В планах зарубежных регуляторов разработать единые стандарты для взаимодействия c государственными организациями и повысить надежность облачной среды. Но провайдеры говорят, что в новых законопроектах нет необходимости, поскольку уже существуют отраслевые стандарты. Мы решили разобраться в ситуации и точках зрения.
Что предлагают
Миф о небезопасности виртуальной инфраструктуры развеялся. В облако переходит не только частный бизнес, но и государственные сервисы, банки, системно важные предприятия, отвечающие за критическую инфраструктуру. В то же время рынок облачных услуг в Европе делят четыре крупных поставщика. Регуляторы видят в этом определенные риски и пытаются их минимизировать.
Одна из самых заметных инициатив — проект Gaia-X, связанный с запуском государственного облака. Его развивают уже несколько лет, но пока рано говорить о каких-то серьезных достижениях. Однако наиболее свежие подвижки в этой области связаны с регулированием — разработкой законопроектов и попытками уточнить нормы отказоустойчивости инфраструктуры сервис-провайдеров.
В июне 2022 года министерство финансов Великобритании предложило разработать новые стандарты, которые обяжут облачных провайдеров раскрывать механизмы обработки информации и проводить тесты на отказоустойчивость под наблюдением регуляторов. Примерно в то же время Европарламент — в рамках Digital Operational Resilience Act (DORA) — решил обязать провайдеров, работающих на территории ЕС, открывать дочерние компании и филиалы. Цель подхода — упростить надзор за их работой. В каком-то смысле предложение напоминает наш 236-ФЗ о «приземлении» иностранных IT-компаний.
На опыт европейских коллег ориентируются американские регуляторы. На рассмотрении в конгрессе находится документ под названием The Federal Secure Cloud Improvement and Jobs Act. Его задача — внедрить стандартизированный подход к оценке надежности облачных сред. Новые требования решили развивать на основе существующей программы управления рисками и авторизацией — FedRAMP. Она содержит нормативы, которым должны следовать все облачные провайдеры, предлагающие свои продукты и сервисы правительству США.
И это не первая попытка американских политиков регулировать отказоустойчивость облачных провайдеров. Похожий законопроект палата представителей продвигала еще в 2019 году, правда, тогда он был связан с облачными хранилищами. Их планировали признать «системно важными сервисами финансового рынка» и установить стандарты отказоустойчивости. Однако тогда идею отложили в долгий ящик.
Если подводить промежуточный итог, то европейские и американские законодатели рассчитывают, что новое регулирование позволит унифицировать бизнес-процессы облачных провайдеров. Типовые договоры и SLA поставщиков отличаются для частных и государственных организаций, что вызывает путаницу. Единые стандарты безопасности, в том числе для компаний, отвечающих за критическую инфраструктуру, позволят повысить общую отказоустойчивость.
Почему это может не сработать
Ожидаемо, новое видение норм облачной индустрии вызвало жаркие дискуссии в сообществе. Некоторые эксперты отметили, что затронутые вопросы давно требовали решения, другие, в свою очередь, указали на ряд сложностей в предлагаемых методах. Один из ключевых нюансов — слишком размытые формулировки в тексте законопроектов. Документы описывают требования в общих чертах, но не уточняют, какие именно стандарты придется соблюдать облачным провайдерам. Неизвестны пока и критерии оценки отказоустойчивости.
Представители индустрии также видят в новых законах попытку переложить всю ответственность за сбои на провайдеров. Дело в том, что по сложившейся практике за безопасность инфраструктуры по большей части отвечают пользователи — в зависимости от того, как именно работают с облаком, что применяют, какие риски учитывают. Такой подход оправдан — по оценке Gartner, 95% утечек данных из облака происходит из-за человеческого фактора — неправильной настройки конфигураций и политик доступа. Однако и сами провайдеры заинтересованы в поддержке клиентов и сокращении числа сбоев, поэтому они предоставляют необходимые для защиты инструменты и консультируют по вопросам ИБ, строят распределенную инфраструктуру, готовят системы резервирования и мониторинга, чтобы своевременно исправлять проблемы без остановки клиентских приложений.
Кроме того, в индустрии уже есть нормы сертификации, призванные повысить отказоустойчивость инфраструктуры. Например, для работы с данными держателей банковских карт провайдеры проходят аудит на соответствие требованиям PCI DSS. Другая сертификация — Tier от Uptime Institute. Организация выступает в роли независимого аудитора и оценивает способность дата-центра противостоять сбоям — в сетях электропитания и у сторонних поставщиков (например, интернет-провайдеров). Крупные провайдеры размещают свое оборудование в ЦОД уровня Tier III или выше. Он подходит для работы с критическими данными и инфраструктурой. Все это уже позволяет клиентам оценить надежность провайдера без вмешательства государства.
В любом случае американский и европейские законопроекты находятся на этапе обсуждения, и их содержание может измениться. Разумеется, есть вероятность, что после сбора обратной связи регуляторы пересмотрят отношение и позволят облачным провайдерам модифицировать инфраструктуру в рыночных условиях.
Мы продолжим следить за развитием событий, поскольку эти законопроекты могут стать шаблоном, который будут рассматривать и адаптировать для себя другие страны — в том числе Россия. Подписывайтесь на наш блог на Хабре, где мы говорим о ситуации в облачной индустрии:
Испытание для провайдеров — что происходит на облачном рынке
С окраин в мегаполисы — почему дата-центры «переезжают» в города
Взять и защитить SDLC — чем поможет облако
