Доверие к облакам

В феврале 2015 года компания DIRECTUM анонсировала облачный сервис электронного документооборота - DirectumRX. Сервис предоставляется по модели SaaS. Среди СЭД эта модель была редкостью. Как любая «новая технология» модель SaaS встретила сопротивление со стороны заказчиков, привыкших работать «по старинке»: покупать систему и устанавливать на свои серверы.
За эти два года мы наработали обширную практику, знаем, чего опасаются заказчики в модели SaaS, и можем помочь им с принятием правильного решения. Рассмотрим, какие опасения высказываются и как поступать заказчику в том или ином случае.

Как вы защищаете наши данные?

Защита данных – важный аспект. Рассмотрим варианты атаки и соответствующей защиты.

Первый вариант атаки - Получить доступ к рабочему месту пользователя. Злоумышленником может выступать другой сотрудник (чаще всего так и бывает).

Защита: Нужно соблюдать правила:

• настроить пароль пользователя в операционной системе;
• уходя, блокировать компьютер;
• закрывать кабинет на ключ.

Но даже если эти правила нарушены, система документооборота будет дополнительным рубежом защиты, т.к. на компьютере важных документов не будет – они хранятся в СЭД. А для доступа к СЭД нужно ввести пароль.

Второй вариант атаки - Получить доступ к серверному оборудованию:

• пробираемся в серверную центра обработки данных;
• добираемся до нужного сервера;
• дальше – дело техники.

Защита: В случае DirectumRX данные хранятся в специализированном дата-центре. В здании дата-центра осуществляется контроль доступа и ведется видеонаблюдение. Внутри постоянно находятся дежурные. Получить физический доступ к данным посторонний человек не может.

Третий вариант атаки – сам облачный сервис. Тут есть несколько вариантов:

1. Перехват трафика между сервером и клиентским приложением.

Защита: В DirectumRX используется шифрование HTTPS, а работа с невалидным сертификатом запрещена. Это защищает от таких методов как «перехват пакетов» и MITM-атаки. Даже если злоумышленник сможет расшифровать данные, то окажется, что они зашифрованы дополнительно. Система DirectumRX оснащена дополнительным внутренним шифрованием трафика.

2. Атака на ошибки СЭД. Ошибки являются одним из вариантов получения доступа к конфиденциальным данным.

Защита: Мы осуществляем ежедневный мониторинг всех ошибок, которые возникают у наших заказчиков. Все ошибки сортируются и оперативно централизованно устраняются, чтобы этим не успели воспользоваться.

3. Атака на ошибки общесистемного ПО сервера, DDos-атаки, вирусы и прочие варианты воздействия на сервер.

Защита: Не будем здесь углубляться. Важно то, что защиту от этих воздействий обеспечивает дата-центр. Со своей стороны, мы, как поставщик облачной СЭД, несем финансовую ответственность за доступность нашего сервиса. А это значит, что любой простой компенсируется заказчику. По условиям SLA доступность сервиса 99%. Фактически уровень даже выше.

А не уйдут ли наши данные на сторону?

Часто слышу такое опасение: «А что вам мешает продавать наши документы конкурентам?». Вопрос кажется справедливым, если не вдаваться в детали. Но давайте зададим себе другой вопрос: Что мешает банку просто забрать деньги одного из своих вкладчиков? Ответ очевиден: больше вкладчиков у этого банка не будет. Поэтому ответ прост: посмотрите на поставщика облачной СЭД: давно ли он на рынке? Какова его репутация? Собирается ли он работать и дальше? Если ответ «Да», то ваши данные в безопасности.

Как нам забрать свои документы, если мы захотим?

Важно, чтобы поставщик SaaS-решения предоставлял возможность выгрузить документы в случае необходимости. В DirectumRX, даже если заказчик, по какой-то причине, решил отказаться от сервиса, он может выгрузить документы из облака, даже если не оплачена подписка на сервис.

Также бывает необходимость перенести базу данных на локальный сервер. Разумеется, это всегда возможно, и мы помогаем заказчику с выгрузкой.

У нас интернет пропадет. Что тогда?

Вот тут мы не властны. Пожалуй, это единственное, что может случиться с каждым и тут ничего не поделаешь. Но в наше время это все-таки редкость. Конечно, бывают труднодоступные местности с нестабильным или слабым подключением к Интернет, но для большинства наших заказчиков такой проблемы нет. Конечно, могут случаться отдельные инциденты, но в целом, думаю, эта проблема уже в прошлом. Преимущества облачных сервисов уж точно перебивают этот риск.

А если вы завтра закроетесь?

Справедливое опасение. Пользуясь облачным решением, заказчик держит свои данные на стороннем хостинге. Если компания, предоставляющая SaaS решение, молодая и еще не зарекомендовала себя, то есть риск, что, рано или поздно, она может просто исчезнуть вместе с данными своих заказчиков. Вывод: если нужны гарантии, доверяйте надежным и опытным партнерам.

Простой способ оценить надежность компании – посмотреть, сколько у неё крупных заказчиков. Если их много, то значит они регулярно обслуживаются и закупают доп. услуги и ПО. Это повышает финансовую стабильность компании и гарантирует, что мгновенно она не исчезнет.

Кроме того, обратите внимание на другие факторы:

• сколько лет вендор на рынке;
• какой штат специалистов занимается разработкой, сопровождением и внедрением SaaS‑решения;
• количество новых клиентов за текущий год и в динамике за последние 2-3 года;
• растет ли количество сотрудников вендора;
• может быть в недавнем прошлом компания открыла новый профильный центр разработки или представительство в другом городе;
• и т.д.

Вместо заключения.

Конечно, всегда будут конфиденциальные данные: ноу-хау, особенности бизнеса и т.д., которые не стоит держать в облаке. Мы и сами не рекомендуем так поступать. Но в остальном облакам можно и нужно доверять. Просто нужно тщательно выбирать поставщика и внимательно ознакомиться с предлагаемым SLA.

Облака уже давно не какая-то диковинка, они все чаще оказываются удобнее, дешевле и проще, чем локальные решения.