Небезопасные ЦОД
В половине центров обработки данных менеджеры испытывают трудности с поиском квалифицированных сотрудников. По данным исследования, проведенного Symantec, в 16% ЦОД имеет место острая нехватка кадров, а еще 34% сообщили о «некоторых трудностях в подборе персонала».
Между тем ЦОД становятся все сложнее, возникают трудности в управлении ими. Особенно это касается коммерческих центров, где все больше сервисов требуют точного соблюдения соглашений об уровне обслуживания.
Большинство опрошенных компаний сталкиваются с трудностями, когда необходимо привлекать специалистов, однако у 45% из них штат все же полностью укомплектован, а у 5% даже избыточен. В целях снижения расходов около двух третей компаний сокращают персонал, примерно половина прибегают к его переподготовке, используют автоматизацию рутинных операций, виртуализацию и консолидацию, облачные вычисления.
Самой сильной «головной болью» для менеджеров ЦОД становятся специалисты по безопасности, особенно имеющие знания в сфере облачных решений.
Кадровые проблемы в отечественных ЦОД тоже существуют, однако имеют свою специфику. В частности, как выяснили эксперты круглого стола «ЦОД как точка пересечения интересов CIO и CSO» в рамках форума «Мир ЦОД — 2013», организованного издательством «Открытые системы», в большинстве российских коммерческих ЦОД просто нет службы информационной безопасности.
«DDoS-атаки зачастую становятся самым простым и эффективным средством конкурентной борьбы», — констатирует Михаил Емельянников, управляющий партнер «Емельянников, Попова и партнеры». Так происходит не только потому, что средства защиты серьезно отстают от инструментов нападения. Зачастую в ЦОД просто нет специалистов, способных решить эту проблему. Более того, значительное число небольших региональных банков живет вообще без ИТ-служб, исключительно на приходящем персонале. Неудивительно, что защищенность вычислительных мощностей, несмотря на жесткие требования регуляторов, во многих случаях является «слабым звеном».
При взаимодействии служб ИТ и безопасности в первую очередь встают вопросы адекватности требований. «Далеко не всегда следует безоговорочно выполнять требования регуляторов. Правильнее выделить наиболее критичные направления и концентрироваться на них», — делится взглядами Роман Чаплыгин, руководитель отдела информационной безопасности банка «ДельтаКредит».
«Служба информационной безопасности нам не нужна, — говорит Андрей Касьяненко, заместитель генерального директора Telehouse Caravan. — Мы предоставляем только инфраструктурные сервисы». Нет сотрудников, решающих вопросы ИТ-безопасности, и в большинстве других коммерческих ЦОД. Заказчики вынуждены, да и предпочитают, решать проблемы самостоятельно. Их отдел безопасности готовит требования по информационной безопасности для оператора ЦОД и в дальнейшем следит за соблюдением поставленных требований.
«Если ЦОД нужен как коробка, куда будет поставлена своя техника, то требования к ИТ-безопасности действительно минимальны», — согласен Виктор Лазников, начальник ИТ-департамента компании «Стройгазмонтаж». Совсем иное дело, когда речь идет о приобретении комплексной услуги, — в этом случае на безопасность будет обращаться самое пристальное внимание. Но это совсем другая услуга, с другими требованиями, ценой и экономикой. И как показывает практика, наиболее востребованы именно самые примитивные услуги ЦОД.
Операторы коммерческих ЦОД действуют в соответствии с потребностями рынка, а массовых требований по продаже сервисов безопасности пока нет. Они обязательно возникнут, но только тогда, когда начнется массовое предоставление облачных услуг: облако подразумевает встроенную систему безопасности.
«Может ли ЦОД заработать на безопасности? Пока спрос крайне мал — трудно заработать не только на безопасности, но и на облаках в целом», — признает Касьяненко. Коммерческим ЦОД инвестиции в безопасность невыгодны, они просто не окупаются. Кроме того, огромное число утечек происходит не на уровне ИТ, а на уровне пользователей. Атака — это коммерческое предприятие, и зачастую ее организаторам гораздо выгоднее не проламываться сквозь защиту, а подкупить инсайдера.
Картина ясна: у мелких компаний на безопасность часто просто нет средств. Именно поэтому в коммерческих ЦОД и возникают инциденты. У них много мелких заказчиков, приобретающих услуги, но пренебрегающих дополнительными сервисами безопасности.
«Главная проблема облаков в России в том, что заказчики не понимают, кто и какими средствами обеспечивает безопасность предоставляемых услуг», — говорит Емельянников. Наблюдается парадокс: с одной стороны, облачные услуги не приобретают из-за их недостаточной безопасности, а с другой — провайдерам заниматься безопасностью невыгодно. Даже при огромных затратах они не смогут гарантировать полную безопасность, ведь самые серьезные риски находятся на стороне заказчика. Кроме того, в случае убытков ни один договор не сможет покрыть их, особенно если речь идет о репутационных рисках.