Новости раздела

«Нам говорили: Amazon никогда не сольет данные. Amazon — да, но условный сисадмин Джек Джонсон — вполне»

Рафик Сингатуллин о массовых утечках данных из облачных хранилищ, ментальных страхах российского бизнеса и рукотворных дырах в облаках

Лучше поздно, чем никогда: с конца нулевых российский бизнес начал мало по малу отказываться от тотального содержания собственных материально и технически затратных серверных, постепенно доверяя конфиденциальные данные сначала data-центрам, а затем и облачным хранилищам. Путь в облака был не простым — иногда в ход шли даже жесткие диски, спрятанные в банковских ячейках, вспоминает эксперт в области безопасного хранения данных, сооснователь и гендиректор международной компании-провайдера DeNet Рафик Сингатуллин. В беседе с «Реальным временем» он объяснил, почему перспективный рынок облачного хранения в минувшем 2018-м породил 70% всех мировых утечек информации, как банки, ретейл и HoReCa демонстрируют позитивную динамику потерь данных, и назвал квалификацию сисадминов настоящим бичом страны.

«Даже в начале 2010-х компании копировали бэкапы на жесткий диск и относили в сейф в банке»

— Давайте начнем с небольшого ликбеза: что сегодня представляет из себя рынок облачного хранения в мире, России — каков его объем и ближайшие перспективы?

— Из основных, крупных компаний на рынке, — Amazon, Google, Microsoft OneDrive, Dropbox, у этой же компании есть аналог, Box, который широко развит для b2b-сегмента. MEGA — лидер как приватное хранилище, что становится актуальным в последнее время. Кроме того, сейчас очень серьезную позицию начинает занимать «Яндекс». Пусть даже только в России и СНГ, но у них уже есть ряд хороших продуктов. Конечно, с нынешними обстоятельствами, связанными с санкциями, они вряд ли смогут охватить мир, но их уже можно брать в расчет. Из основных и крупных, наверное, это и все. Крупные компании, действительно, занимают чуть ли не 80 процентов рынка и, соответственно, хранят большую часть конфиденциальных данных, причем основной процент занимает Amazon, чуть меньше — Google, дальше процент в разы уменьшается. У Apple, конечно, тоже есть свои продукты, но, я думаю, там в разы меньше. Amazon в этом отношении пока лидер, и в ближайшее время ничего не изменится.

Мы подсчитывали (аналитическая служба DeNet), в течение ближайших пяти лет объем хранимой информации в мире увеличится с 2,8 до 3,3 зетабайта (1 зетабайт = 1 триллион гигабайт). А даже ползетабайта — это невероятный объем данных, эти цифры сложно себе представить. Это приведет к увеличению рынка облачного хранения с 31 миллиарда долларов до 100 миллиардов. Есть и другие данные, что рынок сервисов облачного хранения к 2020 году может составить 383 миллиарда долларов, но в любом случае, очевидно, что он будет только расти, причем кратно.

— Облачные хранилища начали входить в нашу жизнь сравнительно недавно. Если я не ошибаюсь, лишь в 2006 году Amazon запустил первый облачный сервис, через год за ним последовали выходы на рынок продуктов Google, IBM и так далее. Как давно российский бизнес начал использовать облака, отказываться от содержания своих серверов, которые занимают кучу места и сжирают бюджет?

— Да, порядок примерно был такой. Я застал весь этот процесс через свой бизнес. Как раз в середине нулевых, когда каждая компания пыталась содержать свою огромную серверную. Самое любопытное, что в России даже с Amazon массово и напрямую начали работать только в какие-то последние 5—8 лет, облачные сервисы бизнес воспринял далеко не сразу. До этого хранили на своих серверах и использовали компании-посредники, которые «перекладывали» данные туда, при этом сама компания не особо вникала во все эти перемещения.

Мы подсчитывали (аналитическая служба DeNet), в течение ближайших пяти лет объем хранимой информации в мире увеличится с 2,8 до 3,3 зетабайта (1 зетабайт = 1 триллион гигабайт). А даже ползетабайта — это невероятный объем данных, эти цифры сложно себе представить

У меня лично в бизнесе это произошло через CRM-систему «Мегаплан», систему управления своими базами данных, ориентировочно в 2012 году, то есть через 6 лет после того, как в мире все это зашло. Я работал в компании, которая использовала сервак, и про облачные системы, откровенно, не думала. Но был и другой важный момент — тогда и не было такого большого объема данных, особенно у мелкого и среднего бизнеса. Компании почти все были сосредоточены на серверах, но, надо сказать, у них были в этом плане свои опасения…

Недавно у меня была встреча с юристом, который работал в крупных московских компаниях в конце нулевых, ориентировочно в 2008-м. И так как все хранились на серваках, была большая проблема российской ментальности, всем знакомая: все всегда боялись, что, если с их компанией что-то пойдет не так, к ним придут, снимут данные с серваков, все арестуют, и на этом просто все финишируют. Он рассказывал, что именно тогда они реально задумались, как данные выводить из компании. Все использовали разные методы: я знаю компанию, далеко не самую отсталую, которая даже в начале 2010-х хранила данные в прямом смысле в банке. И это не единичный случай. То есть компании копировали бэкапы на жесткий диск и относили в сейф в банке.

— Что в таком случае сподвигло крупняк обратиться к облачным сервисам?

— Серваки и свои мощности нужны были крупным компаниям, в первую очередь для базы данных, функционирования CRM-систем и 1C. Не имея сервака или мощного компьютера, 1С у тебя не запускается. Те, кто не покупал серваки, потребляли мощности data-центров. Но здесь опять же зажигалась красная лампочка — если размещаться в data-центре, придется разместить там свои данные 1С. А вдруг придут третьи лица, снимут эту информацию, и с завтрашнего дня их компания перестанет существовать? С другой стороны, это не были просто предрассудки, у нас ведь действительно силовики имеют право без предупреждения прийти и всю информацию в data-центре снять. Я думаю, многих именно это сподвигло обратиться к облачным сервисам.

В последнее время наши компании стали довольно активно обращаться к облачным сервисам, но получили совершенно четкий сигнал сверху — прекращайте хранить в чужих, переходите на российские. Российские облачные сервисы начали использоваться бизнесом в последние два-три года. В прошлом году как раз «Яндекс» презентовал «Яндекс.Облако» для b2b-сегмента. Причем, анализируя их, мы для себя выстроили гипотезу, что уж больно точный, узкий у них вышел продукт, скорее всего, он был сформирован под конкретных клиентов, но об этом, понятно, никто не говорит, презентуют как продукт для всех. Но они уже знали, куда и к кому с этим пойти, кто это точно купит. Благодаря монополии «Яндекса» это в принципе несложно сделать.

Сейчас и data-центры научились убеждать, что, в принципе, у них безопасно, и утечек нет. Я думаю, что сервера у нас до сих пор в обороте отчасти и из-за безграмотности, плюс, скорее всего, есть еще момент попытки сэкономить средства

«Квалификация сисадминов — это проблема, это бич страны»

— Учитывая все преимущества облачных хранилищ перед традиционными дата-центрами — экономичность, доступ к данным из любой точки мира, системы шифрования, почему бизнес и госструктуры продолжают вкладываться в свои серверные, обращаться к ЦОД?

— В основном продолжает крупный бизнес, промышленники, госструктуры. Первое я уже проговорил — ментальная история, страх того, что твои данные могут изучить и использовать против тебя. Сейчас и data-центры научились убеждать, что, в принципе, у них безопасно, и утечек нет. Я думаю, что сервера у нас до сих пор в обороте отчасти и из-за безграмотности, плюс, скорее всего, есть еще момент попытки сэкономить средства.

— Но ведь выкупать условное место в облачных хранилищах дешевле, чем покупать и содержать собственные серверы?

— Здесь все не так просто, дешевле только в идеальной среде, так скажем. Объясню на примере нашего, местного, машиностроительного предприятия. Не так давно они пришли к тому, что, в принципе, да, облако — это прекрасно, позвали специалистов. У них полторы тысячи устройств разновозрастных, так скажем. А чтобы элементарно бэкапить (создать резервную копию) все их полторы тысячи устройств, нужно изначально создавать всю сетку. Соответственно, для нормальной работы с данными из облака им нужно было бы не только парк компьютеров обновить, но и наладить более качественный интернет, проложить отдельную бесперебойную линию. И пошло-поехало: появляется ряд сложных ситуаций, требующих вложений.

От серваков еще почему не отказываются многие — если здесь и сейчас имеется локальная сеть без интернета, у тебя есть постоянный доступ. Это важный момент, почему полностью отказаться невозможно. Но, может быть, полностью и не нужно — можно частично оставить, и это уже вопрос работы как раз профессиональных лиц, сисадминов, с чем у нас тоже полный бардак…

— Нет квалифицированных?

— Неквалифицированы, причем везде и повально. Например, для установки ERP на 1С нужен 1С-ник, да? И сейчас нет в России ничего более масштабного, чем 1С, казалось бы, можно уже научиться, обучить своих людей. Но совсем недавно у нас был запрос просто на то, чтобы мы это сделали. Но ценник хорошего 1С-ника даже в маленьких городах России начинается от 60 тысяч рублей, купить хорошего 1С-ника — это большая удача. Что же говорить про сисадминов… Я знаю примеры, где сисадмин влияет на закупку некой программы производства, которую потом запускают годами и безуспешно. Это проблема, это бич страны, ведь так происходит практически везде. А чтобы освоить даже data-центр, не то что облако, нужно погружение.

Если мы разберем любые облачные сервисы, они все когда-то сформировались как базы данных, а потом сверху уже кучу всего понашивали. Сейчас новые продукты берут алгоритмы, архитектуру формирования с предыдущих, начинают упрощать и улучшать

«Если в трубу дать давление, на которое она не рассчитана, начнется свищ»

— Хотелось бы поговорить о рисках облачного хранения — к таковым эксперты относят потерю и утечку данных. Если первое практически исключено в современных облачных сервисах, где все многократно копируется, то второе — вполне актуальная угроза. Глава ГК InfoWatch Наталья Касперская несколько недель назад заявила, что облака — настоящая брешь в безопасности и 70% утечек данных в минувшем году произошло именно через них, количество утечек из облаков за год увеличилось на 43%. Больше того, на 2019 год прогнозируют кратное увеличение. С чем это связано?

— Прежде всего надо полагать, что дыры в базах, они как были, так и есть, и здесь, скорее, речь идет про увеличение объема хранимых данных, отсюда и такие цифры в динамике. Изначально везде есть дыры, а объем и напор данных сейчас туда гонят в разы больше. И как мы знаем, если в трубу дать давление, на которое она не рассчитана, начнется свищ. Это и происходит. Можно очень примитивно объяснить, почему происходят эти проблемы — потому что все, что есть на сегодняшний день на рынке, в принципе не рассчитано на то, что происходит с объемами данных и оцифровки.

Плюс здесь надо упомянуть сами программы, софтину хранилищ, которая пишется поверх неких программ, изначально кривых. Это проблема в целом отрасли. Появляется софт, начинает работать. Вдруг разработчики начинают понимать, какие у них есть дыры, иногда им в этом помогают хакеры, утечки (улыбается), и они начинают их латать, дошивать, дописывать или «женить» с какими-то системами безопасности. Потом уже поверх этих заплаток выпускаются обновления, новые продукты, идет непрерывный апгрейд. Если мы разберем любые облачные сервисы, они все когда-то сформировались как базы данных, а потом сверху уже кучу всего понашивали. Сейчас новые продукты берут алгоритмы, архитектуру формирования с предыдущих, начинают упрощать и улучшать.

Как ближайший к нам пример — 1С. Откровенно, я не знаю, кто бы ее похвалил. Но тем не менее им все вынуждены пользоваться. Это была история про лоббирование, но эта софтина изначально была дырявой и кривой. И представьте, сколько уже написано поверх этой кривой системы — куча обновлений, продуктов, решений на основе дырявого софта. Вчера читал про тот же Android, кривые микросхемы, которые в погоне компании за количеством, массой, перепрошивали за счет софта. И только сейчас эта картина меняется.

«Банковский и страховой сектора бомбили чаще других»

— Как и в 2017, в 2018 году абсолютное большинство утечек данных через облачные хранилища произошло у компаний сферы высоких технологий — рост до 40% в минувшем году. С 8 до 11,4% вырос объем утечек и в области медицины. С 4,1 до 7% — в сфере образования. Как вам кажется, почему число утечек через облака в этих трех сферах растет, тогда как в остальных идет на спад?

— В IT проблема в том, что самое большое скопление персональных данных именно там, в других секторах такого объема нет. Ведь, многие продукты IT, софты создаются именно для добычи персональных данных. Есть и еще одна отличительная черта IT-направления: если мы возьмем любой другой вид деятельность — бизнес, образование, медицина — эта история пока локально не разовьется, не проверятся все дыры, не подзалатаются, в мировое пространство все это не уйдет. А IT уходит. И поэтому есть такой невероятный масштаб одновременно и по позитивной, и по отрицательной динамике.

Что касается медицины и образования, эти сферы как раз в последние годы начали переводить все в цифру, появился поток и объем данных. Медицина вообще для меня очень близкая и любопытная тема, мы изучали этот вопрос — она сама по себе дырявая, и без облачных систем. Объясню на примере: у компании есть корпоративная почта, компания была перепродана соответственно вместе с ней. Но бывший владелец этой компании оставлял эту почту в медицинском учреждении во время обследований. Данные о его состоянии здоровья еще год приходили на эту почту. И, по сути, это была утечка. В этих сферах, как показывает практика, нужен какой-то пинок сверху, чтобы люди зашевелились, они и не ищут решений этих проблем, отсюда и утечки.

— Обратную картину, значительное снижение доли в общем числе утечек через облака, можно наблюдать в банковской, финансовой сферах и страховании — скачок с 12,2 до 1,4% за год, просто образцово-показательные цифры. С чем это может быть связано — может быть, они просто увели свои данные обратно в собственные дата-центры и частично отказались от облачных систем?

— Здесь очевидно: банковский и страховой сектора бомбили чаще других в последние годы, это можно увидеть и в новостных лентах. Бомбили потому, что там конкретно финансовая история и множество ценных данных. У них пошла неизбежная защитная реакция, атаки вынуждают их вкладывать все больше средств в защиту, безопасность хранения данных. Причем атаки не прекращаются и их количество не идет на спад, и никогда не пойдет. Кроме того, у банков есть деньги для того, чтобы вкладываться как в разработку своих умных продуктов, так и закупать чужие и самые прогрессивные, у них есть средства, в отличие от МСБ и социальных, государственных структур.

«Компании бьют во все колокола: вдруг оказалось, что к архиву имеет доступ оператор»

— Снижение доли утечек на 3—4% зафиксировано в ретейле и HoReCa. Понятно, что они с каждым годом значительно увеличивают финансирование этой части бюджета. Как думаете, это снижение — планомерно и будет продолжаться?

— Просто те, кто имел и имеет возможность собирать большие данные, наконец поняли, насколько это ценная история. В какой-то момент все это, особенно в ретейле с картами, программами лояльности, начиналась просто как акции для привлечения. В последнее время они поняли, что это можно обрабатывать и использовать в своих целях — улучшать сервис, отрабатывать адресность. Поэтому логично, что они стали вкладываться в безопасность, ведь те, кто за ними охотятся, могут выжать из таких баз очень большие деньги. Раньше ретейл сам же торговал этими базами, возможно, не на уровне топов, но все же. Вот и происходили псевдоутечки, сейчас они осознали, что это ценнейшие данные и вряд ли сохранили желание их продавать.

И потом, в Европе 25 мая вступил в силу закон GDPR, который всколыхнул вообще всех (GDPR — общий регламент ЕС по защите данных, General Data Protection Regulation). Появилась норма, которая запрещает использовать персональные данные без разрешения, то есть даже транснациональные компании, которые в огромном объеме использовали персональные данные, особенно для машинного обучения, теперь не могут их использовать без разрешения собственника данных. И самое интересное, что стало возможным благодаря этому закону потребовать удаление своих данных, использованных где-либо без вашего согласия. Каждый может узнать, как и кто использует его персональные данные. Мы сделали запрос, чтобы проверить: одному из наших ребят прислали гигабайты данных, полный маршрут о его перемещениях в интернете, начиная с 2012 года. И это кто-то трекал, кто-то изучал.

Информация — новое золото, и все «утечки» — это на самом деле просто «перетечки» в другие руки. Я бы в принципе не стал безоговорочно полагаться на статистику InfoWatch просто потому, что под условным понятием «утечка» может стоять много чего, и самое главное — человеческий фактор

У меня есть знакомые компании, которые занимаются оказанием массовых услуг. Так они сейчас бьют во все колокола: вдруг оказалось, что к архиву имеет доступ оператор, который по идее данные просто заносит в базу. То есть скачал, продал — кайфуешь. На днях «Лаборатория Касперского» опубликовала данные исследований, по которым выходит, что у 20% сотрудников российских компаний есть доступ к рабочим файлам и системам с прошлых мест работы. Та же проблема с облачными сервисами: мы можем говорить про технологию, но пока между собственником данных и хранилищем есть посредник — человек, будут продолжаться утечки. Недавно мы были на одной конференции в Сингапуре, нам говорили: «Слушайте, ну Amazon вам никогда не сольет данные». Да, Amazon не сольет, но условный Джек Джонсон, который там сидит админом, имея доступ, вполне может, особенно, когда за это хорошо платят. Я знаю ребят, сотрудников некоторых казанских компаний, которым несколько лет назад предлагали за базу данных сто тысяч рублей.

Это я к тому, что сливы — результат не только технических вопросов. Информация — новое золото, и все «утечки» — это на самом деле просто «перетечки» в другие руки. Я бы в принципе не стал безоговорочно полагаться на статистику InfoWatch просто потому, что под условным понятием «утечка» может стоять много чего, и самое главное — человеческий фактор, непрофессиональное отношение специалистов. Кроме того, установить, откуда конкретно произошла утечка, тоже не всегда возможно. Данные могут храниться в облаке в том числе, но утечь совсем из другого места.

«Я вижу в децентрализации будущее безопасного хранения»

— Получается, что за счет увеличения объема хранения данных количество утечек так или иначе будет расти, хоть как-то сдерживать эти «свищи» будут наиболее финансово устойчивые организации. Но запрос на безопасное хранение будет все более насущным. В чем вы видите будущее хранения данных и пересекается ли это будущее с облачными продуктами?

— В течение последних лет на международной арене уже можно проследить тренд — корпорации, власти и крупный бизнес озаботились тем, как хранить данные у себя, хотя бы в стране. Из последних коммуникаций с Монако могу сказать, что в Европе точно уже все озабочены тем, чтобы не выпускать данные за пределы своей страны. Год назад мы общались с представителями госструктур Лихтенштейна, и они то же самое сказали. Европа не хочет хранить свои данные, как они сказали, «у американцев», но на самом деле, конечно, просто не хочет хранить их за пределами своей страны, эта идея перестала всех устраивать концептуально.

Но так как эти маленькие европейские страны не имеют возможности строить свои data-центры, они сейчас озадачены тем, как можно этот вопрос решить. На самом деле, откровенно, — этим озадачены все, кроме, наверное, Дубая. Мы как раз были год назад в Дубае, и они презентовали — в Абу-Даби была презентация — свой data-центр, это почти город в городе, колоссально. Не знаю, запустили они его или нет, но у них, конечно, этой проблемы как будто бы нет. То же самое происходит в b2b секторе, конкретно у корпоратов, когда компания не хочет выводить данные за пределы своей локации. Понятно, что генеральная линия хранения у адекватной их части сейчас — это облачные сервисы. Всем понравилась эта простота, удобство, когда ты реально просто в один клик все это отправил и реально ни о чем не думаешь. Но утечки заставляют задумываться.

Это очень интересно, что создатель всемирной паутины сейчас работает над децентрализацией. Сейчас и я вижу в децентрализации будущее безопасного хранения

Год назад вышла статья создателя интернета — британского ученого Тима Бернерса-Ли. В ней он говорит, что интернет он создавал и задумывал совсем не таким, каким он стал сейчас, когда мы потеряли контроль над своими данными совершенно. И он проговорил, что единственный вариант, который видит, — это децентрализация, создание локальных хранилищ данных, над этим он в принципе сейчас и работает, и весь мир следит за этим. Хотя это очень интересно, что создатель всемирной паутины сейчас работает над децентрализацией. Сейчас и я вижу в децентрализации будущее безопасного хранения.

В DeNet мы ведь поэтому начали разработки в этом ключе. Мы осознали, сколько свободных мощностей существует в мире, что они уже есть — они приобретены и просто стоят, не используются, это порядка 4 миллиардов устройств по всему миру, которые могут дать порядка 500 свободных эксабайт (500 млрд гигабайт). Для сравнения, облачные хранилища Dropbox занимают приблизительно один эксабайт. Нам хотелось сделать хранение данных с самого начала, в сути своей, приватным и безопасным, как нам кажется, мы на верном пути.

Мы, конечно, знаем много историй, когда проекты, построенные на децентрализации и свободных мощностях, пытались реализоваться, но по тем или иным причинам не сложились. Нам на Российском венчурном форуме после презентации один человек сказал: «В 2004 году мы делали примерно то же самое, но рынок не принял, и вас не примет». Но это же был 2004 год, дружище, проснись — ты тогда рацией или пейджером пользовался? Просто несоизмеримый срок. Я уверен, за этим будущее.

Ольга Голыжбина, фото Ильи Репина
Справка

Рафик Сингатуллин, эксперт в области безопасного хранения данных, сооснователь и гендиректор международной компании-провайдера DeNet (Технология децентрализованного хостинга и платформы для хранения данных на основе существующих свободных ИТ ресурсов), учредитель ООО «ДеНет БОКС» (компания-разработчик технологии для хранения данных с использованием существующих свободных мощностей персональных компьютеров и серверов).

  • В 2003 окончил КНИТУ-КХТИ по специальности инженера компрессорных установок и насосов для добычи, хранения и транспортировки нефти и газа
  • После окончания университета занимался бизнесом в сфере строительства — развивал и руководил компаниями «Хозяин дома» и Concept House Store
  • В 2017 году была основана компания DeNet, базирующаяся в Гонконге с офисом разработчиков в Казани
  • В 2018 году открыто ООО «ДЕНЕТ БОКС» как «коробочная версия», ответвление DeNet, для b2b-сегмента

ТехнологииITБизнес
комментарии 2

комментарии

  • Анонимно 20 май
    А где посмотреть на коробочную версию? Где она стоит?
    Ответить
    Анонимно 20 май
    Была проведена пилотная установка на одном из заводов ТАИФ. Так же имеются результаты тестирования от ИТ парка! По хорошему при заинтересованности можно провести 2х недельный тест на вашем предприятии!
    Ответить
Войти через соцсети
Свернуть комментарии

Новости партнеров