи могут использовать собственное железо для доступа к таким сервисам (к примеру с айфонов) и в таком случае анализ трафика не даст защиты.

    ОтветитьУдалить
  2. > отдел маркетинга которой тайно от ИТ-подразделения начал пользоваться Мегапланом для решения локальных бизнес-задач, просто потому что это было удобно

    А что для пользования Мегапланом нужно получать особое разрешение от ИТ-отдела? Руководство сам сервис и цена на него устроила, деньги проплачены - вот и пользуются.
    Да, и ещё сотрудники тайно от ИТ-отдела могут заводить почтовые ящики, регистрироваться в социальных сетях, создавать там группы, обсуждения, вести журналы и блоги, в которых они будут писать и о своей работе в том числе. Ну, потом эти сотрудники могут "калымить" на стороне, используя для этого облачные сервисы и ресурсы своего так называемого основного работодателя, и об этом тоже ИТ-отделу ни-ни.

    >Но где гарантия, что сотрудники не "гнут свою линию" ?

    А как должно быть? Сотрудники должны выбирать с какой CRM, например, им работать. Или ИТ-отдел должен навязывать, в какой CRM работать сотрудникам? Тем более когда ИТ-отдел начнет что-то внедрять в крупной компании... может пройти столько времени, что после завершения внедрения этой системой пользоваться никто не будет или просто некому будет пользоваться.

    >P.S. Об этом мало говорится в профессиональной ИБ-среде, но похоже что всесторонний анализ сетевого трафика становится все более актуальной дисциплиной.

    Как только введется всесторонний анализ сетевого трафика - сотрудники сразу начнут приходить на работу с собственными ноутами с мобильным интернетом на борту. Более того сотрудники уже приходят, играются там в игрушки, рассматривают котиков и вообще развлекаются как хотят - анализатором сетевого трафика в данном случае выступают вылупленные глаза руководства, которое видит происходящее на экране :)

    ОтветитьУдалить
    Ответы
    1. Речь не о том, IT должно навязывать конкретные сервисы, а о том, используемые для работы с конфиденциальной информацией компании ресурсы должны быть подконтрольны самой компании. Если сотрудникам не удобно выходить через дверь, потому автобусная с другой стороны здания, это не значит, что они должны сделать пролом в противоположной стене и лазить через него.

      Что до котиков и игрушек, то и до повсеместного распространения Интернет сотрудники могли заниматься на рабочем месте чем угодно - хоть книги читать, хоть спать. Мониторинг сетевого трафика - лишь один из методов контроля, но далеко не всеобъемлющий.

      Удалить
    2. > Речь не о том, IT должно навязывать конкретные сервисы, а о том, используемые для работы с конфиденциальной информацией компании ресурсы должны быть подконтрольны самой компании

      Разговор шел о Мегаплане, это платный сервис, следовательно, за его использование компания проплатила деньги. Где здесь неподконтрольность, если компания заключила договор и по нему заплатила? Да, ИТ-отдел не посчитали нужным поставить в известность, ну, это заморочки самой компании. Не считают там ИТ-отдел пупом земли, которого надо во всём ставить в известность, руководство компании не против такого положения вещей.

      > до повсеместного распространения Интернет сотрудники могли заниматься на рабочем месте чем угодно - хоть книги читать, хоть спать

      Да, всё верно и сейчас они тоже могут это спокойно делать. Речь о том, что времена меняются. Что сейчас ИТ-отделы могут предоставить своим сотрудникам? Системный блок и клавиатуру с мышкой, MS Office, ящик корпоративной почты, доступ в инет, доступ к приложениям старым как мир? Так у людей это все и так появляется: у них свое железо, свои договора с инет-провайдерами, они сами решают какими приложениями пользоваться, они за свои деньги могут покупать приложения, оплачивать Интернет-сервисы и т.д. Как ИТ-отдел может это контролировать? Тут тенденция намечается к тому, что ресурсы (перечисленные выше) компании вообще скоро станут никому не нужны и компании смогут избавиться от лишнего геморроя. Устраиваешься на работу - приноси свой ноут или комп с доступом в инет, сейчас же никого не смущает требование иметь права категории В и собственное автотранспортное средство?

      Удалить
    3. Tom, дело в том, что Мегаплан бесплатен для небольших команд (до 10 человек кажется), так что компания ни за что не платила и руководство использование этого сервиса не санкционировало.

      Основная проблема здесь именно в том, что делается это втихаря.

      Удалить
    4. Исходные данные для обработки в облаке они все равно из информационных ресурсов (файловый сервер, CRM, прикладное ПО) компании берут. DLP-решение при должных настройках позволило бы вычислить такую "активность". В отличие от всестороннего анализа трафика, так как (как отмечено выше) ноут с самостоятельным выходом в сеть (через "своего" прова) совсем не проблема.

      С ув. Turkish

      Удалить
    5. Александр, если уж совершенно точно, то Мегаплан бесплатен (пока) для 3-х человек http://www.megaplan.ru/solutions/free/. Если компания большая (ведь в ней существует целый ИТ-отдел), то 3 человека это вообще ни о чем, отделы по работе с клиентами там явно должны быть больше 3-х человек. Да и если говорить о совместной работе в большой компании, 3 человека будут совместно работать, а с остальными как работать? по электронной почте? смысл использования инструментов для совместной работы теряется в таком случае.

      > Основная проблема здесь именно в том, что делается это втихаря.

      Ну, чтобы не делалось втихаря, ИТ-отдел должен изучать потребности пользователей и предлагать удобные решения. Мы сейчас не говорим о каких-то специфических потребностях и ПО, но уж всякие CRM, бухгалтерское ПО, так называемые инструменты для совместной работы, системы управления содержимым сайтов, системы контроля версий, такс-трекеры и т.д. - в этом уж сотрудники ИТ-отделов должны разбираться и держать руку на пульсе. Узнав потребность пользователей в подобных системах, ИТ-отделы должны на опережение что-то предлагать, тогда втихаря действовать не будут. А то сейчас зачастую думают, файловый сервер есть - вот пусть на нем и работают с документами совместно и радуются по уши, а то что таким образом работать неудобно - да по фиг. Какая ещё CRM, а чем вас файлы excel не устраивают? Какие ещё таск-трекеры, пишите на почту, ставьте 100 человек в копию.

      Удалить
  3. А почему бы не бороться с "левыми" облаками классическими методами web-фильтрации и системами DLP? В чём тут особенность?

    ОтветитьУдалить
  4. Да и кстати, какое ИТ-отделу вообще есть дело до того, кто и как внутри компании обрабатывает свои данные, им только проще в этом случае - не надо администрировать, соблюдать ЖЦ данного решения, выделять под это человека.
    А вот службе ИБ до этого есть прямое дело, и то только в разрезе утечки конфиденциальной информации.

    С ув. Turkish

    ОтветитьУдалить
    Ответы
    1. > Да и кстати, какое ИТ-отделу вообще есть дело до того, кто и как внутри компании обрабатывает свои данные, им только проще в этом случае - не надо администрировать, соблюдать ЖЦ данного решения, выделять под это человека.

      Это - да. Но с другой стороны, если ИТ-отдел будет сидеть совсем сложа ручки, то теоретически у руководства может возникнуть вопросы и подозрения, а зачем они вообще нужны? Тем более периодически то тут, то там мелькают статьи с заголовками типа "Куда податься ИТ-специалисту при внедрении в компании облачных решений".

      Удалить
    2. Железо администрировать :)
      На самом деле не все так плохо, как правило решения "изкоробки" (в данном случае из облака) не работают так как нужно это конкретно взятому бизнесу в конкретно взятой компании. Всегда есть потребность что-то конфигурировать и "допиливать", что еще возможно делать, если ПО в собственности (коробочное и предоставляет такую возможность, типа 1С, CRM, банковское ПО) и невозможно, если оно в облаке.
      Хотя в перспективе, согласен, самыми вакантными будут места эникеев.

      С ув. Turkish

      Удалить
  5. Да-да, мы понимаем, что все специалисты по ИТ безопастности - параноики и что они вовсе не страдают от этого :)

    ВСЕ продвинутые пользователи пользуются внешними (и часто облачными) веб-сервисами.

    ОтветитьУдалить