По мнению ведущих российских IT-компаний, такое скорое вступление закона в силу может привести к приостановке деятельности большинства из них, что нанесет непоправимый ущерб экономике России. Их позиция выглядит обоснованно: облачные технологии, обеспечивающие в ряде случаев существенную выгоду, успели глубоко проникнуть в бизнес, но внутренний российский рынок облачных услуг развит пока недостаточно.
На заседании Совета безопасности, прошедшем 1 октября, Владимир Путин заявил, что Россия не планирует ограничивать доступ в Интернет и ставить его под контроль, а последние законодательные инициативы направлены на защиту отечественных информационных ресурсов. «Следует качественно повысить защищенность отечественных сетей связи и информационных ресурсов, в первую очередь тех, что используют госструктуры. Нужно стремиться исключить незаконное вмешательство в их работу, а также утечку персональной и конфиденциальной информации», – сказал президент РФ. Это позволяет предположить, что законопроект о защите персональных данных находится полностью в русле государственной политики и никакие воззвания коммерческих структур против его принятия эффекта не возымеют.
Суть облачных технологий можно объяснить в нескольких словах – это данные и вычислительные ресурсы, доступные удаленно, через Интернет. Компания – провайдер услуги выделяет клиентам определенную долю ресурсов, которую можно при необходимости варьировать. Все заботы по построению, обслуживанию, ремонту, модернизации инфраструктуры (а в ряде случаев также по установке, обновлению и обслуживанию программного обеспечения) ложатся на плечи провайдера. Нет необходимости закупать дорогостоящее оборудование, нанимать на работу массу высококвалифицированных IT-специалистов, вкладываться в периодическую модернизацию оборудования и программного обеспечения – нужно просто вносить абонентскую плату.
Банки «облачная мода» также не миновала, но мощным тормозом для них стали требования безопасности. Вполне очевидно, что провайдер облака при желании может получить доступ к любым данным любого клиента, а для банка это может быть критично. Кроме того, банки далеко не всегда готовы полагаться на сторонние компании в аспекте непрерывности бизнеса – не всякий облачный провайдер может гарантировать необходимую банку бесперебойность работы систем. Тем не менее, если в кредитной организации имеются развитые информационные системы, выгода ухода в облака очевидна, а банки деньги считать умеют. Правда, не каждая финансовая организация признается в том, что отдает данные клиентов на сторону.
Радикальным решением вопроса стали частные облака, когда облачный провайдер создается самим банком и находится под полным его контролем. Но это имеет смысл для очень крупных банков или банковских групп. Банкам поменьше, желающим не отставать от прогресса в информационных технологиях, все-таки приходится сдаваться на милость сторонних компаний. При этом для защиты данных (в том числе и от самого провайдера) применяются различные криптографические решения. Об одном из таких решений мы писали.
Главный руководитель службы IT-архитектуры прикладных систем Лето Банка (группа ВТБ) Сергей Чиков рассказал порталу Банки.ру, как использует облака эта кредитная организация: «Лето Банк использует облачные решения для обеспечения внутренней IT-инфраструктуры и карточного процессинга. К первой категории относятся корпоративная почта Office 365, SharePoint Online – как ресурс для части внутреннего документооборота и корпоративного портала, Lync Online – в качестве корпоративного коммуникатора, InTune – для обеспечения управляемости и поддержки удаленных точек присутствия банка. Помимо этого, облачная инфраструктура используется для лицензирования функционала рабочих станций сотрудников – офисный пакет MS Office мы также получаем и активируем из облака Office 365. В «облачном» формате в банке реализована часть сервиса телефонии. Центр обработки данных банк также использует полностью по аутсорсинговой схеме. Большая часть облачных сервисов предоставляется компанией Microsoft (Office 365). Аутсорсинг инфраструктуры выполняет компания «Инфосистемы Джет». Услуги карточного процессинга оказывает компания «Мультикарта». Существующие бизнес-процессы в банке не предусматривают хранение персональных данных клиентов за пределами РФ».
Проще всего для банка стать клиентом крупного облачного провайдера, который обеспечит требуемую надежность работы и защищенность информации. Но сооснователь компании Parallels, старший вице-президент по разработке линейки Parallels Automation (популярной платформы для облачных сервисов) Олег Мельников считает, что эта практика в банковском секторе массовой быть не может: «Я бы сказал, что те банки, которые стали пользоваться сервисами публичных облаков (SalesForce / SugarCRM, Dropbox и прочими), – это большие бунтари. Они заметно выбиваются из ряда финансовых организаций своими передовыми, но в то же время рискованными действиями. В этой индустрии принято создавать собственные облака, свои дата-центры со своими, может быть, облачными приложениями, но исключительно для использования внутри сотрудниками. Прибегать к использованию публичных облачных сервисов – это не удел банковского сектора».
Тем не менее «бунтари» у нас нашлись. Об этом нам рассказывал председатель совета директоров Юниаструм Банка Георгий Писков. Его банк использует CRM-систему (систему управления взаимоотношениями с клиентами) американского облачного провайдера SalesForce, причем в этом случае применяется модель SaaS – Software as a service, программное обеспечение как услуга. То есть банк получает доступ не к облачной инфраструктуре, а к установленной в облаке программе. Очевидно, что никакие технологии защиты данных от доступа самого провайдера тут неприменимы.
По мнению Юниаструм Банка, риск того, что SalesForce выдаст данные клиентов банка каким-либо госслужбам США, полностью оправдывается экономической выгодой. В интервью порталу Банки.ру Георгий Писков сказал: «Я не уверен, что от этого надо защищаться. Коллективная безопасность, участие в ней – это обязанность каждого, не надо этого бояться. Другое дело, что органы могут быть коррумпированные или некоррумпированные, но в таком случае, как говорится, против лома нет приема. Поэтому я против того, чтобы защищаться от доступа полиции или ФСБ, или каких-то органов безопасности. Мы должны с ними конструктивно сотрудничать».
Очевидно, наше государство полагает иначе, и законопроект, запрещающий хранение персональных данных граждан России за рубежом, направлен именно против такой практики. По мнению Мельникова, найти замену SalesForce банку будет очень непросто: «В России нет компании уровня SalesForce, которая могла бы взять на себя CRM-обслуживание из облака. Есть провайдеры облачных CRM, но меньшего масштаба и, естественно, другой функциональности. То есть для IT-службы банка, которая однажды взяла на себя смелость перенести данные к западному облачному провайдеру, встает необходимость либо создать соответствующую in-house-систему, либо проводить аудит существующих провайдеров. Это обернется не столько большими инвестициями, сколько огромной головной болью для их IT-служб. Придется обратно переносить данные, уже однажды перенесенные на сторону публичного зарубежного провайдера, для многих тысяч клиентов. Нужно будет перенести все бизнес-процессы, настроенные в SalesForce, в систему российского происхождения. Кроме того, нужно будет повторно обучить сотрудников, использующих облачную CRM-систему, новой логике программного обеспечения и процессам».
Георгий Писков не считает большой проблемой перспективу вынужденного переноса систем из облаков. «Запрет на хранение персональных данных за рубежом – вообще говоря, явление не новое, аналогичные законы действуют и во Франции, и в Германии. Так что принятие такого закона в России вполне логично. Поскольку использование банками зарубежных облачных сервисов не носит тотального характера, общее воздействие этого закона на российскую банковскую систему будет незначительным и коснется небольшого количества игроков, – поясняет Писков. – Некоторые банки пойдут по пути переноса данных в российское облако, кто-то выберет шифрование данных, а кто-то часть данных, тех, что подпадают под понятие персональных, будет хранить в России, а остальное – в зарубежном облаке. Это, конечно, добавляет банкам работы, но не является фатальным явлением ни в коей мере. Банки привыкли к оперативной доработке своих систем в условиях динамично меняющегося законодательства».
В спорах об облаках следует учитывать также опасность секторальных санкций со стороны США. Одно дело, когда американским поставщикам оборудования и программного обеспечения запрещают работать с российскими банками – по большей части это лишь приведет к затруднениям при обновлении «железа» и программного обеспечения. Другое дело, когда сотрудничество разрывает облачный провайдер. Тут банку придется спешно строить собственную инфраструктуру либо искать замену провайдеру, предпочтительнее всего отечественную.
«Насколько широко будут распространены американские санкции, можно гадать только на кофейной гуще, но если дойдет до отключения Интернета и облачных сервисов, то очевидно, что нам придется жить в рамках уже совсем другой парадигмы. Отмечу, однако, что емкость российских ЦОДов (центров обработки данных. – Прим. ред.) сейчас вполне достаточна, чтобы обслужить немедленные нужды банковской системы», – говорит Георгий Писков.
Получается, что настороженное отношение банков к облакам полностью оправданно, а связанные с ними риски растут с каждым днем. И речь идет не только о нашей стране. «Если говорить о тенденциях, то стремление к большему контролю данных характерно далеко не только для России, – рассказал порталу Банки.ру Олег Мельников. – За последние два года, особенно после истории Сноудена, я вижу движение обратно, когда компании из разных областей экономики сначала переехали на Microsoft Azure или на Amazon S3, разработчики устремились в DigitalOcean (популярные облачные системы. – Прим. ред.), а потом потихонечку оттуда съехали на своего локального провайдера. У нас есть несколько европейских клиентов-телекомов, которые потихоньку начали переводить своих клиентов обратно в свой дата-центр, потому что поняли: если сегодня в стране у них такого закона нет, то, скорее всего, в ближайшее время он появится».
Михаил ДЬЯКОВ, Banki.ru