Бизнес, которым занимается Unistaff, ставит перед нами как службой информационной безопасности не самые тривиальные задачи. Наряду с традиционными для российского бизнеса вопросами соответствия регуляторным требованиям, клиенты, доверяющие нам обработку своих данных, совершенно справедливо выдвигают собственные требования по защите информации. И само по себе это неплохо, так как позволяет нашей службе информационной безопасности быть на острие последних тенденций и сталкиваться с современными угрозами, свойственными зачастую лишь для узких областей, в которых работают некоторые наши клиенты. Если бы только эти требования зачастую не противоречили друг другу! Не говоря уже о стоимости реализации некоторых требований только для одного клиента.
В дополнение к вышеописанному мы имеем еще ряд особенностей:
- Обширная филиальная сеть.
- Жесткие требования одновременно по всем трем традиционным атрибутам безопасности информации: конфиденциальности, целостности и доступности.
- Требования по конфиденциальности диктует сам характер информации, которую нам доверяют, включая штрафы в договорах с клиентами и NDA. Кейс с утечкой информации из наших баз приведет к непоправимым репутационным потерям, ведь каждое из лиц, принимающих решения, в первую очередь представит базу со своими паспортными данными и информацией о доходах.
- Целостность информации мы обязаны обеспечивать для всех данных, на основании которых мы составляем отчетность, ведь любая ошибка в отчетности на основании искаженных на нашей стороне данных приводит к прямым финансовым потерям, согласно условиям наших договоров.
- Доступность мы обязаны обеспечивать как для сервисов, предоставляемых клиентам (например, для личного кабинета), так и для всех систем, в которых наши специалисты обрабатывают данные, так как несвоевременное предоставление результатов расчетов или сдачи отчетности, опять же, приводит как к прямым финансовым потерям, так и к репутационным.
- Сложная ИТ-инфраструктура со множеством «исторических» особенностей. Все 30 лет, что компания работает на рынке, наша ИТ-инфраструктура и реализуемые в ней меры защиты информации развивались с учетом современных тенденций и меняющихся внешних факторов, при этом изменение сложившихся за годы решений часто затруднялось как в силу архитектурных решений, принятых много лет назад, так и из-за нежелания отходить от давно сформировавшихся привычек. Хорошим толчком для таких изменений была пандемия COVID-19 в 2020 году, когда мы, под влиянием внешних ограничений, были вынуждены отказаться от множества существовавших годами мер защиты. Например, в тот период мы отказались от тотального запрета удаленного доступа к клиентским данным из-за пределов наших офисов и вынуждены были придумать решение, позволившее обеспечить тот же уровень конфиденциальности и доступности информации наших клиентов, но уже с ноутбуков наших специалистов. Тогда таким решением стал защищенный терминальный доступ, что потребовало ввести множество изменений и ограничений в привычные для наших работников алгоритмы, которые мы адаптировали чуть ли не в ежедневном режиме.
Об одном из таких изменений в традиционной архитектуре наших ИТ-сервисов я бы и хотел сегодня рассказать подробнее.
Мы имеем неравномерную нагрузку на наши сервисы, возрастающую при проведении расчетов, и особенно драматически — в периоды сдачи отчетности. В это время возрастают требования к целостности обрабатываемых данных и предъявляется множество разнообразных требований по обеспечению безопасности, действующих непрерывно. Все это привело нас к выводу, что мы не сможем обеспечить должный уровень безопасности информации, работая в тех условиях, в которых мы находились раньше, и что для обеспечения необходимого уровня защиты нам придется использовать облачную инфраструктуру.
Такое решение позволило нам достигнуть следующих результатов:
- Создать несколько контуров безопасности с различным уровнем защиты информации, распределив клиентов по контурам согласно их требованиям и критичности обрабатываемой информации. Это было невозможно на локальной инфраструктуре, так как окупаемость некоторых средств защиты информации либо вообще не наступала на наших масштабах ИТ-инфраструктуры, либо наступала только в случае их применения для всех систем Unistaff. При этом с целью обеспечения отказоустойчивости мы сохраняем и локальные центры обработки данных, что делает нас менее зависимыми от неполадок со стороны облачных провайдеров.
- Гибко масштабировать ресурсы, так как сейчас мы можем быстро добавлять ресурсы в высоконагруженные периоды и отказываться от них в периоды низкой нагрузки, что, кроме повышения качества ИТ-сервисов, приводит еще и к финансовым преимуществам.
- Оптимизировать затраты на ИТ-сервисы и средства защиты информации. Облачная инфраструктура позволяет использовать модель оплаты по факту потребленных ресурсов — Pay As You Go, что позволяет нам оплачивать потребляемые сервисы согласно нашей нагрузке, а также не арендовать избыточные лицензии. Это справедливо как для вычислительных сервисов, так и для средств защиты: например, средства защиты удаленного доступа мы можем оплачивать в количестве, необходимом для одновременного подключения даже всех специалистов в периоды сдачи отчетности.
- Улучшить контроль за соблюдением требований информационной безопасности. Учитывая, что в такой парадигме мы переносим часть ответственности за обеспечение защиты информации на облачных провайдеров, нас сильно волнует вопрос их безопасности. Выдвигая требования к сертификации сервисов наших поставщиков услуг и контролируя результаты и независимость сертификационных аудитов, мы смогли, не расширяя штат нашей службы информационной безопасности, добиться уровня контроля информационной безопасности, предусмотренного лучшими стандартами в области защиты информации, такими как ISO 27001, Cloud security alliance или ГОСТ Р 57580.1-2017.
Конечно, использование облачных провайдеров, кроме описанных преимуществ, несет и новые риски, которые мы обрабатываем в нашей системе управления рисками информационной безопасности. Например, в последнее время стали случаться атаки на инфраструктуру облачных провайдеров целиком, такие атаки нацелены на вывод из строя всей инфраструктуры конкретного провайдера вместе со всеми клиентами, — такой риск мы снижаем путем использования распределенной инфраструктуры провайдеров вместе с нашей локальной инфраструктурой.
Резюмируя вышесказанное, подчеркнем, что в обеспечении информационной безопасности важно не ограничивать себя привычными рамками и постоянно пересматривать построенную систему защиты информации как с точки зрения новых угроз, так и с точки зрения новых технологий и возможностей.