Екатерина Шульман
о новой роли
российского парламента

Можно ли спрятаться от спецслужб в облаках

Эксперты по информационной безопасности о хранении секретных и приватных данных

Дмитрий Бевза 15.07.2013, 12:27
Google

После заявлений Эдварда Сноудена о том, что спецслужбы тесно сотрудничают с крупнейшими IT- и интернет-компаниями, у многих пользователей возникли опасения относительно сохранения приватности данных, загруженных в облачные хранилища. «Газета.Ru» узнала у экспертов по IT-безопасности, возможно ли сохранить конфиденциальность своих данных в облачных сервисах и какие легальные способы для этого существуют.

Скандал, вызванный разоблачениями бывшего сотрудника ЦРУ и АНБ, затронул не только политизированную часть интернет-пользователей. В том, что спецслужбы собирают и анализируют данные, открыто выложенные в сеть, никто не сомневался и раньше. То, что разведки всего мира шпионят за посольствами и опасными (с их точки зрения) персонами и организациями, перехватывая содержимое писем, голосовых и видеочатов, тоже не является секретом. Однако утверждения Сноудена, что АНБ имеет прямой доступ к центральным серверам ведущих интернет-компаний – Microsoft, Yahoo, Google, Facebook, PalTalk, AOL, Skype, YouTube, Apple, вызвало некоторые опасения — как у обычных, так и у бизнес-пользователей.

Microsoft, Google, Apple и другие крупные IT-компании в последние годы успешно предоставляют услуги по хранению информации в своих облачные сервисах. Хранение данных в «облаке» на сегодняшний день считается надежным и передовым, с точки зрения юзабилити, решением. Заявления Эдварда Сноудена заставили усомниться если не в надежности хранения этих данных, то, по крайней мере, в сохранении их конфиденциальности.

«Газета.Ru» попросила экспертов российских и международных компаний, занимающихся информационной безопасностью, рассказать нашим читателям, возможно ли сохранить конфиденциальность своих данных при использовании облачных хранилищ данных и если возможно, то как.

Андрей Комаров, директор департамента международных проектов, аудита и консалтинга компании Group-IB:

Желательно минимизировать использование облачных сервисов для хранения конфиденциальной информации, включая собственные персональные данные, либо размещать их в зашифрованном виде со стойким методом криптографической защиты. Часто пользователи размещают на временное хранение деликатные документы в «облака», которые индексируются поисковиками, что делает их доступными для злоумышленников.

Существует множество бесплатных средств криптографической защиты информации - PGP, RAR-архивы с паролем и шифрованием имен файлов. Последнее — наиболее приемлемый вариант, миллионы пользователей используют архивы по всему миру, так что выделить вашу информацию среди всех остальных, да еще и с паролем, будет достаточно сложно.

Сергей Комаров, руководитель отдела антивирусных разработок и исследований компании «Доктор Веб»:

Надо понимать, что если вы пользуетесь облачными хранилищами, то полагаетесь на некую вторую сторону, которой априори доверяете. Чтобы как-то обезопасить себя при этом, всё, что вы можете сделать, это прочесть лицензионное соглашение и полагаться на то, что оно будет соблюдено. И, если оно было нарушено, пытаться возместить ущерб.

При этом, если вы обеспокоены сохранением в секрете ваших приватных данных и документов, единственный способ защитить их — это хранить их там, где никто не сможет получить к ним доступ. Однако такого места на Земле просто не существует. Локально ли вы храните ваши данные, на своем компьютере, или в облаке, например, у Google или Apple – это определяет лишь степень простоты, с которой ваши данные могут быть получены третьей заинтересованной стороной. А то, что такое возможно, знают практически все, если не на реальном опыте, то опосредованно.

Что касается, криптографических и иных средств защиты информации в «облаке», то такие решения есть, но они существуют лишь для того, чтобы осложнить жизнь тому, кто хочет получить доступ к вашим данным. Решений, обеспечивающих 100% защиту информации, нет, так что если в облаках будут храниться действительно важные данные, вероятность потери конфиденциальности этих данных резко возрастает.

Денис Безкоровайный, технический консультант компании Trend Micro в России и странах СНГ:

Защита данных пользователей и компаний, в том числе в облачных хранилищах, всегда была и остается обязанностью самих пользователей. Нужно понимать, что свои данные пользователи загружают во всеобщий доступ, и принимать соответствующие степени конфиденциальности этих данных меры по защите. На рынке уже присутствует множество решений для шифрования данных в облачных хранилищах, как для домашних, так и для корпоративных пользователей. Причем создать собственную рабочую схему шифрования данных перед их отправкой в облако можно даже на базе open-source разработок. Для компаний, желающих получить степень удобства доступа к данным с различных устройств, аналогичную современным консьюмерским продуктам (например, Dropbox, BOX.net), можно рекомендовать обратить внимание на продукты, предназначенные для построения частного облака и безопасного обмена файлами, хранилище которых базируется в датацентре самой компании.

Артем Баранов, ведущий вирусный аналитик компании ESET:

Мы полагаем, что заявления г-на Сноудена не носят сугубо информационный характер, а являются своего рода PR-акцией. Судя по всему, в распоряжении Guardian действительно оказалась переданная Сноуденом информация, которая подтверждает факт передачи данных от ряда компаний к спецслужбам США. Но постоянное присутствие этой информации в СМИ уже создает определенную головную боль не только для этих компаний (Google, Microsoft, Facebook и др), которые вынуждены оправдываться, но и для пользователей, у которых в итоге создается впечатление «тотальной прослушки». Интернет-пользователям следует понимать, что каждая из этих компаний имеет свою команду, обеспечивающую безопасность (security team) пользовательских данных от попадания в руки злоумышленников. Однако спецслужбы не относятся к категории злоумышленников, и компании могут делиться частью информации о пользователях со спецслужбами того государства, в котором они находятся.

Что касается методов защиты, то надо понимать, что само использование каких-либо криптографических или иных специальных средств для персонального пользования может вызвать интерес у спецслужб любого государства, потому что в таком случае возникает подозрение, что человек может скрывать какую-либо противоправную информацию.

Популярные облачные сервисы для хранения данных, вроде MS SkyDrive, Google Drive или Apple iCloud, со временем будут только расширять свою аудиторию, поскольку у этих компаний есть большой опыт в проектировании популярных веб-сервисов. Пользователям, в свою очередь, следует уделять больше внимания настройкам безопасности аккаунтов в облачных и всех прочих сервисах: использовать безопасное https-соединение, придумывать сложные пароли и с подозрением относиться к незапрошенным сообщениям от неизвестных лиц – ссылки в таких сообщениях могут вести на вредоносное ПО или фишинговые страницы.

Сергей Ложкин, эксперт компании «Лаборатория Касперского»:

Компании, предоставляющие облачные сервисы, достаточно серьезно относятся к защите данных пользователей. У некоторых провайдеров при загрузке данные шифруются, причем ключ создается на стороне пользователя, и сами владельцы «облака» не смогут получить доступ к хранимой информации. Но если хочется обеспечить максимальный уровень безопасности данных и быть полностью уверенным в том, что кроме владельца никто не сможет получить к ним доступ, то единственное что можно посоветовать – это шифровать данные перед загрузкой в облачный сервис. Решений для шифрования на рынке достаточно много. Из бесплатных можно назвать True Crypt и различное программное обеспечение, использующее в своей работе механизм шифрования OpenPGP.

Павел Паплински, директор департамента стратегии и маркетинга в России и СНГ телекоммуникационной компании Orange Business Services

В отличие от публичных облачных хранилищ, в которых размещено большинство популярных сервисов для физических лиц, корпоративные облачные сервисы являются более контролируемыми. Одно из преимуществ сервисов для бизнеса – безопасные каналы передачи данных, защищенные шифрованием или вовсе не имеющие стыков с сетью интернет. Кроме того, корпоративные заказчики могут строить частные облака, размещая серверное оборудование на собственной территории. Такой тип сервисов пользуется особой популярностью в России, где заказчики традиционно предпочитают сохранять полный контроль над своими данными. И тем не менее, в случае официального запроса компетентные органы могут получить доступ к любому хранилищу данных.