Специалисты ENISA выделили именно эти проблемы, поскольку они имеют самые серьезные последствия и чаще других возникают у организаций, использующих сервисы вычислений в облаке.
В ENISA проанализировали активы, которые предприятия подвергают риску при обращении к модели cloud computing (в том числе пользовательские данные и собственная репутация); уязвимые места в облачных сервисах; риски, которым эти уязвимые места подвергаются; вероятность возникновения этих рисков.
При переходе на облачный сервис компании фактически вынуждены передать его провайдеру известную степень контроля и над собственной ИТ-инфраструктурой, что может негативно сказаться на уровне их безопасности. Например, по условиям контракта провайдеру может быть не передано сканирование портов, оценка уязвимости или проведение глубокого тестирования. В то же время ответственность за эти вопросы может остаться неурегулированной и в соглашениях об уровне обслуживания. В результате, как отмечается в отчете ENISA, в обеспечении безопасности остаются значительные пробелы.
Серьезные проблемы могут возникнуть и в связи с выполнением нормативных требований, если провайдер не предоставляет необходимых уровней сертификации или схема сертификации не адаптирована к облачным сервисам.
Одно из преимуществ облачных сервисов состоит в том, что данные можно хранить в разных местах, что позволяет сэкономить немало времени в случае, если в одном из центров обработки данных произойдет сбой. Однако это может создавать и серьезные риски, если центры обработки данных расположены в странах, где ответственность за сохранность данных законодательно не урегулирована должным образом.
Не меньшее беспокойство вызывают также привязка к производителю, сбой в механизмах, отделяющих данные разных компаний друг от друга, возможность доступа хакеров к интерфейсам управления, некорректное удаление данных и злонамеренные действия самих сотрудников.
Для того чтобы минимизировать эти риски, в отчете приводится список вопросов, которые компании следует задать потенциальным провайдерам облачных сервисов. Например, каким образом провайдер гарантирует, что пользовательские ресурсы полностью изолированы, какую обучающую программу по вопросам информационной безопасности провайдер предлагает для своих сотрудников, какие принимаются меры для того, чтобы гарантировать выполнение уровней обслуживания, требуемых третьими сторонами, и т. д.
В конечном итоге, как утверждается в отчете, грамотно составленный контракт позволяет снизить риски. Компании должны уделять особое внимание своим правам и обязанностям, связанным с передачей данных, доступом к данным на законных основаниях, и уведомлениям об изъянах в системе безопасности.